Kominfo atau Kementerian Komunikasi dan Informatika menyiapkan aturan terkait kewajiban perusahaan yang mengambil data pribadi pengguna. Pengguna layanan nantinya berhak mendapatkan minimal enam informasi jika data bocor.
Berdasarkan draf rancangan Peraturan Pemerintah atau RPP Pelindungan Data Pribadi tertanggal 31 Agustus, aturan ini memuat hak pengguna jika data bocor.
“Pengendali data pribadi atau perusahaan harus memberikan pemberitahuan tertulis kepada subjek data pribadi dan lembaga pelindungan data pribadi saat terjadi kegagalan pelindungan,” demikian dikutip dari draf rancangan Peraturan Pemerintah tersebut.
Informasi yang harus disampaikan kepada pengguna jika data bocor, sebagai berikut:
- Data pribadi yang terungkap
- Deskripsi jenis kegagalan pelindungan data pribadi
- Waktu dan cara data pribadi terungkap
- Dampak kegagalan pelindungan data pribadi terhadap subjek data pribadi
- Upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali
- Informasi narahubung
Perusahaan, kementerian atau lembaga harus menetapkan dan melaksanakan kebijakan, prosedur, dan/atau pedoman mengenai pencegahan dan penanganan kegagalan pelindungan data pribadi paling sedikit memuat:
- Pembagian peran dan tanggung jawab penanganan kegagalan pelindungan data pribadi
- Mekanisme untuk melakukan analisis, klasifikasi, prioritisasi, pemantauan, penanganan, dan penyelesaian kegagalan pelindungan data pribadi, termasuk pasca-kejadian
- Dokumentasi penanganan kegagalan pelindungan data pribadi dan mekanisme pelaporan kepada subjek data pribadi dan lembaga pelindungan data pribadi
- Peninjauan dan pembaruan berkala proses penanganan kegagalan pelindungan data pribadi
Sebelumnya, perusahaan juga harus menentukan secara jelas tujuan dari pemrosesan data pribadi dan memberitahukannya kepada pengguna. Selain itu, menerapkan pengendalian teknis dan organisasi dalam hal pencegahan kegagalan pelindungan data pribadi.
Dalam memproses data pribadi, perusahaan harus:
- Menerapkan mekanisme keamanan untuk memastikan:
- Data pribadi dapat diakses, diubah, diungkapkan, atau dihapus hanya oleh pihak yang diberi wewenang
- Data pribadi yang disimpan atau diproses akurat dan lengkap
- Data pribadi yang hilang, diubah, atau dihancurkan secara tidak sengaja harus dapat dipulihkan oleh pengendali data pribadi, sehingga tetap dapat diakses dan digunakan
- Menganalisis risiko terhadap aktivitas pemrosesan data pribadi dan menggunakannya untuk menilai tingkat keamanan yang sesuai yang perlu diterapkan
- Memiliki kebijakan keamanan informasi dan pelindungan data pribadi, serta mengambil langkah-langkah untuk memastikan kebijakan tersebut diterapkan, serta memastikan bahwa pengendalian diterapkan secara konsisten dan berkelanjutan
- Secara berkala meninjau kebijakan dan pengendalian keamanan informasi dan pelindungan data pribadi, serta memperbaikinya jika diperlukan
- Menerapkan pengendalian teknis dasar berdasarkan kerangka kerja dan/atau standar yang umum digunakan
- Menerapkan pelindungan terhadap data pribadi melalui mekanisme enkripsi dan/atau penyamaran data
- Memahami, menentukan, dan menerapkan persyaratan kerahasiaan, integritas, ketersediaan, autentikasi, otorisasi, keutuhan, dan akuntabilitas untuk data pribadi yang diproses
- Memastikan bahwa akses ke data pribadi dapat dipulihkan jika terjadi insiden keamanan data, yaitu dengan membuat proses pencadangan yang sesuai dengan ketentuan peraturan perundang-undangan
- Melakukan pengujian dan peninjauan rutin terhadap langkah pengendalian keamanan untuk memastikan aktivitas tersebut tetap efektif dan berkelanjutan
Perusahaan sebagai pengendali data pribadi wajib menyampaikan informasi mengenai:
- Legalitas dari pemrosesan
- Tujuan pemrosesan
- Jenis dan relevansi data pribadi yang akan diproses
- Jangka waktu retensi dokumen yang memuat data pribadi
- Rincian mengenai informasi yang dikumpulkan
- Jangka waktu pemrosesan data pribadi
- Hak subjek data pribadi
Selain itu, informasi yang wajib disampaikan paling sedikit memuat:
- Identitas pengendali dan/atau prosesor data pribadi yang meliputi:
- Nama
- Deskripsi singkat
- Kontak
- Representatif sesuai dengan ketentuan peraturan perundang-undangan
- Kontak pejabat petugas pelindung data pribadi sesuai dengan ketentuan peraturan perundang-undangan
- Sumber pengumpulan dan tujuan pengiriman data pribadi
- Dasar pemrosesan
- Tujuan pemrosesan
- Jenis
- Dasar hukum penggunaan data pribadi
- Jangka waktu data pribadi akan digunakan
- Jangka waktu data pribadi akan disimpan
- Jangka waktu data pribadi akan dimusnahkan
- Bagaimana penyimpanan dan pengelolaan dilakukan
- Informasi pihak yang akan menggunakan data dalam hal pengendali data pribadi melibatkan prosesor data pribadi
- Mekanisme persetujuan dan penarikan persetujuan dalam hal pemrosesan
- Mekanisme memperoleh akses dan/atau salinan
- Mekanisme menyampaikan keberatan
- Mekanisme akses, salinan, verifikasi, dan perbaikan data pribadi
- Langkah keamanan untuk melindungi data pribadi
“Jika terdapat perubahan informasi, perusahaan wajib memberitahukan kepada subjek data pribadi sebelum terjadi perubahan,” demikian dikutip.
Pengguna berhak mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Salinan data pribadi yang dimaksud meliputi data pribadi dari subjek data atau pengguna yang tidak berdampak bagi pengungkapan data pribadi orang lain. Salinan dapat meliputi rekam jejak pemrosesan dari pemohon.
Perusahaan wajib memberikan akses kepada pengguna paling lambat tiga hari, terhitung sejak pengendali menerima permintaan akses. Pemberian akses sekurang-kurangnya meliputi:
- Akses terhadap data pribadi yang diproses beserta rekam jejak pemrosesan sesuai dengan jangka waktu penyimpanan
- Informasi yang diberikan oleh pengendali terkait konfirmasi permintaan akses
Perusahaan wajib menolak permohonan akses perubahan terhadap data pribadi kepada pengguna, jika:
- Membahayakan keamanan, kesehatan fisik, atau kesehatan mental subjek data pribadi dan/atau orang lain
- Berdampak pada pengungkapan data pribadi milik orang lain
- Bertentangan dengan kepentingan pertahanan dan keamanan nasional
Berdasarkan draf, Peraturan Pemerintah Pelindungan Data Pribadi tersebut terdiri dari 10 Bab dan 245 pasal. Bab yang dimaksud yakni:
- Ketentuan umum
- Data pribadi
- Pemrosesan data pribadi
- Hak dan kewajiban
- Transfer data pribadi di luar wilayah hukum negara Republik Indonesia
- Kerja sama internasional
- Kewenangan lembaga pelindungan data pribadi
- Sanksi administratif
- Penyelesaian sengketa dan hukum acara
- Ketentuan penutup