6 Poin Penting dalam UU Perlindungan Data Pribadi

KOMPAS.com - Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) akhirnya disahkan Dewan Perwakilan Rakyat (DPR) dalam Rapat Paripurna kelima Masa Persidangan I Tahun sidang 2022-2023 pada Selasa (20/9/2022).

Rapat paripurna tersebut dipimpin oleh Wakil Ketua DPR Lodewijk F Paulus.

Ini merupakan kabar baik bagi Indonesia di tengah keamanan data pribadi yang menjadi sorotan.

Berikut sejumlah poin penting dalam UU PDP:

1. Kategori data pribadi

Dalam Pasal 1 dijelaskan bahwa data pribadi merupakan data perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik atau non-elektronik.

Sementara itu, data pribadi terdiri dari dua, yaitu data pribadi bersifat spesifik dan bersifat umum.

Untuk data pribadi bersifat spesifik meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Adapun data pribadi bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Baca juga: ELSAM Sebut Implementasi UU PDP Bakal Hadapi Tantangan Besar

2. Hak subjek data pribadi

Subjek atau pemilik data pribadi berhak mendapatkan informasi tentang kejelasan, identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan, serta akuntabilitas pihak yang meminta data pribadi, sesuai bunyi Pasal 5.

Sementara Pasal 10 menyatakan, subjek data pribadi berhak untuk mengajukan keberatan atas tindakan pengambilan keputusan hanya didasarkan pada pemrosesan secara otomatif, termasuk pemrofilan yang menimbulkan akibat hukum atau berdampak signifikan pada subjek data pribadi.

Subjek data pribadi juga berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai ketentuan undang-undang.

Namun, beberapa hak subjek data pribadi tersebut dikecualikan untuk beberapa kepentingan tertentu, termasuk pertahanan dan keamanan nasional, serta penegakan hukum, bunyi Pasal 15.

3. Kewajiban pengendali data pribadi

Dalam hal ini, pengendali data pribadi dan prosesor data pribadi meliputi setiap orang, badan hukum, dan organisasi internasional.

Ada sejumlah kewajiban yang harus dilakukan oleh pengendali data pribadi. Di antaranya adalah:

• Pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi
• Pengendali data pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data pribadi
• Pengendali data pribadi wajib melakukan pemrosesan data pribadi secara terbatas dan spesifik, sah secara hukum, serta transparan
• Pengendali data pribadi wajiba memastikan akurasi, kelengkapan, dan konsistensi data pribadi sesuai dengan ketentuan undang-undang
• Pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya
• Pengendali data pribadi wajib melindungi data pribadi dari pemrosesan yang tidak sah

Baca juga: Menkominfo Sebut UU PDP Atur Lembaga Pelindung Data Pribadi di Bawah Presiden

4. Jika terjadi kebocoran

Apabila kegagalan perlindungan data atau bocor, maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam, bunyi Pasal 46.

Pemberitahuan tertulis ini ditujukan kepada subjek data pribadi dan lembaga.

Pemberitahuan tertulis tersebut juga harus memuat minimal data pribadi yang bocor, kapan dan bagaimana data pribadi terungkap, serta upaya penanganan dan pemulihan atas kebocoran data.

Bahkan dalam hal tertentu, pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan perlindungan data pribadi.

5. Lembaga pengawas perlindungan data pribadi

UU PDP juga mengatur lembaga yang berperan dalam mewujudkan penyelenggaraan perlindungan data pribadi.

Dalam Pasal 58, disebutkan bahwa penyelenggaraan data pribadi ditetapkan oleh presiden dan bertanggung jawab kepada presiden.

Nantinya, lembaga tersebut akan merumuskan dan menetapkan kebijakan perlindungan data pribadi yang menjadi panduan bagi subjek data pribadi, pengendali data pribadi, dan prosesor data pribadi.

Lembaga tersebut juga bertugas mengawasi penyelenggaraan perlindungan data pribadi dan penegakan hukum administratif terhadap pelanggar UU PDP.

6. Larangan penggunaan data pribadi

Dalam pasal 65, dijelaskan bahwa setiap orang dilarang secara melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat berakibat pada kerugian subjek data pribadi.

Setiap orang juga dilarang secara melawan hukum mengungkapkan dan menggunakan data pribadi bukan miliknya.

Apabila larangan itu dilanggar, maka dapat dipidana penjara maksimal lima tahun atau denda paling banyak Rp 5 miliar.

Sementara itu, bagi setiap orang yang dengan sengaja membuat data pribadi palsu atau memalsukan data pribadi untuk meraup keuntungan, maka dapat dipidana paling lama 6 tahun penjara dan denda maksimal Rp 6 miliar.