Dalam beberapa tahun terakhir, Indonesia menghadapi tantangan terkait kebocoran data pribadi cukup serius yang menyerang berbagai sektor. Korbannya mulai dari masyarakat sipil, perusahaan swasta, hingga lembaga pemerintah. Beberapa kasus yang cukup menyita perhatian publik diantaranya adalah kasus kebocoran data BPJS Kesehatan pada tahun 2021 di mana sebanyak 279.000.000 (dua ratus tujuh puluh sembilan juta) data warga negara Indonesia yang ditemukan dan dijual di dark web. Selain itu pada tahun 2023 Bank Syariah Indonesia (“BSI”) mengalami serangan ransomware yang dilakukan oleh sekelompok hacker yang mengeksploitasi data nasabah untuk tebusan.

Ketentuan dasar terkait pelindungan data pribadi saat ini masih berpedoman pada Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”), Adapun peraturan pemerintah pelaksana UU No. 27 Tahun 2022 hingga saat ini masih dalam tahap harmonisasi. Sehingga pelaksanaan pelindungan data pribadi di Indonesia masih belum sepenuhnya terwujud.

Ruang Lingkup Data Pribadi 

Data pribadi pada dasarnya adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung. Data pribadi dibagi menjadi 2 (dua) jenis yaitu:

1. Data pribadi yang bersifat umum, jenis data ini contohnya adalah data atau informasi yang biasanya dimuat dalam identitas pengenal seseorang seperti KTP, Paspor, dan lainnya. Data tersebut diantaranya adalah nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan data pribadi yang dikombinasikan untuk mengidentifikasi seseorang;
2. Data pribadi yang bersifat spesifik, jenis data pribadi ini dalam pemrosesannya cenderung memiliki potensi risiko yang tinggi terhadap pemilik data pribadi. Data ini diantaranya adalah data informasi Kesehatan, data biometric, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan data lainnya sesuai dengan ketentuan peraturan perundang-undangan. 

Regulasi Pelindungan Data Pribadi 

Regulasi pelindungan data pribadi di Indonesia dapat bervariasi tergantung pada kegiatan usaha yang dijalankan oleh pelaku usaha. Salah satu contohnya adalah bagi Penyelenggara Sistem Elektronik (“PSE”). Ketentuan terkait pelindungan data pribadi, khususnya bagi PSE diakomodir dengan Peraturan Menteri Komunikasi dan Informatika (sekarang Kementerian Komunikasi dan Digital) No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. 

Contoh lainnya pada sektor keuangan, di mana pada layanan bank digital, ketentuan pelindungan data pribadi nasabah diatur dalam Peraturan Otoritas Jasa Keuangan (“POJK”) No. 21 Tahun 2023 tentang Layanan Digital Oleh Bank Umum. 

Namun sebagai aturan utama, UU PDP berperan sebagai payung hukum yang mengatur prinsip, kewajiban, dan sanksi terkait pengelolaan data pribadi, serta sebagai landasan setiap sektor bisnis dalam menerapkan standar pelindungan data pribadi yang sesuai dengan karakteristik industrinya. 

Strategi Mitigasi Risiko dan Solusi Pencegahan

Pada dasarnya dalam UU PDP terdapat kewajiban bagi pengendali data pribadi untuk melakukan penilaian dampak pelindungan data pribadi atau Data Protection Assessment Impact (“DPAI”) bagi pengendali data yang melakukan pemrosesan data pribadi yang memiliki potensi risiko tinggi. Yang dimaksud dengan data pribadi yang memiliki risiko tinggi adalah:

1. Pengambilan Keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap subjek data pribadi;
2. Pemrosesan atas data pribadi yang bersifat spesifik;
3. Pemrosesan data pribadi dalam skala besar;
4. Pemrosesan data pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap subjek data pribadi;
5. Pemrosesan data pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data;
6. Penggunaan teknologi baru dalam pemrosesan data pribadi;
7. Pemrosesan data pribadi yang membatasi pelaksanaan hak subjek data pribadi.

Adapun ketentuan lebih lanjut teknis pelaksanaan DPAI akan diakomodir melalui Peraturan Pemerintah Pelaksana UU PDP yang hingga saat ini masih dalam tahap harmonisasi. 

Selain DPAI beberapa mitigasi risiko yang dapat dilakukan adalah sebagai berikut:

a. Membentuk tim tanggap insiden (Incident Response Team), yang dalam hal ini dapat terdiri dari:

• Costumer care atau posko pengaduan yang menjadi narahubung pertama antara pengguna layanan dengan pengendali data pribadi;
• Menyusun privacy policy dengan mematuhi dan berdasarkan pada standar UU PDP;

b. Penguatan keamanan pada sistem elektonik, yang dalam hal ini berupa:

• Menggunakan faktor keamanan autentikasi ganda (two factor authentication);
• Menggunakan enkripsi untuk melindungi data saat dikirim atau disimpan

c. Kerja sama dengan pihak eksternal, yang dalam hal ini dapat terdiri dari penasehat hukum sebagai data protection officer hingga penyelenggara forensik digital. 

Disclaimer:

Seluruh isi data dan informasi dalam Legal Brief ini merupakan kompilasi dari sumber-sumber terpercaya. Legal Brief ini tidak dimaksudkan dan tidak seharusnya dianggap sebagai nasihat atau opini hukum. Tidak disarankan mengambil tindakan berdasarkan informasi yang ada pada layanan ini tanpa mencari layanan profesional terlebih dahulu.

Dasar Hukum:

Undang – Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi.

Penutup

Jika Anda memiliki pertanyaan atau memerlukan lebih lanjut konsultasi mengenai legal brief ini, silakan menghubungi kami di :

• Timoty Ezra Simanjuntak, S.H., M.H– Managing Partner – ezra@splawoffice.co.id
• Izmaliza Putri Ramadhani, S.H. – Associate – info.splawoffice@gmail.com / office@splawoffice.co.id