Cara Meminimalkan Risiko Hukum bagi Perusahaan dalam Kasus Kebocoran Data Pribadi

JAKARTA, KOMPAS.com - Kebocoran data yang terus terjadi hingga saat ini tidak hanya dialami perusahaan kecil, tetapi juga perusahaan besar yang sejatinya memiliki resources (sumber daya manusia) untuk menanggulangi kebocoran data.

Apa akibatnya bagi perusahaan? Menurut Partner K&K Advocates Danny Kobrata, ada dua dampak yang dirasakan perusahaan yang terkena peretasan dan kebocoran data pribadi.

"Pertama, dampaknya ke reputasi perusahaan karena konsumen semakin sadar akan pentingnya data pribadi mereka," ujar Danny dalam seminar dengan tema Pelindungan Data Pribadi dan Pengelolaan Krisis Kebocoran Data, di Jakarta, Rabu (27/9/2023).

"Kedua, dampak pada risiko potensi sanksi hukum, sanksi administratif, perdata, dan pidana," lanjutnya. 

Menurut dia, ada sejumlah tips bagaimana meminimalkan risiko hukum bagi perusahaan yang alami kebocoran data.

1. mematuhi kewajiban hukum

Dalam hal ini perusahaan harus mematuhi standar keamanan, memelihara SOP yang berkaitan dengan keamanan siber, dan melakukan pemberitahuan kepada regulator jika terjadi pelanggaran.

"Patuhi saja kewajiban hukum yang berlaku, karena perusahaan tidak selalu harus bertanggung jawab jika terjadi pelanggaran data," kata Danny.

2. upaya serius penanganan dan penanggulangan

Perusahaan, lanjut Danny, harus menunjukkan upaya serius dalam penanganan kebocoran data seperti regular training, pembentukan tim penanggulangan kebocoran data, dan melakukan penanganan kebocoran dengan cepat.

Danny menambahkan, bentuk kegagalan pelindungan data pribadi mencakup penghancuran, perubahan, kehilangan, akses, dan pengungkapan data pribadi yang melanggar hukum.

Aturan hukum

Tenaga Ahli Dirjen Aptika Kementerian Komunikasi dan Informatika (Kemenkominfo) Bhredipta Socarana menuturkan, pemerintah masih membahas rancangan peraturan pemerintah (RPP) terkait pelindungan data pribadi, menyusul disahkannya Undang-Undang (UU) Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP).

RPP PDP tersebut merupakan panduan untuk terciptanya ekosistem perlindungan data pribadi yang lebih andal dan keberlakuannya dapat mencakup semua pihak, baik itu pengendali data pribadi maupun prosesor data dalam sektor pemerintah dan swasta.

"RPP PDP masih dalam proses pembahasan. Intinya bahwa pengaturan UU PDP dan PP PDP bertujuan mengantisipasi risiko pemrosesan data pribadi, bukan untuk menghukum pengendali atau prosesor data pribadi, atau menambahkan pendapatan negara," paparnya.

Danny menambahkan, dalam RPP PDP nanti diatur sanksi bagi pembocor data pribadi.

"Kalau nanti telah diputuskan, denda administratif itu hingga 2 persen dari total pendapatan tahunan (masih dalam pembahasan), lalu denda perdata-pidana bisa sampai Rp 60 miliar," ujar Danny.

6 poin penting UU Perlindungan Data Pribadi

Sebagai informasi, Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) akhirnya disahkan Dewan Perwakilan Rakyat (DPR) dalam Rapat Paripurna kelima Masa Persidangan I Tahun sidang 2022-2023 pada Selasa (20/9/2022).

Berikut 6 poin pentingnya:

1. Kategori data pribadi

Dalam Pasal 1 dijelaskan bahwa data pribadi merupakan data perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik atau non-elektronik.

2. Hak subjek data pribadi

Subjek atau pemilik data pribadi berhak mendapatkan informasi tentang kejelasan, identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan, serta akuntabilitas pihak yang meminta data pribadi, sesuai bunyi Pasal 5.

Sementara Pasal 10 menyatakan, subjek data pribadi berhak untuk mengajukan keberatan atas tindakan pengambilan keputusan hanya didasarkan pada pemrosesan secara otomatif, termasuk pemrofilan yang menimbulkan akibat hukum atau berdampak signifikan pada subjek data pribadi.

Beberapa hak subjek data pribadi tersebut dikecualikan untuk beberapa kepentingan tertentu, termasuk pertahanan dan keamanan nasional, serta penegakan hukum, bunyi Pasal 15.

3. Kewajiban pengendali data pribadi

Ada sejumlah kewajiban yang harus dilakukan oleh pengendali data pribadi. Di antaranya adalah:

• Pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi
• Pengendali data pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data pribadi
• Pengendali data pribadi wajib melakukan pemrosesan data pribadi secara terbatas dan spesifik, sah secara hukum, serta transparan
• Pengendali data pribadi wajiba memastikan akurasi, kelengkapan, dan konsistensi data pribadi sesuai dengan ketentuan undang-undang
• Pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya
• Pengendali data pribadi wajib melindungi data pribadi dari pemrosesan yang tidak sah

4. Jika terjadi kebocoran data

Apabila kegagalan perlindungan data atau bocor, maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam, bunyi Pasal 46. Pemberitahuan tertulis ini ditujukan kepada subjek data pribadi dan lembaga.

5. Lembaga pengawas

Perlindungan data pribadi UU PDP juga mengatur lembaga yang berperan dalam mewujudkan penyelenggaraan perlindungan data pribadi.

Dalam Pasal 58, disebutkan bahwa penyelenggaraan data pribadi ditetapkan oleh presiden dan bertanggung jawab kepada presiden.

6. Larangan penggunaan data pribadi

Dalam pasal 65, dijelaskan bahwa setiap orang dilarang secara melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat berakibat pada kerugian subjek data pribadi.

Setiap orang juga dilarang secara melawan hukum mengungkapkan dan menggunakan data pribadi bukan miliknya. Apabila larangan itu dilanggar, maka dapat dipidana penjara maksimal lima tahun atau denda paling banyak Rp 5 miliar.

(Tim Redaksi: Ade Miranti Karunia, Aprillia Ika)