Digitalisasi sebagai suatu situasi yang tidak dapat dihindari oleh manusia, membuat batasan-batasan yang hadir antara dunia nyata dan dunia maya menjadi semakin tipis. Data pribadi sebagai data perseorangan yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya menjadi hal yang sangat krusial untuk memperoleh perhatian yang lebih. Bagi perusahaan, khususnya Penyelenggara Sistem Elektronik (PSE) yang menyediakan, mengelola, dan/atau mengoperasikan sistem elektronik secara sendiri-sendiri maupun bersama-sama kepada pengguna sistem elektronik untuk keperluan dirinya dan/atau keperluan pihak lain menempatkan pelindungan data pribadi sebagai suatu hal yang sangat dijunjung tinggi. Akan tetapi, dengan meningkatnya tingkat ketergantungan pada teknologi, risiko kebocoran data pribadi juga semakin tidak terhindarkan.

Dalam hal ini, PSE yang akan dibahas lebih lanjut adalah Penyelenggara Sistem Elektronik Lingkup Privat (PSE Lingkup Privat). Berdasarkan Pasal 1 angka 6 Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 (Permenkominfo 5/2020), PSE Lingkup Privat adalah penyelenggaraan sistem elektronik oleh orang, badan usaha, dan masyarakat, contohnya adalah layanan transaksi keuangan seperti Gopay, DANA, OVO, atau situs web dengan domain selain “go.id”. PSE Lingkup Privat diatur dan diawasi oleh Kementerian Komunikasi dan Informatika (Kominfo) yang sekarang berubah menjadi Kementerian Komunikasi dan Digital (Komdigi). Oleh karena itu, PSE Lingkup Privat wajib untuk mendaftarkan sistem elektroniknya di Komdigi sebelum sistem elektroniknya dapat digunakan oleh pengguna sistem elektronik.

Dalam melaksanakan kegiatannya, terdapat ruang lingkup yang membatasi kegiatan dari PSE Lingkup Privat, yaitu:

1. menyediakan, mengelola, dan/atau mengoperasikan penawaran dan/atau perdagangan barang dan/atau jasa;
2. menyediakan, mengelola, dan/atau mengoperasikan layanan transaksi keuangan;
3. pengiriman materi atau muatan digital berbayar melalui jaringan data baik dengan cara unduh melalui portal atau situs, pengiriman lewat surat elektronik, atau melalui aplikasi lain ke perangkat pengguna;
4. menyediakan, mengelola, dan/atau mengoperasikan layanan komunikasi meliputi namun tidak terbatas pada pesan singkat, panggilan suara, panggilan video, surat elektronik, dan percakapan dalam jaringan dalam bentuk platform digital, layanan jejaring dan media sosial;
5. layanan mesin pencari, layanan penyediaan informasi elektronik yang berbentuk tulisan, suara, gambar, animasi, musik, video, film, dan permainan atau kombinasi dari sebagian dan/atau seluruhnya; dan/atau
6. pemrosesan data pribadi untuk kegiatan operasional melayani masyarakat yang terkait dengan aktivitas transaksi elektronik.

Salah satu kegiatan PSE yang perlu menjadi sorotan adalah kegiatan pemrosesan data pribadi yang ditujukan untuk kegiatan operasional melayani masyarakat. Secara praktiknya, kebocoran data pribadi memiliki potensi yang besar untuk terjadi. Dalam hal ini, kebocoran data pribadi merupakan bagian dari kegagalan pelindungan data pribadi sehingga penting untuk menyoroti beberapa hal dalam kegiatan pemrosesan data pribadi oleh PSE, yaitu:

1. Risiko Kegagalan Pelindungan Data Pribadi

UU PDP menyebutkan bahwa kegagalan Pelindungan Data Pribadi merupakan kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses. Dalam hal PSE gagal untuk melindungi data pribadi, Pasal 59 UU 27/2022 mengatur ketentuan bahwa terdapat beberapa bentuk sanksi administratif yang dapat diberikan kepada PSE tersebut, yaitu peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, serta denda administratif. Lebih lanjut, berikan beberapa contoh kegagalan dalam pelindungan data pribadi:

1. Kegagalan pada aspek keamanan data (Kegagalan Pemenuhan Pasal 35 dan 51 UU PDP)
2. Pelanggaran Prinsip Pelindungan Data Pribadi (Kegagalan Pemenuhan Pasal 16 ayat (2) UU PDP)
3. Kegagalan dalam Pemenuhan Hak Subjek Data (Kegagalan Pemenuhan Pasal 5-12 UU PDP)
4. Kegagalan dalam Pelaporan dan Penanganan Insiden Keamanan (Kegagalan Pemenuhan Pasal 46-47 UU PDP)

Untuk memudahkan dalam memahami ketentuan yang telah diuraikan, berikut adalah Flowchart ruang lingkup kegagalan pelindungan data pribadi bagi perusahaan yang merupakan PSE.

