Undang-undang perlindungan data pertama di Indonesia, yang dikenal sebagai Undang-Undang Perlindungan Data Pribadi, telah sangat erat didasarkan pada Peraturan Perlindungan Data Umum Uni Eropa (EU GDPR). Undang-undang baru secara jelas menyebutkan jenis dasar hukum untuk memperoleh dan memproses data pribadi dan menetapkan sanksi pidana dan administratif yang tegas bagi mereka yang melanggar ketentuan dalam undang-undang tersebut. Ini termasuk denda perusahaan hingga dua persen dari pendapatan tahunan perusahaan.
Pada akhir September 2022, Indonesia memberlakukan Undang-Undang Perlindungan Data Pribadi (UU PDP) pertama kalinya setelah bertahun-tahun diskusi dan penundaan. Yang penting, kecepatan persetujuan undang-undang itu datang ketika negara itu melihat serangkaian pelanggaran data profil tinggi dalam beberapa bulan terakhir dengan Badan Siber dan Enkripsi Nasional menyelidiki klaim oleh peretas bernama ‘Bjorka’ bahwa mereka memiliki akses ke data rahasia pemerintah. Undang-undang PDP didasarkan erat pada Peraturan Perlindungan Data Umum Uni Eropa (EU GDPR).
Di bawah Undang-Undang Perlindungan Data Pribadi yang baru di Indonesia, bisnis lokal serta perusahaan internasional akan bertanggung jawab atas cara mereka menangani data konsumen Indonesia. Undang-undang tersebut mengenakan denda perusahaan hingga dua persen dari pendapatan tahunan perusahaan untuk kasus kebocoran data, dan individu juga dapat menghadapi denda hingga 6 miliar rupiah (US$400.000).
Jumlah serangan siber terhadap warga negara dan institusi Indonesia pada kuartal pertama tahun 2022 saja tercatat sebesar 11,8 juta, meningkat 22 persen dari periode yang sama pada tahun 2021. Selanjutnya, menurut laporan Interpol, Indonesia mengalami serangan ransomware lebih banyak daripada negara mana pun. negara lain di Asia Tenggara.
Sebelum UU PDP, aturan yang mengatur penggunaan data pribadi tersebar di berbagai undang-undang yang mempersulit konsumen untuk meminta pertanggungjawaban bisnis karena menyalahgunakan data pribadi mereka.
Apa saja fitur utama dari Undang-Undang Perlindungan Data Pribadi di Indonesia?
Subjek, pengontrol, dan pemroses data pribadi
Subyek data
UU PDP memperkenalkan istilah ‘subjek data pribadi’ yang didefinisikan sebagai orang yang memiliki data pribadi tersebut. Subjek data berhak atas informasi mengapa data pribadi mereka diminta dan bagaimana data tersebut akan digunakan. Mereka juga dapat meminta agar data pribadi yang salah diperbaiki dan dapat menarik persetujuan mereka untuk pemrosesan data pribadi mereka.
Pengontrol data pribadi
Pengontrol data adalah setiap orang, badan publik, atau organisasi yang bertindak untuk melakukan kontrol atas pemrosesan data pribadi.
Pemroses data pribadi
Pemroses data adalah setiap orang, badan publik, atau organisasi yang bertindak untuk melakukan kontrol atas pemrosesan data pribadi atas nama pengontrol data.
Pengontrol dan pemroses data harus memastikan keakuratan dan keamanan data pribadi yang diproses.
Memproses data pribadi
Berdasarkan undang-undang yang berlaku sebelumnya, persetujuan dari pemilik adalah satu-satunya dasar hukum yang diakui untuk memperoleh data pribadi. UU PDP telah memperluas alternatif hukum untuk memproses data pribadi. Ini adalah:
- Kontrak: Kewajiban dalam suatu perjanjian di mana subjek data pribadi adalah pihak atau untuk memenuhi persyaratan data pribadi ketika mengadakan suatu perjanjian;
- Kewajiban hukum: Pemenuhan kewajiban hukum sesuai dengan hukum dan peraturan Indonesia;
- Minat penting: Perlindungan kepentingan vital subjek data;
- izin: Persetujuan eksplisit yang diperoleh dari subjek data yang berkaitan dengan satu atau lebih tujuan yang telah dijelaskan kepada subjek data;
- Kepentingan yang sah: Pemenuhan kepentingan lain yang sah dengan memperhatikan keseimbangan antara kepentingan pengontrol data dan hak subjek data; atau
- Tugas publik: Pelaksanaan tugas dalam rangka kepentingan atau pelayanan publik, dilakukan oleh pengontrol data sesuai dengan peraturan perundang-undangan Indonesia.
Pengontrol data wajib menunjukkan bukti persetujuan yang diberikan oleh subjek data saat memproses data pribadi.
pengecualian
UU PDP tidak berlaku untuk pemrosesan data pribadi untuk kegiatan pribadi atau rumah tangga. Selanjutnya, pengecualian lain untuk pemrosesan data pribadi meliputi:
- tujuan pertahanan dan keamanan nasional;
- penegakan hukum;
- Kepentingan umum dalam rangka penyelenggaraan negara; atau
- Pengawasan sektor jasa keuangan.
