Pengguna Akan Bisa Minta Ganti Rugi jika Data Bocor
Pengguna aplikasi milik startup maupun pemerintah akan berhak meminta ganti rugi jika data bocor. Hal ini tertuang dalam draf rancangan Peraturan Pemerintah turunan Undang-undang atau UU Pelindungan Data Pribadi.
Berdasarkan draf rancangan Peraturan Pemerintah atau RPP Pelindungan Data Pribadi tertanggal 31 Agustus, aturan ini memuat hak pengguna jika data pribadinya digunakan untuk iklan.
“Pengguna berhak menggugat dan menerima ganti rugi atas pelanggaran, baik berdasarkan kesalahan maupun kelalaian pengendali data pribadi, dalam pemrosesan data pribadi tentang dirinya sesuai ketentuan peraturan perundang-undangan,” demikian dikutip dari draf tersebut.
Kebocoran data merupakan pelanggaran dalam pemrosesan data pribadi. Pelanggaran terjadi ketika kegiatan pemrosesan data pribadi tidak sesuai dengan kewajiban dalam ketentuan peraturan perundang-undangan.
Pelanggaran tersebut yang mengakibatkan antara lain:
- Akses data pribadi secara tidak sah
- Pengambilan data pribadi secara tidak sah
- Penampilan data pribadi secara tidak sah
- Pembatasan dan/atau penolakan pemenuhan hak subjek data pribadi dalam UU Pelindungan Data Pribadi
- Pembatasan pelaksanaan hak subjek data pribadi yang diatur oleh peraturan perundang-undangan
Ganti rugi jika data bocor dapat berupa materiil maupun non-materiil. Berikut penjelasannya:
- Ganti rugi materiil berupa pemberian sejumlah uang dengan nilai setara kerugian yang diderita oleh pengguna akibat kegiatan pemrosesan oleh pengendali dan/atau prosesor data pribadi
- Ganti rugi non-materiil berupa tindakan pemulihan atau tindakan lain, selain pemberian uang, untuk memulihkan kondisi pelindungan terhadap data pribadi pengguna ke kondisi sebelum. Ini dilakukan sesuai kewajiban pengendali dan/atau prosesor data pribadi pada peraturan perundang-undangan.
Pengguna dapat mengajukan permintaan ganti rugi atas pelanggaran pemrosesan data pribadi kepada pengendali dan/atau prosesor data pribadi dengan menyampaikan:
- Bukti terjadinya pelanggaran pemrosesan data pribadi yang berdampak terhadap subjek data pribadi, tanpa harus membuktikan kerugian yang diderita
- Informasi dan bukti pendukung nominal kerugian materiel maupun non-materiil yang diderita
- Informasi dan bukti bahwa data pribadi subjek diproses oleh pengendali data pribadi
- Informasi dan bukti terkait data pribadi yang menjadi target kegagalan pelindungan data pribadi
Kewajiban bagi perusahaan dalam proses penggantian rugi, yakni:
- Menyiapkan media komunikasi pengajuan permintaan ganti rugi oleh subjek data pribadi
- Menerapkan kebijakan ganti rugi yang mudah, cepat, dan langkah mitigasi atas dampak pelanggaran pemrosesan data pribadi
- Menyediakan informasi kebijakan ganti rugi, dengan ketentuan:
- Diumumkan kepada subjek data pribadi melalui pemberitahuan pelindungan data pribadi
- Menggunakan bahasa Indonesia, secara singkat dan jelas
- Informasi kebijakan ganti rugi paling sedikit memuat:
- Tata cara permintaan ganti rugi
- Jenis ganti rugi yang dapat diberikan pengendali data pribadi kepada subjek data pribadi
- Pernyataan bahwa jika subjek data pribadi meminta ganti rugi di luar yang dapat dimintakan kepada pengendali, maka pengendali data pribadi berhak menolak permintaan ganti rugi
- Pernyataaan bahwa pemberitahuan pemrosesan atau penolakan permintaan ganti rugi akan diberitahukan selambat-lambatnya tiga hari setelah permohonan ganti rugi diterima
- Informasi pejabat pelindung data pribadi prosesor kepada subjek pemohon ganti rugi, dalam hal pelanggaran pemrosesan melibatkan prosesor data pribadi
Pihak yang berwenang menentukan nilai atau tindakan ganti rugi meliputi:
- Pihak yang ditunjuk oleh pengendali data pribadi dan subjek, dalam hal keduanya sepakat untuk memilih upaya penyelesaian sengketa di luar pengadilan
- Hakim pada pengadilan yang berwenang
Dalam menentukan nilai ganti rugi, pihak yang berwenang menentukan nilai atau tindakan ganti rugi perlu mempertimbangkan:
- Tingkat niat jahat atau perkiraan kerugian
- Jumlah kerugian
- Keuntungan ekonomi pengendali data pribadi akibat pelanggaran
- Jumlah denda kepada pelanggaran
- Durasi, dan frekuensi pelanggaran
- Aset pengendali data pribadi
- Upaya pengendali data pribadi mendapatkan informasi personal setelah insiden
- Upaya pengendali data pribadi mengatasi kerugian subjek
Jika perusahaan dan/atau prosesor data pribadi menolak untuk memberikan ganti rugi atau tidak sesuai dengan permintaan pengguna, maka pengguna dapat mengajukan permohonan penyelesaian sengketa ke Lembaga PDP untuk mencapai kesepakatan mengenai:
- Bentuk dan besarnya ganti rugi
- Tindakan tertentu untuk menjamin tidak akan terjadi kembali atau tidak akan terulang kembali kerugian yang diderita oleh subjek
Berdasarkan draf, Peraturan Pemerintah Pelindungan Data Pribadi tersebut terdiri dari 10 Bab dan 245 pasal. Bab yang dimaksud yakni:
- Ketentuan umum
- Data pribadi
- Pemrosesan data pribadi
- Hak dan kewajiban
- Transfer data pribadi di luar wilayah hukum negara Republik Indonesia
- Kerja sama internasional
- Kewenangan lembaga pelindungan data pribadi
- Sanksi administratif
- Penyelesaian sengketa dan hukum acara
- Ketentuan penutup