2. Pemenuhan Kewajiban PSE dalam Kegiatan Pemrosesan Data Pribadi

Mengingat potensi kegagalan Pelindungan Data Pribadi dapat terjadi, penting untuk setiap PSE wajib memenuhi kewajibannya. Dalam hal PSE gagal untuk memenuhi kewajibannya, Pasal 36 Permenkominfo 20/2016 mengatur bahwa terdapat beberapa bentuk sanksi administratif yang dapat diberikan kepada PSE tersebut, yaitu peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan/atau pengumuman di situs dalam jaringan (website online).  Adapun kewajiban yang harus dipenuhi oleh setiap PSE sebagai berikut:

1. melakukan sertifikasi Sistem Elektronik yang dikelolanya sesuai dengan undangan;

2. menjaga ketentuan kebenaran, peraturan keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, penganalisisan, pengumuman, pengumpulan, penyimpanan, pengiriman, pengolahan, penampilan, penyebarluasan, pemusnahan Data Pribadi;

3. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:

• harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi;
• dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya;
• harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan;
• pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut;
• Memiliki aturan internal terkait perlindungan Data Pribadi yang sesuai dengan ketentuan peraturan perundang-undangan;

4. menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik yang dikelolanya;

5. memberikan opsi kepada Pemilik Data Pribadi mengenai Data Pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas Persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan Data Pribadi;

6. memberikan akses atau kesempatan kepada Pemilik Data Pribadi untuk mengubah atau memperbarui Data Pribadinya tanpa mengganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;

7. memusnahkan Data Pribadi sesuai dengan ketentuan dalam Peraturan Menteri ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu;

8. menyediakan narahubung (contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait pengelolaan Data Pribadinya.

Untuk memudahkan untuk memahami ketentuan yang telah diuraikan, berikut adalah Flowchart kewajiban penyelenggara PSE dalam kegiatan pemrosesan data pribadi:

3. Upaya Preventif untuk Mencegah Kebocoran Data Pribadi dalam Kegiatan Pemrosesan Data Pribadi yang Dilakukan

Kebocoran data merupakan bagian dari kegagalan dalam Pelindungan Data Pribadi perlu untuk dilakukan upaya preventif terhadapnya. Dalam hal PSE tidak melakukan upaya pencegahan yang sudah semestinya dijalankan, Pasal 36 Permenkominfo 20/2016 mengatur bahwa terdapat beberapa bentuk sanksi administratif yang dapat diberikan kepada PSE tersebut, yaitu peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan/atau pengumuman di situs dalam jaringan (website online). Jika merujuk pada hukum positif terkait pencegahan kegagalan Pelindungan Data Pribadi, beberapa upaya pencegahan yang diamanatkan di antaranya:

1. menggunakan sistem keamanan terhadap Data Pribadi yang diproses dan/atau memproses Data Pribadi sistem elektronik secara andal, aman, dan bertanggung jawab;
2. menyusun aturan internal perlindungan Data Pribadi;
3. meningkatkan kesadaran sumber daya manusia di lingkungannya untuk memberikan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya;
4. mengadakan pelatihan pencegahan kegagalan perlindungan Data Pribadi dalam Sistem Elektronik yang dikelolanya bagi sumber daya manusia di lingkungannya.

Untuk memudahkan untuk memahami ketentuan yang telah diuraikan, berikut adalah Flowchart  pencegahan kegagalan pelindungan data pribadi oleh PSE.

Disclaimer

Seluruh isi data dan informasi dalam Legal Brief ini merupakan kompilasi dari sumber-sumber terpercaya. Legal Brief ini tidak dimaksudkan dan tidak seharusnya dianggap sebagai nasihat atau opini hukum. Tidak disarankan mengambil tindakan berdasarkan informasi yang ada pada layanan ini tanpa mencari layanan profesional terlebih dahulu.

Penutup

Jika Anda memiliki pertanyaan atau memerlukan lebih lanjut konsultasi mengenai Legal Brief ini, silakan menghubungi kami di:

• Timoty Ezra Simanjuntak, S.H., M.H. – Managing Partner –info@splawoffice.co.id / office@splawoffice.co.id
• Aldo Prasetyo Riyadi, S.H. – Senior Associate – info@splawoffice.co.id / office@splawoffice.co.id
• Ekawati Shinta Dewi, S.H.– Associate – iinfo@splawoffice.co.id / office@simanjuntaklaw.co.id