Sejauh mana data pribadi penduduk dilindungi oleh hukum? Adakah landasan hukum bagi pemerintah untuk mendapatkan data pribadi masyarakat? Bagaimana penanganan apabila terjadi kebocoran data pribadi?
Daftar Isi
INTISARI JAWABAN
Indonesia telah memiliki Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) tersendiri. Data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.
Lantas adakah aturan yang mendasari pemerintah untuk mendapatkan data pribadi masyarakat? Kemudian bagaimana penanganan apabila terjadi kebocoran data pribadi?
Penjelasan lebih lanjut dapat Anda baca ulasan di bawah ini.
Artikel di bawah ini adalah pemutakhiran dari artikel dengan judul Pelindungan Hukum atas Privasi dan Data Pribadi Masyarakat yang dibuat oleh Rizky P.P. Karo Karo, S.H., M.H. dan pertama kali dipublikasikan pada Selasa, 8 Oktober 2019.
Belajar Hukum Secara Online dari Pengajar Berkompeten Dengan Biaya TerjangkauMulai DariRp. 149.000
Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.
Pengertian Data Pribadi
Kini Indonesia telah memiliki Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) tersendiri. Dalam UU PDP tersebut, data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.[1]
Apa saja yang tergolong data pribadi? Data pribadi terdiri atas:[2]
Data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang- undangan.
Data pribadi yang bersifat umum, meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Pelindungan Data Pribadi Masyarakat oleh Pemerintah
UU PDPsendiri merupakan pengejewantahan dari Pasal 28G ayat (1) UUD 1945 yangberbunyi:
Setiap orang berhak atas pelindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan pelindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.
Apa yang dimaksud dengan pelindungan data pribadi? Pengertian pelindungan data pribadi berdasarkan Pasal 1 angka 2 UU PDP adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.
Dalam UU PDP terdapat pengendali data pribadi dan prosesor data pribadi. Pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.[3]
Sedangkan yang dimaksud dengan prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.[4]
Siapa itu badan publik? Lembaga eksekutif, legislatif, yudikatif, dan badan lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara, yang sebagian atau seluruh dananya bersumber dari APBN dan/atau APBD, atau organisasi nonpemerintah sepanjang sebagian atau seluruh dananya bersumber dari APBN dan/atau APBD, sumbangan masyarakat, dan/atau luar negeri. Dengan kata lain, badan publik merupakan pemerintah yang dapat menjadi pengendali data pribadi maupun prosesor data pribadi.
Kewajiban pengendali data pribadi diatur dalam Pasal 20 s.d. Pasal 50 UU PDP di antaranya wajib menunjukkan bukti persetujuan yang telah diberikan subjek data pribadi saat melakukan pemrosesan data pribadi, wajib menjaga kerahasiaan data pribadi, dan wajib mencegah data pribadi diakses secara tidak sah.[5]
Sementara itu, kewajiban prosesor data pribadi tercantum dalam Pasal 51 s.d. Pasal 52 UU PDP antara lain wajib melakukan pemrosesan data pribadi berdasarkan perintah pengendali data pribadi, wajib mendapatkan persetujuan tertulis dari pengendali data pribadi sebelum melibatkan prosesor data pribadi lain.[6]
Pengendali data pribadi dan prosesor data pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi dalam hal:[7]
pemrosesan data pribadi untuk kepentingan pelayanan publik;
kegiatan inti pengendali data pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas data pribadi dengan skala besar; dan
kegiatan inti pengendali data pribadi terdiri dari pemrosesan data pribadi dalam skala besar untuk data pribadi yang bersifat spesifik dan/atau data pribadi yang berkaitan dengan tindak pidana.
Pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik pelindungan data pribadi, dan kemampuan untuk memenuhi tugas-tugasnya.[8]
Pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi bertugas paling sedikit:[9]
menginformasikan dan memberikan saran kepada pengendali data pribadi atau prosesor data pribadi agar mematuhi ketentuan UU PDP;
memantau dan memastikan kepatuhan UU PDP dan kebijakan pengendali data pribadi atau prosesor data pribadi;
memberikan saran mengenai penilaian dampak pelindungan data pribadi dan memantau kinerja pengendali data pribadi dan prosesor data pribadi; dan
berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan data pribadi.
Hak-hak Subjek Data Pribadi
Subjek data pribadi adalah orang perseorangan yang pada dirinya melekat data pribadi,[10] yang tidak lain adalah diri kita sebagai masyarakat.
Mengenai hak-hak subjek data pribadi diatur lebih lanjut di dalam Pasal 5 s.d. Pasal 15 UU PDP antara lain berhak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi, berhak mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya, serta berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya.[11]
Namun, berdasarkan Pasal 15 ayat (1) UU PDP menyebutkan:
Hak-hak Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 8, Pasal 9, Pasal 10 ayat (1), Pasal 11, dan Pasal 13 ayat (1) dan ayat (2) dikecualikan untuk:
kepentingan pertahanan dan keamanan nasional;
kepentingan proses penegakan hukum;
kepentingan umum dalam rangka penyelenggaraan negara;
kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau
kepentingan statistik dan penelitian ilmiah.
Adapun yang dimaksud dalam kepentingan proses penegakan hukum seperti kepentingan yang berkaitan dengan upaya atau langkah dalam rangka menjalankan atau menegakkan aturan hukum berdasarkan ketentuan peraturan perundang-undangan antara lain proses penyelidikan, penyidikan, dan penuntutan.[12]
Kemudian yang dimaksud dengan kepentingan umum dalam rangka penyelenggaraan negara seperti penyelenggaraan administrasi kependudukan, jaminan sosial, perpajakan, kepabeanan, dan pelayanan perizinan berusaha terintegrasi secara elektronik.[13]
Hukumnya Jika Terjadi Kebocoran Data Pribadi
Patut Anda ketahui, pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan:[14]
penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi; dan
penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.
Dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi dan lembaga, dengan minimal memuat:[15]
data pribadi yang terungkap;
kapan dan bagaimana data pribadi terungkap; dan
upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.
Bahkan dalam hal tertentu misalnya jika kegagalan itu mengganggu pelayanan publik dan/atau berdampak serius terhadap kepentingan masyarakat, pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan pelindungan data pribadi.[16]
Namun patut dicatat, kewajiban menyampaikan pemberitahuan secara tertulis kepada subjek data pribadi saat terjadi kegagalan pelindungan data pribadi dikecualikan untuk:[17]
kepentingan pertahanan dan keamanan nasional;
kepentingan proses penegakan hukum;
kepentingan umum dalam rangka penyelenggaraan negara; atau
kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.
Akan tetapi, pengecualian ini hanya dalam rangka pelaksanaan ketentuan undang-undang.[18] Di sisi lain, dalam Pasal 47 UU PDP secara tegas menyebutkan bahwa:
Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.
Pelanggaran terhadap ketentuan Pasal 46 ayat (1) dan (3) serta Pasal 47 UU PDP sebagaimana disebut di atas dikenai sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif.
Penjatuhan sanksi administratif diberikan oleh lembaga dan untuk denda paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[19]
Jadi menjawab pertanyaan Anda mengenai tanggung jawab apabila terjadi kebocoran data pribadi, maka pengendali data pribadi wajib memberitahukan adanya kegagalan pelindungan data pribadi secara tertulis termasuk upaya penanganan dan pemulihan. Selain itu, subjek data pribadi juga berhak menggugat dan menerima ganti rugi jika terjadi pelanggaran pemrosesan data pribadi tentang dirinya.[20]