Author: Nur Laila Agustin, S.H.
RUU Pelindungan Data Pribadi, disahkan menjadi Undang-Undang Pelindungan Data Pribadi atau disebut UU PDP, menjadikan era baru dalam tata kelola data pribadi di Indonesia. Berbicara mengenai data pribadi, kilas balik saat sebelum disahkan UU PDP banyaknya kebocoran data yang terjadi. Seperti yang terjadi kebocoran data SIM Card, kebocoran data pelamar kerja anak perusahaan Pertamina, kebocoran data milik Kemenkes, kebocoran data KPAI dan Bank Jatim, dan masih banyak lagi (Kominfo, 2022).
Adanya kebocoran data tersebut menimbulkan keresahan di masyarakat, tersebarnya informasi pribadi secara terbuka dimana-mana menyebabkan masyarakat merasa dirinya tidak aman kerena data pribadinya digunakan untuk kejahatan. Hal itu juga berdampak pada perusahaan yang menyebabkan hilangnya kepercayaan publik, reputasi, dan tuntutan hukum maka pemerintah melalui Kemenkominfo harus segera bertindak. Seperti salah satu contoh kasus yang terjadi pada kebocoran data pelamar PT. Pertamina Training & Consulting (PTC), yang diduga terjadi lewat raid forums nampaknya telah diblokir aksesnya di Indonesia namun tetap bisa diakses di kawasan lainnya. Ada pun data-data yang bocor di antaranya nama lengkap, alamat, tempat dan tanggal lahir, agama, nomor ponsel, hingga gelar secara rinci. Selain itu data KTP, Kartu Keluarga, ijazah, transkrip akademik, kartu BPJS, CV, dan Surat Izin Mengemudi juga turut diungkap. Data-data itu dibagikan oleh akun bernama Astarte yang juga membocorkan data pasien Covid-19 yang diduga berasal dari Kementerian Kesehatan (Leski Rizkinaswara, 2022).
Baca juga: Bagaimana Hak Negara Dalam Penyelesaian Utang Pajak Terhadap Perseroan Yang Telah Dinyatakan Pailit?
Melihat kejadian tersebut sangat diperlukan sebuah aturan yang melindungi keamanan data pribadi tersebut. Sebenarnya Permenkominfo Nomor 20 Tahun 2016 telah mengatur tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, namun dalam peraturan tersebut belum mengatur secara spesifik terkait perlindungannya jika terjadi penyalahgunaan pada data pribadi, sehingga untuk meningkatkan efektivitas dalam pelaksanaan pelindungan data pribadi diperlukan pengaturan mengenai pelindungan data pribadi dalam suatu undang-undang yaitu dengan disahkannya UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi pada tanggal 17 Oktober 2022. Pelindungan data pribadi adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.
Adanya UU PDP ini Kemenkominfo akan melaksanakan pengawasan terhadap tata kelola data pribadi oleh para Penyelenggara Sistem Elektronik (PSE). Apabila terjadi insiden data pribadi atau kebocoran data pribadi (breach), maka akan dilakukan pemeriksaan terhadap penyelenggara data pribadi, apakah mereka telah melaksanakan complience sesuai UU PDP. Jika tidak maka PSE diberikan berbagai jenis sanksi yang diatur dalam UU PDP berupa sanksi administratif yaitu berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi dan/atau denda administratif. Disamping itu juga terdapat sanksi pidana penjara dan/atau denda serta tindak pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.
Data pribadi ini bersifat spesifik dan bersifat umum. Spesifik ini meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan data lainnya sesuai ketentuan perundang-undangan. Sedangkan bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, data pribadi yang dikombinasi untuk mengidentifikasi seseorang (Pasal 4 UU PDP).
Dalam hal pemrosesan data pribadi yang dapat dilakukan pengendali data pribadi meliputi pemerolehan dan pengumpulan, pengolohan dan penganalisisan, penyimpanan, perbaikan dan pembaruan, penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan dan penghapusan atau pemusnahan (Pasal 16 ayat (1) UU PDP). Dalam pemrosesan data pribadi, pengendali data pribadi wajib menjaga kerahasiaan data pribadi. Pengendali data pribadi dan prosesor data pribadi yaitu setiap orang, badan publik dan organisasi internasional. Adapun pemrosesan data pribadi terhadap anak harus mendapatkan persetujuan orang tua atau wali, kemudian untuk penyandang disabilitas juga dilakukan secara khusus dengan melalui komunikasi menggunakan cara khusus dan harus mendapat persetujuan dari penyandang disabilitas dan/atau wali penyandang disabilitas.
Dalam hal prosesor data pribadi merasa terjadi kesalahan atau ketidakakuratan dalam datanya maka dapat meminta pembaruan dan/atau perbaikan data pribadi kepada pengendali data pribadi, pengendali data pribadi wajib memperbarui kesalahan tersebut paling lambat 3 x 24 jam sejak pengendali data pribadi menerima permintaan. Pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diproses dapat melakukan (a) penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan; (b) penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi. Dalam mewujudkan penyelenggaraan pelindungan data pribadi dilaksanakan oleh lembaga yang ditetapkan Presiden.
Baca juga: Penerapan Asset Recovery Dalam Tindak Pidana Perpajakan
Dengan adanya UU PDP ini, kejahatan yang dilakukan oleh oknum yang tidak bertanggung jawab dapat ditindak lanjuti. Selain itu keamanan data pribadi dapat terjamin lebih aman dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya data pribadi sesuai dengan konsiderans dalam pembentukan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi.
