Pengguna Akan Berhak Mendapat 6 Informasi Jika Data Bocor

Kominfo atau Kementerian Komunikasi dan Informatika menyiapkan aturan terkait kewajiban perusahaan yang mengambil data pribadi pengguna. Pengguna layanan nantinya berhak mendapatkan minimal enam informasi jika data bocor.

Berdasarkan draf rancangan Peraturan Pemerintah atau RPP Pelindungan Data Pribadi tertanggal 31 Agustus, aturan ini memuat hak pengguna jika data bocor.

“Pengendali data pribadi atau perusahaan harus memberikan pemberitahuan tertulis kepada subjek data pribadi dan lembaga pelindungan data pribadi saat terjadi kegagalan pelindungan,” demikian dikutip dari draf rancangan Peraturan Pemerintah tersebut.

Informasi yang harus disampaikan kepada pengguna jika data bocor, sebagai berikut:

1. Data pribadi yang terungkap
2. Deskripsi jenis kegagalan pelindungan data pribadi
3. Waktu dan cara data pribadi terungkap
4. Dampak kegagalan pelindungan data pribadi terhadap subjek data pribadi
5. Upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali
6. Informasi narahubung

Perusahaan, kementerian atau lembaga harus menetapkan dan melaksanakan kebijakan, prosedur, dan/atau pedoman mengenai pencegahan dan penanganan kegagalan pelindungan data pribadi paling sedikit memuat:

1. Pembagian peran dan tanggung jawab penanganan kegagalan pelindungan data pribadi
2. Mekanisme untuk melakukan analisis, klasifikasi, prioritisasi, pemantauan, penanganan, dan penyelesaian kegagalan pelindungan data pribadi, termasuk pasca-kejadian
3. Dokumentasi penanganan kegagalan pelindungan data pribadi dan mekanisme pelaporan kepada subjek data pribadi dan lembaga pelindungan data pribadi
4. Peninjauan dan pembaruan berkala proses penanganan kegagalan pelindungan data pribadi

Sebelumnya, perusahaan juga harus menentukan secara jelas tujuan dari pemrosesan data pribadi dan memberitahukannya kepada pengguna. Selain itu, menerapkan pengendalian teknis dan organisasi dalam hal pencegahan kegagalan pelindungan data pribadi.

Dalam memproses data pribadi, perusahaan harus:

• Menerapkan mekanisme keamanan untuk memastikan:

1. Data pribadi dapat diakses, diubah, diungkapkan, atau dihapus hanya oleh pihak yang diberi wewenang
2. Data pribadi yang disimpan atau diproses akurat dan lengkap
3. Data pribadi yang hilang, diubah, atau dihancurkan secara tidak sengaja harus dapat dipulihkan oleh pengendali data pribadi, sehingga tetap dapat diakses dan digunakan

• Menganalisis risiko terhadap aktivitas pemrosesan data pribadi dan menggunakannya untuk menilai tingkat keamanan yang sesuai yang perlu diterapkan
• Memiliki kebijakan keamanan informasi dan pelindungan data pribadi, serta mengambil langkah-langkah untuk memastikan kebijakan tersebut diterapkan, serta memastikan bahwa pengendalian diterapkan secara konsisten dan berkelanjutan
• Secara berkala meninjau kebijakan dan pengendalian keamanan informasi dan pelindungan data pribadi, serta memperbaikinya jika diperlukan
• Menerapkan pengendalian teknis dasar berdasarkan kerangka kerja dan/atau standar yang umum digunakan
• Menerapkan pelindungan terhadap data pribadi melalui mekanisme enkripsi dan/atau penyamaran data
• Memahami, menentukan, dan menerapkan persyaratan kerahasiaan, integritas, ketersediaan, autentikasi, otorisasi, keutuhan, dan akuntabilitas untuk data pribadi yang diproses
• Memastikan bahwa akses ke data pribadi dapat dipulihkan jika terjadi insiden keamanan data, yaitu dengan membuat proses pencadangan yang sesuai dengan ketentuan peraturan perundang-undangan
• Melakukan pengujian dan peninjauan rutin terhadap langkah pengendalian keamanan untuk memastikan aktivitas tersebut tetap efektif dan berkelanjutan

Perusahaan sebagai pengendali data pribadi wajib menyampaikan informasi mengenai: