Kementerian dan Startup Akan Wajib Beri Tahu Pengguna Jika Data Bocor

Lenny Septiani
Oleh Lenny Septiani
5 September 2023, 11:43
data bocor, pelindungan data pribadi, kominfo
Muhammad Zaenuddin|Katadata
Ilustrasi

Kementerian dan lembaga, maupun startup akan wajib memberi tahu pengguna jika data bocor. Hal ini bakal diatur dalam Peraturan Pemerintah turunan dari Undang-undang atau UU Pelindungan Data Pribadi.

Berdasarkan draf rancangan Peraturan Pemerintah atau RPP Pelindungan Data Pribadi tertanggal 31 Agustus, Pasal 124 menyebutkan dalam hal terjadi kegagalan dalam melindungi data pribadi, maka pengendali wajib menyampaikan pemberitahuan kepada pengguna.

Pemberitahuan data bocor harus disampaikan paling lama tiga hari, “terhitung sejak kegagalan diketahui secara pasti, patut dan wajar,” demikian dikutip dari draf RPP tersebut.

Pemberitahuan data bocor tersebut minimal memuat:

  1. Data pribadi yang terungkap
  2. Kapan dan bagaimana data pribadi terungkap
  3. Dampak insiden, serta upaya penanganan dan pemulihan atas terungkapnya data pribadi
  4. Kontak narahubung

Pengendali data pribadi seperti Kementerian dan perusahaan wajib memberitahukan kepada masyarakat umum mengenai insiden termasuk data bocor, jika hal ini dapat:

Baca Juga
  1. Mengganggu pelayanan publik
  2. Berdampak serius terhadap kepentingan masyarakat
  3. Pengendali tidak dapat memastikan bahwa subjek dapat menerima pemberitahuan secara langsung

Kementerian dan perusahaan wajib menyusun dokumentasi atas terjadinya insiden, paling sedikit memuat informasi:

  • Penyebab
  • Waktu dan kronologi kegagalan
  • Data pribadi yang terkena dampak
  • Akibat kegagalan
  • Tindakan penanganan dan perbaikan yang dilakukan
  • Kesimpulan apakah terjadi pengungkapan data pribadi
  • Jangka waktu pemberitahuan kepada subjek dan Lembaga Pelindungan Data Pribadi
  • Risiko dari pengungkapan data pribadi terhadap pengguna

Dokumentasi itu wajib disampaikan kepada Lembaga Pelindungan Data Pribadi

Kementerian dan perusahaan wajib menetapkan dan melaksanakan kebijakan, prosedur, dan/atau pedoman mengenai pencegahan dan penanganan kegagalan, yang paling sedikit memuat:

  • Pembagian peran dan tanggung jawab penanganan kegagalan
  • Mekanisme untuk melakukan analisis, klasifikasi, prioritisasi, pemantauan, penanganan, dan penyelesaian kegagalan, termasuk pasca-kejadian
  • Dokumentasi penanganan kegagalan dan mekanisme pelaporan kepada pengguna dan Lembaga Pelindungan Data Pribadi
  • Peninjauan dan pembaruan berkala proses penanganan kegagalan

Kementerian dan perusahaan wajib melakukan penilaian dampak dari pemrosesan data pribadi yang memiliki potensi risiko tinggi terhadap pengguna, seperti:

  • Pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap pengguna
  • Pemrosesan atas data pribadi yang bersifat spesifik
  • Pemrosesan data pribadi dalam skala besar
  • Pemrosesan data pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap pengguna
  • Pemrosesan data pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data
  • Penggunaan teknologi baru dalam pemrosesan data pribadi
  • Pemrosesan data pribadi yang membatasi pelaksanaan hak pengguna

Selain itu, kementerian dan perusahaan wajib melakukan penilaian dampak sebelum melakukan pemrosesan data pribadi dengan risiko tinggi. Mereka juga harus memperhatikan dan mendokumentasikan saran dari Pejabat Petugas Pelindung Data Pribadi dalam melakukan penilaian.

Jika terdapat perubahan risiko pemrosesan data pribadi, maka harus melakukan peninjauan ulang penilaian dampak Pelindungan Data Pribadi.

