Persyaratan Pelaporan Pelanggaran Hukum dan Data PDP di Indonesia – Privasi

Persyaratan Pelaporan Pelanggaran Hukum dan Data PDP di Indonesia – Privasi

Untuk mencetak artikel ini, Anda hanya perlu mendaftar atau login ke Mondaq.com.

(6 Oktober 2022) Indonesia baru-baru ini mengalami lonjakan pelanggaran data. Insiden baru-baru ini dilaporkan mencakup 105 juta orang yang datanya dikompromikan dalam pelanggaran database Komisi Pemilihan Umum pada September 2022. Dan sebulan sebelumnya, 26 juta pelanggan penyedia layanan internet IndiHome dilaporkan terkena dugaan pelanggaran data. Insiden ini dan insiden lainnya menggarisbawahi perlunya peraturan di Indonesia yang secara jelas menguraikan persyaratan dan prosedur untuk melaporkan pelanggaran data.

Keamanan siber dan perlindungan data pribadi telah diatur dalam serangkaian undang-undang yang dikenal sebagai Peraturan PDP. Ini berlaku untuk penyedia sistem elektronik (“ESP’) bahwa: (i) memberikan layanan di wilayah Indonesia; (ii) melakukan bisnis di Indonesia dan/atau; (iii) yang sistem elektroniknya digunakan dan/atau ditawarkan di wilayah Indonesia. Sekarang setelah Undang-Undang Perlindungan Data Pribadi (PDP) yang telah lama ditunggu-tunggu dikabarkan akan berlaku, bisnis dapat mengharapkan perubahan pada keamanan siber dan sistem pelaporan pelanggaran data.

Melaporkan insiden keamanan siber

Berdasarkan Pasal 24(3) Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“GR71”), dalam hal terjadi kegagalan atau gangguan sistem yang sangat mempengaruhi tindakan pihak lain, ESP harus mengamankan informasi dan dokumen elektronik dalam sistemnya dan segera melaporkan kejadian tersebut kepada aparat penegak hukum dan kementerian atau Lembaga terkait.

Sementara Peraturan PDP tidak menunjuk otoritas khusus yang akan dilaporkan pelanggaran datanya, Menteri Komunikasi dan Informatika (“MOCI‘) Pejabat dikonsultasikan dan mengatakan ESP diharuskan untuk menyerahkan laporan pelanggaran data ke (i) Menkominfo dan (ii) Dewan Siber Nasional dan Kode Negara (Badan Siber dan Sandi Negara atau “BSSN“).

READ  Indonesia dan China berjanji untuk menjaga perdamaian dan stabilitas di Asia Timur

Untuk menyampaikan laporan ke Menkominfo, ESP yang mengalami pelanggaran data harus mengisi formulir dan mengirimkannya ke [email protected]. Untuk mengajukan laporan ke BSSN, ESP yang teridentifikasi melakukan pelanggaran data harus mengirimkan laporan beserta bukti pendukungnya ke BSSN di [email protected] atau [email protected].

Pemberitahuan kepada Pemilik Data

Selain kewajiban melapor kepada Menkominfo dan BSSN, Pasal 28 Permenkominfo 20 Tahun 2016 tanggal 1 Desember 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (“Nomor Reg.MOCI 20’), mengharuskan ESP untuk memberi tahu pemilik data yang terpengaruh ketika perlindungan data pribadi disusupi dalam sistem elektronik yang mereka kelola. Ini berarti bahwa ESP yang terpengaruh oleh pelanggaran data harus memberi tahu pemilik data yang terpengaruh, terlepas dari apakah pelanggaran data dapat menyebabkan kerugian. Jika pelanggaran tersebut berpotensi merugikan pemilik data, Pasal 28(c)(3) Menkominfo Reg. 20 mewajibkan ESP untuk memastikan bahwa pemberitahuan tersebut benar-benar diterima oleh pemilik data pribadi.

Berdasarkan Pasal 28(c) Menkominfo Reg. 20, pemberitahuan kepada pemilik data yang terkena dampak harus secara tertulis, tetapi dapat dilakukan melalui email atau sarana elektronik lainnya jika pemilik data telah memberikan persetujuan sebelumnya.

Tidak ada formulir yang ditentukan untuk pemberitahuan ini, selain yang diwajibkan berdasarkan Pasal 28(c)(1) Menkominfo Reg. 20, berisi alasan atau penyebab pelanggaran data.

