UU Pelindungan Data Pribadi (UU PDP) dan Cara Mengamankan Data Pribadi

Teknologi dalam kehidupan kita terus berkembang seiring berjalannya waktu dan berbagai bidang kegiatan dan industri sehari-hari telah didigitalisasi untuk beradaptasi dengan zaman modern. Meskipun digitalisasi telah merubah perusahaan dan bisnis dengan meningkatkan aksesibilitas, efisiensi, dan efektivitas, masih ada faktor yang perlu dipertimbangkan karena digitalisasi rentan terhadap ancaman keamanan.
Ancaman keamanan menjadi isu utama karena seiring dengan semakin banyak aktivitas yang digitalisasi, semakin banyak data pribadi yang dikumpulkan, disimpan, dan diproses oleh banyak pihak seperti perusahaan teknologi, pemerintah, penyedia layanan digital, dan sebagainya. Digitalisasi membuat data pribadi lebih mudah diakses, dilacak, dan dianalisis menggunakan big data atau kecerdasan buatan untuk berbagai penggunaan. Akibatnya, muncul ancaman keamanan seperti masalah privasi, penyalahgunaan data pribadi untuk tujuan kriminal, dan pelanggaran data.
Di Indonesia, UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) disahkan untuk mengatasi ancaman terhadap data pribadi. Regulasi ini mengatur pengumpulan, penyimpanan, dan pemrosesan data guna mencegah penyalahgunaan serta memastikan keamanan dan privasi individu. Dengan pedoman yang jelas dan langkah-langkah akuntabilitas, UU PDP mendorong pengelolaan data yang bertanggung jawab di era digital.
UU PDP bermula dari kewajiban Indonesia untuk memenuhi standar internasional dalam hal perlindungan data pribadi sebagaimana tercantum dalam GDPR atau General Data Protection Regulation dan disahkan pada 17 Oktober 2022. Tujuan UU PDP adalah:
- Melindungi hak-hak warga negara Indonesia.
- Mencegah penyalahgunaan data pribadi.
- Menjamin keamanan data pribadi.
- Memperoleh kepercayaan masyarakat.
Prinsip dasar UU PDP adalah:
- Transparansi: Subjek data harus diberi tahu secara jelas tentang tujuan, proses, dan metode penggunaan data pribadinya.
- Kewajaran: Pengumpulan dan pengolahan data pribadi harus dilakukan dengan cara yang sah, adil, dan tidak merugikan pihak mana pun.
- Batasan Tujuan: Data pribadi hanya boleh digunakan untuk tujuan yang telah diinformasikan kepada subjek data.
- Akurasi: Data pribadi yang dikumpulkan harus tepat, akurat, dan diperbarui jika diperlukan.
- Keamanan: Pengelola data diharuskan menjaga data pribadi dengan langkah-langkah keamanan yang memadai untuk mencegah kebocoran atau penyalahgunaan.
- Minimalisasi Data: Data pribadi yang dikumpulkan harus dibatasi hanya untuk tujuan yang jelas dan sah.
Dalam UU PDP terdapat 3 istilah yang disebutkan, yaitu:
- Pengendali Data Pribadi: Setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
- Prosesor Data Pribadi: Setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama Pengendali Data Pribadi.
- Subjek Data Pribadi: Orang perseorangan yang pada dirinya melekat data pribadi.
Isi UU PDP meliputi:
- Jenis data pribadi, dibagi menjadi 2 kategori:
- Data Pribadi Spesifik: Meliputi data dan informasi kesehatan, data biometrik, data genetik, catatan kriminal, data anak, data keuangan pribadi, dan data lain berdasarkan ketentuan perundang-undangan.
- Data Pribadi Umum: Meliputi nama lengkap, jenis kelamin, agama, status perkawinan, dan data pribadi yang secara bersama-sama mengidentifikasi seseorang.
- Hak Subjek Data Pribadi, yang meliputi:
- Hak untuk memahami tujuan, penggunaan, dan kewenangan pemesanan permintaan data pribadi adalah yang terpenting.
- Ketentuan undang-undang memberikan hak kepada individu untuk mengakses dan memperoleh salinan datanya.
- Hak untuk menghentikan pemrosesan, penghapusan, dan pemusnahan data pribadi tentang dirinya berdasarkan ketentuan perundang-undangan.
- Hak untuk menarik persetujuan untuk memproses data pribadi tentang dirinya adalah kepada Pengendali Data Pribadi.
- Hak untuk mengajukan keberatan terhadap tindakan pengambilan keputusan yang semata-mata didasarkan pada pemrosesan otomatis, termasuk pembuatan profil, menimbulkan akibat hukum atau berdampak signifikan terhadap Subjek Data Pribadi.
- Hak untuk menunda atau membatasi pemrosesan data pribadi sangat penting.
- Penanganan data pribadi mencakup berbagai kegiatan, seperti memperoleh, mengumpulkan, mengatur, mengevaluasi, memelihara, memperbaiki, dan memperbaruinya, serta kemunculan, pengumuman, pemindahan, pembagian, pengungkapan, dan penghapusan atau pemusnahannya.
- Kewajiban Pengendali Data Pribadi dan Pengolah Data Pribadi dalam memproses data pribadi.
- Sanksi dan larangan
Berikut adalah langkah-langkah utama untuk menjaga keamanan data pribadi sesuai dengan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) di Indonesia:
Pahami Hak yang Didapatkan
Sebagai warga negara, kita memiliki hak berikut:
- Hak untuk mengakses, memperbaiki, dan menghapus data pribadi.
- Hak untuk mendapatkan informasi mengenai tujuan pengumpulan data dan bagaimana data tersebut akan digunakan.
- Hak untuk menarik persetujuan pemrosesan data kapan saja.
- Berikan Persetujuan secara Bijak
Hal yang perlu diperhatikan saat seseorang atau suatu lembaga meminta persetujuan atas data pribadi:
- Pengumpulan data pribadi harus didasarkan pada persetujuan yang eksplisit dan sah.
- Berhati-hatilah saat membagikan data pribadi kepada situs web, aplikasi, atau layanan.
- Bacalah kebijakan privasi sebelum menyetujui pengumpulan data.
- Amankan Data
Yang dapat dilakukan untuk mengamankan data:
- Gunakan kata sandi yang kuat dan Multi-Factor Authentication (MFA) untuk akun daring.
- Hindari membagikan informasi sensitif secara berlebihan di platform publik.
- Enkripsi file dan komunikasi penting jika diperlukan.
- Waspada terhadap Pemrosesan & Transfer Data
Organisasi yang memproses data pribadi harus memastikan keamanan, kerahasiaan, dan integritas data. Jika data ditransfer ke luar negeri, pastikan negara penerima memiliki langkah perlindungan data yang memadai.
- Laporkan Pelanggaran Data
Jika adanya pelanggaran data, segera laporkan ke Kementerian Komunikasi dan Digital (Komdigi) atau otoritas terkait. Organisasi wajib memberitahu pengguna dan otoritas dalam waktu 72 jam setelah mendeteksi pelanggaran.
- Verifikasi Permintaan Pengumpulan Data
Waspadalah terhadap penipuan atau phishing yang menyamar sebagai permintaan pengumpulan data. Lembaga resmi dan perusahaan harus memberikan identifikasi yang jelas saat meminta data pribadi.
- Tuntut Akuntabilitas Pengendali & Pemroses Data
Perusahaan dan organisasi yang mengelola data pribadi bertanggung jawab secara hukum untuk melindunginya. Mereka dapat dikenakan denda atau sanksi pidana jika lalai atau menyalahgunakan data pribadi.