Pengendali data pribadi yang melakukan penilaian juga dapat berkonsultasi dengan Lembaga Pelindungan Data Pribadi dalam hal:

  1. Pemrosesan membawa kerugian materiel dan/atau non-materiil pada pengguna
  2. Tidak ada kebijakan teknis dan organisasi yang pengendali data pribadi dapat sediakan untuk meminimalisasi dampak negatif

Kementerian dan perusahaan wajib melindungi dan memastikan keamanan data pribadi yang diproses, dengan melakukan:

  • Penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan yang bertentangan dengan ketentuan peraturan perundang-undangan
  • Penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data yang harus dilindungi dalam pemrosesan

Penyusunan dan penerapan langkah teknis operasional dilakukan dengan menerapkan:

  • Pseudonimisasi dan enkripsi data pribadi
  • Memastikan sistem dan layanan yang digunakan memiliki keamanan data pribadi dan ketahanan secara konsisten dalam pemrosesan
  • Memastikan sistem dan layanan yang digunakan memiliki kemampuan untuk mengembalikan akses dan ketersediaan data pribadi secara tepat waktu dalam hal terjadi insiden fisik atau teknis
  • Memiliki proses untuk melakukan pengujian, evaluasi, dan penilaian secara berkala untuk mengetahui tingkat efektivitas langkah teknis dan operasional sehingga menjamin keamanan pemrosesan

Penentuan tingkat keamanan data pribadi dilakukan pada saat terdapat potensi:

  • Pemusnahan data pribadi secara tanpa hak
  • Kehilangan, perubahan, atau pembukaan data pribadi secara tanpa hak
  • Akses dari data pribadi yang disimpan, dikirim, atau diproses dalam bentuk lain
  • Pelanggaran pemrosesan data pribadi

Dalam melakukan pemrosesan, pengendali wajib menjaga kerahasiaan data pribadi. Oleh karena itu, kementerian dan perusahaan wajib memastikan prosesor yang ditunjuk mampu:

  1. Mendukung kewajiban dalam menjaga kerahasiaan data pribadi
  2. Mengawasi setiap pihak yang terlibat dalam pemrosesan di bawah kendali pengendali

Pihak yang terlibat dalam pemrosesan dan di bawah kendali pengendali data pribadi, meliputi:

  1. Prosesor Data Pribadi
  2. Pihak yang merupakan unit, satuan kerja, atau perwakilan pengendali yang melakukan kegiatan pemrosesannya sendiri
  3. Pihak yang merupakan suatu badan hukum yang mayoritas sahamnya dimiliki atau dikendalikan dalam bentuk lainnya sesuai dengan ketentuan peraturan perundang-undangan oleh pengendali
  4. Pihak selain sebagaimana yang dimaksud pada huruf a sampai dengan huruf c yang terlibat dalam pemrosesan data pribadi

Dalam melakukan pengawasan, Kementerian dan perusahaan wajib menyiapkan:

  1. Kebijakan terkait pemrosesan
  2. Perjanjian yang mengatur kewajiban dan tanggung jawab pelindungan
  3. Kanal komunikasi pelaporan bagi masyarakat  dalam hal terjadi dugaan pelanggaran pemrosesan oleh prosesor data pribadi

Berdasarkan draf, Peraturan Pemerintah Pelindungan Data Pribadi tersebut terdiri dari 10 Bab dan 245 pasal. Bab yang dimaksud yakni:

  1. Ketentuan umum
  2. Data pribadi
  3. Pemrosesan data pribadi
  4. Hak dan kewajiban
  5. Transfer data pribadi di luar wilayah hukum negara Republik Indonesia
  6. Kerja sama internasional
  7. Kewenangan lembaga pelindungan data pribadi
  8. Sanksi administratif
  9. Penyelesaian sengketa dan hukum acara
  10. Ketentuan penutup

Reporter: Lenny Septiani
Editor: Desy Setyowati

Cek juga data ini

Berita Katadata.co.id di WhatsApp Anda

Dapatkan akses cepat ke berita terkini dan data berharga dari WhatsApp Channel Katadata.co.id

Ikuti kami

Artikel Terkait

Video Pilihan
Loading...