Siapa Bertanggung Jawab jika Terjadi Kegagalan Perlindungan Data Pribadi

KEGAGALAN perlindungan data pribadi tidak hanya pernah terjadi di Indonesia. Kasus serupa juga beberapa kali terjadi di berbagai negara. Konstitusi kita melindungi keberadaan data pribadi.

Di sisi lain penggunaan data pribadi tidak dapat dihindari sebagai prasyarat akses seseorang pada platform digital. Nilai strategis big data juga penting untuk pertumbuhan ekonomi digital.

Karena itu, akuntabilitas pemrosesan dan keamanan data pribadi harus menjadi prioritas. Pemrosesan data pribadi harus dilakukan secara andal, bertanggung jawab, dan terpercaya.

Baca juga: Waspada, Ini Sanksi Pidana bagi Pembocor dan Penyalah Guna Data Pribadi

Pengendali data pribadi

Jika terjadi kegagalan perlindungan data pribadi, sampai sejauh mana tanggung jawab korporasi dan badan publik sebagai pengendali data pribadi?

Undang-Undang (UU) Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) pada Pasal 35, secara prinsip menyatakan, pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan hal-hal sbb:

Pertama, penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan.

Kedua, penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesannya.

Pengendali data pribadi sendiri didefinisikan sebagai setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi (Pasal 1 angka 4 UU PDP).

Pasal 36, 37, dan 38 UU PDP prinsipnya mengatur bahwa dalam melakukan pemrosesan data pribadi, pengendali data pribadi wajib menjaga kerahasiaan data pribadi. Pengendali data pribadi juga wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendalinya, dan wajib melindungi data pribadi dari pemrosesan yang tidak sah.

Kewajiban lainnya tercantum dalam Pasal 39, yang jika dirangkum dapat disimpulkan, bahwa pengendali data pribadi wajib mencegah data pribadi diakses secara tidak sah.

Pencegahan dilakukan dengan menggunakan sistem keamanan elektronik secara andal, aman, dan bertanggung jawab.

Agar data pribadi terlindungi secara baik, UU PDP juga mewajibkan penghapusan dan pemusnahan data pribadi sebagaimana diatur pada Pasal 43 sampai Pasal 45 UU PDP yang dapat dirangkum sbb:

Pertama, pengendali data pribadi wajib menghapus data pribadi jika sudah tidak diperlukan. Penghapusan juga wajib dilakukan jika subyek data pribadi telah melakukan penarikan kembali persetujuannya, permintaan subyek data pribadi, atau jika data pribadi diperoleh dan/atau diproses dengan cara melawan hukum.

Baca juga: Bahaya Pinjol Ilegal, Penagihan Kasar hingga Salah Gunakan Data Pribadi

Kedua, pengendali data pribadi wajib memusnahkan data pribadi setelah habis masa retensinya. kewajiban pemusnahan ini wajib dilakukan jika ada permintaan dari subyek data pribadi, tidak berkaitan dengan penyelesaian proses hukum suatu perkara, atau data pribadi diperoleh dan/atau diproses secara melawan hukum.

Ketiga, pengendali data pribadi wajib memberitahukan penghapusan dan/atau pemusnahan data pribadi kepada subyek data pribadi.

Kegagalan perlindungan data pribadi

Pada Pasal 46 UU PDP ditegaskan bahwa dalam hal terjadi kegagalan perlindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 (tiga kali dua puluh empat) jam.

Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi.

Dalam hal tertentu, pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan perlindungan data pribadi.

Terakhir, pengendali data pribadi wajib bertanggung jawab atas pemrosesan data pribadi dan menunjukkan pertanggungjawaban itu dalam pemenuhan kewajiban, pelaksanaan prinsip perlindungan, sesuai ketentuan yang tercantum dalam UU PDP (Pasal 47 UU PDP).