Dampak ekstrateritorial
UU PDP berlaku untuk setiap orang, badan publik, atau organisasi internasional yang melakukan kegiatan dalam lingkup UU PDP, dan berlokasi:
- Dalam yurisdiksi Indonesia; atau
- Di luar wilayah hukum Indonesia tetapi berdampak hukum terhadap wilayah hukum Indonesia atau subjek data yang merupakan warga negara Indonesia yang berada di luar wilayah hukum negara tersebut.
Transfer data pribadi lintas batas
Undang-undang baru mengizinkan pengontrol data untuk mentransfer data pribadi ke pengontrol data yang berlokasi di luar Indonesia jika:
- negara tempat pengontrol data menerima data pribadi memiliki mekanisme perlindungan data pribadi yang setara atau lebih tinggi dari Indonesia;
- Dalam hal ketentuan di atas dapat dipenuhi, pengontrol data harus memastikan adanya perlindungan data pribadi yang memadai, dan bersifat mengikat; atau
- Dalam hal tidak satu pun dari ketentuan di atas dapat dipenuhi, pengontrol data harus mendapatkan persetujuan dari subjek data untuk mentransfer data pribadi mereka ke luar negeri.
Penunjukan petugas perlindungan data
Jika pengontrol atau pengolah data sedang mengolah data pribadi untuk kepentingan umum, mengawasi data pribadi secara besar-besaran, atau mengolah data pribadi yang berkaitan dengan kegiatan kriminal, maka mereka harus menunjuk petugas perlindungan data.
Pejabat tersebut diangkat berdasarkan pengetahuan hukum, praktik perlindungan data pribadi, profesionalisme, dan kemampuan untuk memenuhi peran ini.
Apa yang terjadi dalam kasus merger, akuisisi, dan konsolidasi perusahaan?
Subyek data yang relevan harus diberitahu tentang merger, akuisisi, dan konsolidasi perusahaan, dan setiap transfer data pribadi yang akan timbul dari aktivitas tersebut.
Hal ini dapat dilakukan dengan cara pemberitahuan pribadi kepada subjek data atau melalui media massa. Selain itu, dalam hal pengontrol data dibubarkan atau dilikuidasi, penyimpanan, transfer, atau penghapusan data pribadi harus dilakukan sesuai dengan hukum dan subjek data harus diberitahukan.
sanksi
Sanksi pidana
UU PDP jelas menyatakan larangan penggunaan data pribadi. Ini adalah:
- Seseorang secara melawan hukum memperoleh data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain, yang mengakibatkan hilangnya subjek data;
- Seseorang yang secara tidak sah mengungkapkan data pribadi yang bukan miliknya;
- Seseorang yang secara melawan hukum menggunakan data pribadi yang bukan miliknya; atau
- Pembuatan data pribadi palsu di mana aktivitas tersebut mengakibatkan kerusakan pada orang lain.
Pelanggar UU PDP dapat menghadapi sanksi pidana yang ada tiga jenis:
- Hukuman: Perorangan dapat didenda hingga 6 miliar rupiah (US$400.000) dan korporasi didenda hingga 60 miliar rupiah (US$4 juta);
- Penjara: Individu dapat menghadapi hingga enam tahun penjara; atau
- Sanksi lain: Diantaranya adalah penyitaan harta kekayaan hasil tindak pidana, pembekuan kegiatan perusahaan, penutupan usaha, pencabutan izin usaha, dan lain-lain.
Sanksi pidana tersebut dapat dikenakan kepada tim manajemen perusahaan, pengendali, pemilik manfaat, atau pemberi perintah.
Sanksi administratif
Pelaku usaha yang melanggar ketentuan tertentu dalam UU PDP dapat dikenakan sanksi administratif berupa teguran tertulis, penghapusan data pribadi, penghentian sementara kegiatan pengolahan data pribadi, atau denda administratif.
Denda administrasi bisa maksimal dua persen dari pendapatan tahunan perusahaan. Ini masih lebih rendah dari denda yang diatur di bawah EU GDPR yang merupakan empat persen dari pendapatan tahunan perusahaan.
Tentang kami
Pengarahan ASEAN diproduksi oleh Dezan Shira & Rekan. Perusahaan ini membantu investor asing di seluruh Asia dan memiliki kantor di seluruh ASEAN, termasuk di Singapura, Hanoi, Kota Ho Chi Minhdan dan nang di Vietnam, Munichdan makan di Jerman, Bostondan Kota Danau Garam di Amerika Serikat, Milan, Coneglianodan Udine di Italia, selain jakartadan Batam di Indonesia. Kami juga memiliki perusahaan mitra di Malaysia, Bangladeshitu Filipinadan Thailand serta praktik kami di Cina lainnya India. Silahkan hubungi kami di [email protected] atau kunjungi website kami di www.dezshira.com.
“Penyelenggara. Pakar budaya pop yang sangat menawan. Penginjil perjalanan kelas atas. Pemecah masalah yang tak tersembuhkan.”