Kementerian dan Startup Akan Wajib Beri Tahu Pengguna Jika Data Bocor
Kementerian dan lembaga, maupun startup akan wajib memberi tahu pengguna jika data bocor. Hal ini bakal diatur dalam Peraturan Pemerintah turunan dari Undang-undang atau UU Pelindungan Data Pribadi.
Berdasarkan draf rancangan Peraturan Pemerintah atau RPP Pelindungan Data Pribadi tertanggal 31 Agustus, Pasal 124 menyebutkan dalam hal terjadi kegagalan dalam melindungi data pribadi, maka pengendali wajib menyampaikan pemberitahuan kepada pengguna.
Pemberitahuan data bocor harus disampaikan paling lama tiga hari, “terhitung sejak kegagalan diketahui secara pasti, patut dan wajar,” demikian dikutip dari draf RPP tersebut.
Pemberitahuan data bocor tersebut minimal memuat:
- Data pribadi yang terungkap
- Kapan dan bagaimana data pribadi terungkap
- Dampak insiden, serta upaya penanganan dan pemulihan atas terungkapnya data pribadi
- Kontak narahubung
Pengendali data pribadi seperti Kementerian dan perusahaan wajib memberitahukan kepada masyarakat umum mengenai insiden termasuk data bocor, jika hal ini dapat:
- Mengganggu pelayanan publik
- Berdampak serius terhadap kepentingan masyarakat
- Pengendali tidak dapat memastikan bahwa subjek dapat menerima pemberitahuan secara langsung
Kementerian dan perusahaan wajib menyusun dokumentasi atas terjadinya insiden, paling sedikit memuat informasi:
- Penyebab
- Waktu dan kronologi kegagalan
- Data pribadi yang terkena dampak
- Akibat kegagalan
- Tindakan penanganan dan perbaikan yang dilakukan
- Kesimpulan apakah terjadi pengungkapan data pribadi
- Jangka waktu pemberitahuan kepada subjek dan Lembaga Pelindungan Data Pribadi
- Risiko dari pengungkapan data pribadi terhadap pengguna
Dokumentasi itu wajib disampaikan kepada Lembaga Pelindungan Data Pribadi
Kementerian dan perusahaan wajib menetapkan dan melaksanakan kebijakan, prosedur, dan/atau pedoman mengenai pencegahan dan penanganan kegagalan, yang paling sedikit memuat:
- Pembagian peran dan tanggung jawab penanganan kegagalan
- Mekanisme untuk melakukan analisis, klasifikasi, prioritisasi, pemantauan, penanganan, dan penyelesaian kegagalan, termasuk pasca-kejadian
- Dokumentasi penanganan kegagalan dan mekanisme pelaporan kepada pengguna dan Lembaga Pelindungan Data Pribadi
- Peninjauan dan pembaruan berkala proses penanganan kegagalan
Kementerian dan perusahaan wajib melakukan penilaian dampak dari pemrosesan data pribadi yang memiliki potensi risiko tinggi terhadap pengguna, seperti:
- Pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap pengguna
- Pemrosesan atas data pribadi yang bersifat spesifik
- Pemrosesan data pribadi dalam skala besar
- Pemrosesan data pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap pengguna
- Pemrosesan data pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data
- Penggunaan teknologi baru dalam pemrosesan data pribadi
- Pemrosesan data pribadi yang membatasi pelaksanaan hak pengguna
Selain itu, kementerian dan perusahaan wajib melakukan penilaian dampak sebelum melakukan pemrosesan data pribadi dengan risiko tinggi. Mereka juga harus memperhatikan dan mendokumentasikan saran dari Pejabat Petugas Pelindung Data Pribadi dalam melakukan penilaian.
