Terima kasih atas pertanyaan Anda.
Artikel di bawah ini adalah pemutakhiran dari artikel dengan judul Penyelesaian Sengketa Data Pribadi yang dibuat oleh Dimas Hutomo, S.H. dan pertama kali dipublikasikan pada Kamis, 20 Juni 2019.
Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.
Pelindungan Data Pribadi
Data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.[1]
Kemudian UU PDP membagi jenis data pribadi yang teridiri atas data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum.[2]
Data pribadi yang bersifat spesifik meliputi:[3]
- data dan informasi kesehatan;
- data biometrik;
- data genetika;
- catatan kejahatan;
- data anak;
- data keuangan pribadi; dan/atau
- data lainnya sesuai dengan ketentuan peraturan perundang- undangan.
Sedangkan data pribadi yang bersifat umum meliputi:[4]
- nama lengkap;
- jenis kelamin;
- kewarganegaraan;
- agama;
- status perkawinan; dan/atau
- data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang
Adapun yang dimaksud dengan pelindungan data pribadi adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.[5]
Kegagalan Pelindungan Data Pribadi
Yang dimaksud dengan pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.[6]
Sedangkan prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.[7]
Pemrosesan data pribadi dilakukan sesuai dengan prinsip pelindungan data pribadi meliputi:[8]
- pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
- pemrosesan data pribadi dilakukan sesuai dengan tujuannya;
- pemrosesan data pribadi dilakukan dengan menjamin hak subjek data pribadi;
- pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
- pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan data pribadi;
- pemrosesan data pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan pelindungan data pribadi;
- data pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan subjek data pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
- pemrosesan data pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas
Selanjutnya pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan:[9]
- penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
- penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.
Di dalam Pasal 36 UU PDP disebutkan bahwa dalam melakukan pemrosesan data pribadi, pengendali data pribadi wajib menjaga kerahasiaan data pribadi.
Selain itu, menurut Pasal 37 UU PDP menyebutkan bahwa pengendali data pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali pengendali data pribadi.
Selain itu pengendali data pribadi wajib mencegah data pribadi diakses secara tidak sah, sebagaimana disebutkan dalam Pasal 39 ayat (1) UU PDP.
Dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi dan lembaga, dengan minimal memuat:
- data pribadi yang terungkap;
- kapan dan bagaimana data pribadi terungkap; dan
- upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.
Menurut hemat kami perusahaan e-commerce yang Anda maksud merupakan pengendali data pribadi. Sehingga dalam melakukan pemrosesan maupun pengendalian data pribadi, harus memperhatikan ketentuan-ketentuan di dalam UU PDP sebagaimana disebutkan di atas.
Penyelesaian Sengketa Perlindungan Data Pribadi Secara Non Litigasi
Perlu Anda perhatikan bahwa pelanggaran terhadap Pasal 39 ayat (1) UU PDP, dimana pengendali data pribadi wajib mencegah data pribadi diakses secara tidak sah, maka pengendali data pribadi yaitu e-commerce akan dikenai sanksi administratif.[10]
Adapun bentuk sanksi administratif dapat berupa:[11]
- peringatan tertulis;
- penghentian sementara kegiatan pemrosesan data pribadi;
- penghapusan atau pemusnahan data pribadi; dan/atau
- denda administratif paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[12]
Selain penjatuhan sanksi administratif oleh lembaga yang ditunjuk,[13] subjek data pribadi juga berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.[14]
Hal tersebut diatur di dalam Pasal 64 ayat (1) UU PDP yang berbunyi:
Penyelesaian sengketa pelindungan data pribadi dilakukan melalui arbitrase, pengadilan, atau lembaga penyelesaian sengketa alternatif lainnya sesuai dengan ketentuan peraturan perundang-undangan.
Maka untuk menjawab pertanyaan Anda, kami akan menjelaskan mengenai penyelesaian sengketa data pribadi secara non litigasi. Hukum acara yang berlaku dalam penyelesaian sengketa dan/atau proses peradilan pelindungan data pribadi dilaksanakan berdasarkan hukum acara yang berlaku sesuai dengan ketentuan peraturan perundang-undangan.[15]
- Arbitrase
Arbitrase menurut Pasal 1 angka 1 UU 30/1999 adalah cara penyelesaian sengketa perdata di luar peradilan umum yang didasarkan pada perjanjian arbitrase yang dibuat secara tertulis oleh para pihak yang bersengketa.
Disarikan dari artikel 3 Perbedaan Mediasi dan Arbitrase, sengketa arbitrase diawali dengan persetujuan penyelesaian sengketa lewat arbitrase yang dimuat dalam suatu dokumen yang ditandatangani oleh para pihak. Kemudian, para pihak menentukan bersama arbiter yang akan menjadi eksekutor atau pengambil keputusan atas sengketa yang terjadi.
Artbiter adalah seorang atau lebih yang dipilih oleh para pihak yang bersengketa atau pihak yang ditunjuk oleh Pengadilan Negeri atau lembaga arbitrase untuk memberikan putusan atas suatu sengketa. Arbiter berperan untuk memberikan putusan sengketa para pihak.
Hasil putusan arbitrase bersifat win-lose judgement, final dan mempunyai kekuatan hukum tetap serta mengikat para pihak.
- Lembaga Penyelesaian Sengketa Alternatif Lainnya
Menurut UU 30/1999, selain arbitrase terdapat lembaga penyelesaian sengketa alternatif selain arbitrase yaitu dengan cara konsultasi, negosiasi, mediasi, konsiliasi atau penilaian ahli.[16]
Dalam konteks UU PDP, terdapat amanat pembentukan lembaga yang ditetapkan oleh presiden dan bertanggung jawab kepada presiden untuk menyelenggarakan pelindungan data pribadi.[17]
Lembaga penyelenggara pelindungan data pribadi tersebut mempunyai wewenang untuk:[18]
- menjatuhkan sanksi administratif atas pelanggaran pelindungan data pribadi oleh pengendali dan/atau prosesor data pribadi;
- menerima aduan dan/atau laporan tentang dugaan terhadinya pelanggaran pelindungan data pribadi;
- melakukan pemeriksaan dan penelusuran atas pengaduan, laporan, dan/atau hasil pengawasan terhadap dugaan terjadinya pelanggaran data pribadi;
- memanggil dan menghadirkan setiap orang dan/atau badan publik yang terkait dengan dugaan pelanggaran pelindungan data pribadi;
- meminta keterangan, data, informasi, dan dokumen dari setiap orang dan/atau badan publik terkait dugaan pelanggaran pelindungan data pribadi;
- memanggil dan menghadirkan ahli yang diperlukan dalam pemeriksaan dan penelusuran terkait dugaan pelanggaran pelindungan data pribadi;
- melakukan pemeriksaan dan penelusuran terhadap sistem elektronik, sarana, ruang, dan/atau tempat yang digunakan pengendali dan/atau prosesor data pribadi, termasuk memperoleh akses terhadap data dan/atau menunjuk pihak ketiga; dan
- meminta bantuan hukum kepada kejaksaan dalam penyelesaian sengketa pelindungan data pribadi.
Melalui lembaga penyelenggara pelindungan data pribadi, juga dapat dijadikan lembaga alternatif penyelesaian sengketa data pribadi antara subjek dan pengendali data pribadi secara non litigasi.
Namun demikian, untuk mendapatkan ganti kerugian sebagaimana Anda sampaikan, menurut hemat kami, Anda dapat mengajukannya melalui sarana mediasi atau arbitrase.
Demikian jawaban dari kami tentang penyelesaian sengketa pelidungan data pribadi, semoga bermanfaat.
Dasar Hukum:
- Undang-Undang Nomor 30 Tahun 1999 tentang Arbitrase dan Alternatif Penyelesaian Sengketa;
- Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi .
[2] Pasal 4 ayat (1) UU PDP
[3] Pasal 4 ayat (2) UU PDP
[4] Pasal 4 ayat (3) UU PDP
[5] Pasal 1 angka 2 UU PDP
[6] Pasal 1 angka 4 UU PDP
[7] Pasal 1 angka 5 UU PDP
[8] Pasal 16 ayat (2) UU PDP
[10] Pasal 57 ayat (1) UU PDP
[11] Pasal 57 ayat (2) UU PDP
[12] Pasal 57 ayat (3) UU PDP
[13] Pasal 57 ayat (4) UU PDP
[15] Pasal 64 ayat (2) UU PDP
[17] Pasal 58 ayat (1), (3) dan (4) UU PDP
[18] Pasal 60 huruf c, huurf i sampai dengan huruf o UU PDP