Meningkatnya kasus pelanggaran data di Indonesia: tanda segera disahkannya undang-undang privasi?

Contoh pelanggaran data serius terbaru termasuk aplikasi kartu peringatan kesehatan elektronik (eHAC) pemerintah pada Agustus 2021, pelanggaran data Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan di mana informasi pribadi pengguna dibagikan di forum online menggunakan bitcoin dijual di Mei 2021, dan belum lagi pelanggaran data lama – yang membahayakan lebih dari 15 juta pengguna – salah satu perusahaan unicorn Indonesia, Tokopedia, pada Mei 2020.

Kemajuan teknologi global yang sedang berlangsung tidak dapat disangkal telah berkontribusi pada pesatnya perkembangan ekonomi digital di Indonesia. Akibatnya, jumlah sarana elektronik yang digunakan untuk mendistribusikan, menyimpan, dan menggunakan data pribadi pengguna layanan digital Indonesia mengalami lonjakan yang belum pernah terjadi sebelumnya, terutama di masa pandemi COVID-19. Sebagai ketua Kelompok Kerja Ekonomi Digital G20 yang pertama, Indonesia diharapkan dapat menyoroti isu-isu digital utama (termasuk di bidang perlindungan data pribadi) dan mengusulkan solusi atau pendekatan untuk mengatur isu-isu tersebut secara lebih kondusif.

Meskipun demikian, kami belum melihat adanya revisi besar terhadap peraturan data pribadi Indonesia saat ini, karena kami mengamati peraturan yang tersebar dan Undang-Undang Perlindungan Data Pribadi yang telah lama ditunggu-tunggu (selanjutnya disebut “UU PDP”) yang belum disahkan. , meskipun mereka akan masuk dalam program legislatif nasional prioritas DPR pada tahun 2021.

Sebagai acuan, dalam lingkungan peraturan saat ini, perlindungan data pribadi terutama diatur oleh beberapa peraturan tersendiri, yaitu Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Teknologi Elektronik (sebagaimana telah diubah) (selanjutnya disebut: “UU EITI”), Peraturan Pemerintah 71 Tahun 2019 tentang Penyelenggara Sistem Elektronik, Peraturan Menteri Komunikasi dan Informatika (Menkominfo) No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dan Peraturan Menkominfo No. 5 Tahun 2020 tentang Penyelenggara Sistem Elektronik Di Sektor Swasta (sebagaimana telah diubah) .

Sayangnya, peraturan tersebut tidak mencakup atau mengatur pelanggaran data secara cukup rinci, dan peraturan menjadi rumit dan tersebar sebagai regulator sektoral masing-masing (seperti Otoritas Jasa Keuangan, atau Otoritas Jasa Keuangan) juga mengatur perlindungan data pribadi.

Dengan pemikiran tersebut, artikel ini berfokus pada mekanisme yang diberikan oleh UU PDP untuk menangani pelanggaran data pribadi dan, akibatnya, urgensi untuk meratifikasi UU PDP ini.

Mekanisme Pelanggaran Data di bawah UU PDP

Undang-undang PDP memperkenalkan perubahan yang lebih rinci dan signifikan dalam menangani pelanggaran data dibandingkan dengan lingkungan peraturan Indonesia saat ini. Salah satu perubahan terpenting menyangkut pemberitahuan pelanggaran data. Menurut peraturan saat ini, jika terjadi pelanggaran data pribadi, hukum Indonesia hanya mewajibkan Penyelenggara Sistem Elektronik (ESPs, yaitu entitas yang bertindak sebagai pengontrol data, seperti pemerintah atau perusahaan swasta), pemilik data dalam waktu 14 (empat belas) ) hari setelah ESP mengetahui adanya pelanggaran tersebut. Selain itu, ESP hanya berkewajiban mengomunikasikan alasan pelanggaran.

Sebaliknya, undang-undang PDP secara signifikan mengurangi periode pemberitahuan menjadi 3 x 24 jam dan menambahkan kewajiban tambahan bagi ESP untuk juga mengomunikasikan data apa yang telah disusupi serta upaya penanganan dan pemulihan yang akan dilakukan ESP terkait dengan prompt tersebut. perusahaan akan mengkompromikan data. Periode yang lebih singkat ini dan persyaratan informasi tambahan membuat ESP mengambil pendekatan yang lebih cepat dan lebih transparan untuk menangani pelanggaran data. Hal ini dapat mengurangi risiko dampak yang lebih besar dari pelanggaran data karena pemilik data dapat meminta agar data pribadi mereka dihapus dari situs web/aplikasi yang relevan.

Undang-undang PDP juga menunjukkan sikap yang lebih keras, menjatuhkan hukuman progresif atas kegagalan ESP untuk memberi tahu pelanggan tentang pelanggaran data. Sanksi tersebut berupa teguran tertulis, penghentian sementara pemrosesan data, penghapusan data pribadi, dan sanksi administratif.

Selain itu, UU PDP memberikan hukuman yang lebih rinci untuk mencegah pihak ketiga memperoleh informasi pribadi melalui cara ilegal (misalnya, peretasan). Undang-undang PDP membedakan tiga jenis larangan penggunaan data pribadi, yaitu:

• Pengumpulan dan pengumpulan data pribadi yang melanggar hukum untuk keuntungan sendiri atau pihak ketiga, yang mengakibatkan kerugian bagi pemilik data;
• Pengungkapan informasi pribadi orang lain yang melanggar hukum; dan
• Penggunaan yang melanggar hukum atas informasi pribadi orang lain.

Bergantung pada ketiga tindakan tersebut, sanksi yang dijatuhkan berkisar antara dua hingga tujuh tahun penjara atau denda Rp50 miliar hingga Rp70 miliar. Hal ini sangat kontras dengan undang-undang ITE yang hanya melarang akses tidak sah ke komputer atau sistem elektronik dan membawa denda nominal yang lebih rendah dari Rp 600-800 juta.

Lapisan perlindungan tambahan untuk pemilik data dalam undang-undang PDP

UU PDP juga mengatur hak pemilik data untuk mencabut persetujuannya atas pemrosesan data pribadi secara lebih rinci. Menurut regulasi saat ini, regulasi terkait hanya mengatur prinsip bahwa pemegang data dapat menarik kembali persetujuannya. Namun, jika pemilik data mengajukan permintaan untuk mencabut persetujuannya berdasarkan UU PDP, ESP harus menghentikan pemrosesan data pribadi tersebut selambat-lambatnya 3 x 24 jam setelah menerima permintaan tersebut.

Selanjutnya, UU PDP memberikan hak tambahan bagi pemilik data untuk meminta pembatasan atau penundaan pemrosesan data, yang harus dipatuhi oleh ESP terkait dalam waktu 2 x 24 jam sejak diterimanya permintaan tersebut. Dan dalam konteks pelanggaran data, pemilik data dapat menarik persetujuan mereka, mencegah ESP memproses data mereka lebih lanjut.

Selain itu, UU PDP juga memperkenalkan persyaratan pra dan pasca pemberitahuan baru bagi pemilik data dalam hal ESP melakukan aksi korporasi seperti merger, akuisisi, dan konsolidasi. Persyaratan ini tidak termasuk dalam hukum dan peraturan Indonesia yang relevan saat ini. Mengingat saat ini banyak startup yang menerima dana dari investor asing, UU PDP juga akan menjadi salah satu aturan utama yang harus dipatuhi terkait aksi korporasi tersebut. Memperkenalkan persyaratan ini ke dalam undang-undang PDP memberikan kepastian hukum dan akuntabilitas yang lebih besar kepada pemilik data terkait.

Kesimpulan

Dengan diperkenalkannya beberapa peraturan baru yang mengatur perlindungan data, penting bagi Indonesia untuk memberlakukan undang-undang PDP sesegera mungkin untuk mengatasi pelanggaran data yang umum terjadi di era digital saat ini dan untuk memotivasi dan meminta pertanggungjawaban pemroses data untuk meningkatkan pedoman perlindungan data mereka. , kepastian hukum yang lebih bagi pemilik data dan lebih banyak waktu untuk berlakunya peraturan pelaksanaan terkait.

Penulis artikel:

Ardhitia Prawira Rusyadi
+62 812 898 918 95
[email protected]

Ardhitia adalah karyawan dari Soemadipradja & Taher. Meraih gelar Sarjana Hukum dengan predikat cum laude dari Universitas Gadjah Mada pada tahun 2018 dengan fokus pada hukum bisnis. Ardhitia telah bertindak untuk klien Indonesia dan asing dalam berbagai transaksi korporat umum, komersial dan teknologi, media dan telekomunikasi. Ardhit mendapat lisensi sebagai petugas perlindungan data dari Asosiasi Profesional Privasi Data Indonesia (Asosiasi Profesional Kerahasiaan Data Indonesiaatau APPDI).

Kusuma Raditya
+62 812 8877 1842
[email protected]

Raditya adalah seorang karyawan di Soemadipradja & Taher. Meraih gelar Sarjana Hukum cum laude dari Universitas Gadjah Mada pada tahun 2019 dengan fokus pada hukum bisnis. Raditya telah bertindak untuk klien Indonesia dan asing di berbagai perusahaan umum, komersial dan teknologi, media dan transaksi telekomunikasi.

Kembali ke Kolom Bisnis