PLN hingga Tokopedia Kini Wajib Lapor ke Pengguna jika Data Bocor

DPR resmi mengesahkan Undang-undang alias UU Pelindungan Data Pribadi dalam Rapat Paripurna hari ini (20/9). Dengan adanya regulasi ini, perusahaan hingga kementerian dan lembaga (K/L) wajib memberitahu pengguna jika ada pelanggaran, termasuk data bocor.

"Apakah RUU tentang Pelindungan Data Pribadi dapat disetujui untuk disahkan menjadi undang-undang?" ujar Wakil Ketua DPR Lodewijk Freidrich Paulus saat memimpin Rapat Paripurna DPR ke-5 Masa Persidangan I Tahun Sidang 2022-2023, Selasa (20/9).

"Setuju," kata peserta. Rapat Paripurna ini diikuti oleh 295 anggota dewan, dengan rincian 73 orang hadir secara fisik dan 206 secara virtual.

Menteri Komunikasi dan Informatika (Kominfo) Johnny G Plate menyampaikan, RUU Pelindungan Data Pribadi disampaikan oleh Presiden Jokowi kepada Ketua DPR melalui surat presiden pada 24 Januari 2020.

Pemerintah dan DPR menyetujui naskah RUU Pelindungan Data Pribadi untuk dibawa ke tingkat II pada 7 September. “Panjangnya pembahasan yang dilalui merupakan proses untuk menghasilkan UU yang substatif dan komprehensif,” kata Johnny di Gedung DPR. 

Pada 7 September, Katadata.co.id memperoleh draf RUU Pelindungan Data Pribadi yang terdiri dari 16 Bab dan 76 pasal. Isinya sama dengan yang disahkan dalam rapat paripurna hari ini.

Regulasi itu salah satunya membahas tentang kewajiban pengendali data pribadi, jika terjadi pelanggaran. Hal ini diatur dalam pasal 46 – 48.

Pengendali data pribadi yakni setiap orang atau badan publik atau organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan pengendalian atas pemrosesan data pribadi.

“Dalam hal terjadi kegagalan pelindungan data pribadi, pengendali wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek dan lembaga,” demikian bunyi pasal 46.

Pemberitahuan tertulis itu minimal memuat:

• Apa data pribadi yang bocor
• Kapan dan bagaimana data bocor
• Upaya penanganan dan pemulihan atas kebocoran data oleh pengendali data

“Dalam hal tertentu, pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan melindungi data,” demikian dikutip.

Pada Pasal 47 disebutkan mengenai tanggung jawab pengendali data atas pemrosesan data. Rincian kewajiban pengendali data sebagai berikut:

1. Pengendali data pribadi wajib menyempaikan informasi mengenai:

- Legalitas pemrosesan data pribadi

- Tujuan

- Jenis dan relevansi data pribadi yang akan diproses

- Jangka waktu retensi dokumen yang memuat data pribadi

- Rincian mengenai informasi yang dikumpulkan

- Jangka waktu pemrosesan data

- Hak subjek data

Jika ada perubahan informasi, maka pengendali wajib memberitahukan kepada subjek data sebelum berubah.

2. Pengendali juga wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data.

3. Pengendali wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi

4. Pengendali wajib memberikan akses kepada subjek data terhadap data pribadi yang diproses paling lama 3 x 24 jam sejak permintaan akses

5. Pengendali wajib memberikan akses kepada subjek data terhadap rekam jejak pemrosesan data paling lama 3 x 24 jam sejak permintaan akses

6. Pengendali wajib melakukan penilaian dampak perlindungan data dalam hal pemrosesan data yang berisiko tinggi terhadap subjek, seperti memiliki akibat hukum

7. Pengendali wajib melindungi dan memastikan keamanan data yang diproses, dengan cara:

• Menyusun dan menerapkan langkah teknis operasional
• Menentukan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko datanya

8. Pengendali wajib menjaga kerahasiaan data pribadi

9. Pengendali wajib mengawasi setiap pihak yang terlibat dalam pemrosesan data

10. Pengendali wajib melindungi data dari pemrosesan yang tidak sah atau ilegal

11. Pengendali wajib mencegah data pribadi diakses secara tidak sah

12. Pengendali wajib menghentikan pemrosesan data jika subjek menarik kembali persetujuan

13. Pengendali wajib menghentikan pemrosesan data paling lambat 3 x 24 jam setelah penarikan persetujuan

14. Pengendali wajib memberitahukan kepada subjek jika gaga melindungi data mereka paling lambat 3 x 24 jam

15. Pengendali juga wajib melaporkan pemrosesan data yang tidak sah kepada lembaga yang berwajib

Ada lebih banyak kewajiban pengendali dalam memproses data pribadi, yang diatur dalam RUU Pelindungan Data Pribadi.

Selain itu, Pasal 51 menyebutkan bahwa pengendali data menunjuk prosesor data. Ini adalah setiap orang atau badan publik atau organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama memproses data pribadi atas nama pengendali.

Kewajiban prosesor data yakni:

• Pengendali data wajib menunjuk prosesor data pribadi yang memiliki kewajiban melakukan pemrosesan data
• Prosesor data wajib mendapatkan persetujuan tertulis dari pengendali data sebelum melibatkan prosesor data pribadi lain

“Pemrosesan data pribadi itu menjadi tanggung jawab pengendali,” demikian dikutip. “Prosesor wajib mendapatkan persetujuan tertulis dari pengendali sebelum melibatkan prosesor lain dalam memproses data pribadi.”