Meskipun peraturan PDP tidak menentukan bahasa pemberitahuan, menurut konsultasi resmi Menkominfo, pemberitahuan di Indonesia harus dibuat dalam bahasa Indonesia atau disertai dengan terjemahan bahasa Indonesia.

Menurut Pasal 100 PP 71, kegagalan untuk memenuhi kewajiban pelaporan dapat mengakibatkan sanksi administratif, termasuk peringatan tertulis, denda administrasi, penghentian sementara pengoperasian sistem elektronik, pemblokiran akses ke sistem elektronik, dan penghapusan dari daftar terdaftar. ESP.

READ  Diplomat Uni Eropa Cari Hubungan Lebih Dekat dengan Indonesia - The Diplomat

Rancangan undang-undang tentang perlindungan data pribadi

RUU PDP yang sempat menjadi perdebatan beberapa tahun ini dikabarkan telah disahkan DPR pada 20 September 2022 dan kini menunggu tanda tangan Presiden sebelum diberlakukan. Rancangan undang-undang PDP terbaru yang tersedia untuk umum mengatur pembentukan badan baru yang akan, antara lain, mengatur dan menetapkan kebijakan di bidang perlindungan data pribadi, menerima laporan pelanggaran dan menegakkan hukuman bagi pelanggar.

Tentang pemberitahuan pelanggaran siber, Pasal 46 UU PDP mengatur bahwa dalam hal terjadi kegagalan perlindungan data pribadi, pengontrol data pribadi harus menyampaikan pemberitahuan tertulis kepada subjek data data pribadi dan otoritas yang baru dibentuk paling lambat 3 x 24 jam harus di bawah RUU PDP. Pengontrol data pribadi juga harus memberi tahu publik jika pelanggaran tersebut mengganggu layanan publik dan/atau secara signifikan mempengaruhi kepentingan publik.

Pasal 46 juga memberikan panduan tentang konten yang diperlukan dari pemberitahuan tertulis tersebut, yang setidaknya harus mencakup deskripsi data pribadi yang dilanggar, waktu dan sifat pelanggaran data pribadi, dan upaya pengontrol data pribadi untuk mengurangi dampaknya. pelanggaran data dan pemulihan data pribadi yang terpengaruh.

Ketentuan ini memberikan kejelasan tentang jangka waktu yang sebelumnya tidak jelas untuk memberi tahu pihak terkait jika terjadi pelanggaran data pribadi dan informasi yang harus dicantumkan dalam pemberitahuan tersebut. Ini juga menghilangkan kebutuhan pengontrol data pribadi untuk melaporkan pelanggaran data ke Menkominfo dan BSSN.

Namun, pemberitahuan pelanggaran data harus terus disampaikan kepada Menkominfo dan BSSN selama masa transisi sebelum otoritas baru dibentuk dan berfungsi berdasarkan UU PDP. Selain itu, menurut Pasal 75 UU PDP, semua peraturan perundang-undangan terkait perlindungan data pribadi tetap berlaku sepanjang tidak bertentangan dengan salah satu ketentuan UU PDP. Ini berarti prosedur untuk memberi tahu pemilik data pribadi yang terkena dampak berdasarkan Reg.20 Menkominfo tetap berlaku.

READ  Kesepakatan kapal selam Australia-AS mengkhawatirkan Indonesia

Isi artikel ini dimaksudkan untuk memberikan panduan umum tentang topik tersebut. Sehubungan dengan keadaan khusus Anda, Anda harus mencari nasihat dari seorang spesialis.

ARTIKEL POPULER TENTANG: Perlindungan data dari Indonesia

Hukum Perlindungan Data di India – Semua yang perlu Anda ketahui

Advokat Asosiasi Vaish

Privasi mengacu pada seperangkat undang-undang, kebijakan, dan prosedur privasi yang dirancang untuk meminimalkan gangguan pada privasi individu melalui pengumpulan, penyimpanan, dan penyebaran informasi pribadi. Data pribadi umumnya mengacu pada informasi atau data yang berkaitan dengan individu yang dapat diidentifikasi dari informasi atau data tersebut, baik yang dikumpulkan oleh pemerintah atau organisasi swasta atau otoritas publik.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *