UU PDP: Pahami dan Implementasikan Bersama

Hi Telkomers!

Tahukah Telkomers bahwa privasi merupakan bagian dari hak asasi manusia yang dilindungi negara? Di Indonesia, pelindungan data pribadi diatur oleh Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Undang-undang ini bertujuan untuk melindungi privasi individu dan memberikan kerangka hukum yang jelas untuk penanganan data pribadi.

Menurut UU PDP, data pribadi dibagi menjadi dua yaitu data pribadi yang bersifat spesifik dan umum. Beberapa contoh data pribadi yang bersifat spesifik adalah data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak dan data keuangan pribadi. Sedangkan contoh data pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Sebelum kita membahas lebih lanjut mengenai poin-poin apa saja yang perlu menjadi perhatian Telkomers, berikut beberapa penjelasan terkait pihak-pihak yang terlibat dalam proses pelindungan data pribadi menurut Pasal 1 UU PDP:

1. Pengendali Data Pribadi: setiap orang (orang perseorangan atau korporasi), badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali Pemrosesan Data Pribadi.
2. Prosesor Data Pribadi: setiap orang (orang perseorangan atau korporasi), badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.
3. Subjek Data Pribadi: orang perseorangan yang pada dirinya melekat Data Pribadi.

Pemrosesan data pribadi sendiri meliputi pemerolehan dan pengumpulan; pengolahan dan penganalisisan; penyimpanan; perbaikan dan pembaruan; penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan; dan/atau penghapusan atau pemusnahan. Setiap pengendali atau prosesor data pribadi harus memastikan pelindungan data pribadi yang diprosesnya sesuai dengan prinsip pelindungan data pribadi.

Jika terdeteksi pelanggaran atas ketentuan yang sudah ditetapkan mengenai pelindungan data pribadi, maka Telkomers dan juga perusahaan dapat dikenakan sanksi baik sanksi administratif maupun pidana. Sanksi administratif berupa denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran (UU PDP Pasal 57 ayat (3)). Lalu berikut beberapa sanksi pidana berdasarkan kriteria pelanggarannya:

1. Memperoleh dan mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi akan dikenakan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah) – UU PDP Pasal 67 ayat (1).
2. Mengungkapkan data pribadi yang bukan miliknya akan dikenakan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah) – UU PDP Pasal 67 ayat (2).
3. Menggunakan data pribadi yang bukan miliknya akan dikenakan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah) – UU PDP Pasal 67 ayat (3).
4. Membuat data pribadi palsu atau memalsukan data pribadi akan dikenakan pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.000.000.000,00 (enam miliar rupiah) – UU PDP Pasal 68.
5. Jika dari beberapa poin pelanggaran sebelumnya dilakukan oleh korporasi, maka korporasi akan menerima pidana denda paling banyak 10 (sepuluh) kali dari maksimal denda yang diancamkan – UU PDP Pasal 70 ayat (3).

Wah.. nominal dendanya sangat besar, bukan? Tentunya Telkomers tak ingin terkena denda ataupun pidana tersebut. Oleh karena itu, untuk memastikan kepatuhan terhadap UU PDP, terdapat beberapa poin utama yang dapat Telkomers perhatikan atau lakukan pada saat berinteraksi/memproses data pribadi baik itu milik pelanggan, karyawan, mitra, atau Perusahaan:

1. Dasar pemrosesan data pribadi

Berdasarkan UU PDP Pasal 20, setiap pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi yang meliputi:

1. Persetujuan yang sah secara eksplisit dari subjek data pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi;
2. Pemenuhan kewajiban perjanjian dalam hal subjek data pribadi merupakan salah satu pihak atau untuk memenuhi permintaan subjek data pribadi pada saat akan melakukan perjanjian;
3. Pemenuhan kewajiban hukum dari pengendali data pribadi sesuai dengan ketentuan peraturan perundang-undangan;
4. Pemenuhan pelindungan kepentingan vital subjek data pribadi;
5. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan; dan/atau
6. Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subjek data pribadi.
7. Pemrosesan data yang sah

Pemrosesan data pribadi harus sesuai dengan tujuan pemrosesan data pribadi yang sah dan telah disetujui oleh subjek data pribadi. Data pribadi tidak boleh digunakan untuk tujuan yang tidak relevan atau tidak berhubungan dengan tujuan pemrosesan data pribadi. Selain itu, seluruh kegiatan pemrosesan data pribadi wajib dilakukan perekaman atau proses pencatatan (logging). (UU PDP Pasal 28 dan Pasal 31)

3. Kerahasiaan, keamanan dan pengawasan

Pemrosesan data pribadi harus dilakukan dengan melindungi keamanan data pribadi dari pengaksesan tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan data pribadi. Selain itu, pengendali data pribadi juga wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali pengendali data pribadi. (UU PDP Pasal 16 ayat (2) e dan Pasal 37)

4. Penghapusan dan retensi data

Pengendali data pribadi wajib mengakhiri pemrosesan data pribadi dan menghapus/memusnahkan data pribadi setelah mencapai masa retensi, memenuhi tujuan pemrosesan data pribadi, atau terdapat permintaan dari subjek data pribadi. (UU PDP Pasal 42, 43, dan 44)

5. Pastikan kesetaraan tingkat pelindungan

Jika data pribadi diproses di luar wilayah Indonesia, pengendali data pribadi harus memastikan bahwa negara tujuan memiliki tingkat pelindungan data yang setara atau lebih tinggi dari yang diatur dalam UU PDP atau pengendali data pribadi harus mendapatkan persetujuan tambahan dari subjek data pribadi. (UU PDP Pasal 56)

Pelindungan data pribadi sangatlah penting dalam era digital yang semakin maju. Yuk Telkomers, kita ambil bagian dalam mengamankan data pribadi, menjaga privasi, dan mendukung lingkungan siber Indonesia yang aman dengan cara mematuhi ketentuan yang ada pada UU PDP.  

We Care, We Secure.
Salam #SecurityAwareness #SelaluBerintegritas,

Cyber Security

Reference:

• Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi