Masih ingat dengan kasus kebocoran 1,3 miliar data registrasi SIM Card di Indonesia. Laporan ini disusul dengan munculnya kasus kebocoran 105 juta data kependudukan WNI. Ironisnya data milik warga Indonesia itu dijual di forum online “Breached Forums”.  

Perlindungan data pribadi di Tanah Air menjadi isu penting bagi masyarakat dan pemerintah. Disahkannya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) diharapkan dapat memberikan perlindungan dan kepastian hukum bagi warga negara serta tanggung jawab instansi terkait dalam memperlakukan data pribadi yang dikelolanya.

Sebelum UU PDP disahkan, Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik menjadi rujukan dalam pelaksanaan perlindungan data pribadi di Indonesia. Peraturan itu mendefinisikan data pribadi sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenarannya serta dilindungi kerahasiaannya. 

Berdasarkan regulasi di atas, data perseorangan tertentu adalah setiap keterangan yang benar dan nyata melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya harus sesuai ketentuan peraturan perundang-undangan. 

Setiap proses yang dimulai dari perolehan data pribadi hingga pemusnahannya harus mendapatkan persetujuan pemilik data pribadi. Persetujuan itu bisa berupa pernyataan tertulis dan/atau elektronik.  Sebaiknya persetujuan itu diberikan setelah pemilik data pribadi mendapatkan penjelasan secara lengkap mengenai proses  pemusnahannya. 

Pengelolaan data pribadi dilakukan oleh pihak Penyelenggara Sistem Elektronik (PSE) yang dibentuk oleh penyelenggara negara atau badan usaha (swasta). Badan ini akan mengelola, atau mengoperasikan sistem elektronik secara sendiri-sendiri maupun bersama-sama untuk keperluan dirinya dan/atau keperluan pihak lain.

Sebagai pengendali data (data controller), PSE wajib memastikan perlindungan data pribadi yang dikelolanya, mulai dari tahap pengawasan, pencegahan, hingga pencegahan terjadinya kebocoran data.

Apabila terjadi kebocoran data pribadi, berdasarkan ketentuan PSE harus memberitahukan secara tertulis tentang potensi kerugian yang bakal dialami oleh pemilik data pribadi disertai alasan dan penyebabnya. Informasi ini dikirimkan kepada pemilik data pribadi paling lambat 14 hari sejak diketahui adanya kebocoran.

Penanggulangan kebocoran data pribadi

Suatu organisasi ataupun perusahaan yang mengelola data pribadi perlu memiliki aturan internal yang digunakan sebagai pedoman dalam penanggulangan kebocoran data pribadi. Aturan ini dikenal sebagai Data Breach Management Policy (DTMP). 

DTMP adalah  pedoman yang berisi kerangka kerja yang menetapkan peran dan tanggung jawab setiap pihak yang terlibat dalam penanggulangan kebocoran data serta berisi petunjuk langkah-langkah yang harus diambil oleh perusahaan jika terjadi kebocoran data. Perusahaan juga harus memastikan setiap pegawainya memahami ketentuan dan cara mengaplikasikan DTMP, apabila terjadi kebocoran.

Beberapa alasan mengapa suatu organisasi atau perusahaan perlu memiliki DTMP adalah:

  1. Untuk memenuhi kewajiban hukum berdasarkan Pasal 28 Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016, PSE wajib memiliki aturan internal terkait perlindungan data pribadi yang sesuai dengan ketentuan peraturan perundang-undangan,
  2. Untuk mencegah, membatasi, dan/atau mengurangi dampak kerugian akibat terjadinya kebocoran data pribadi,
  3. Sebagai bentuk upaya untuk membangun kepercayaan pemilik data pribadi yang datanya dikelola oleh perusahaan.

Maraknya kasus kebocoran data pribadi di Indonesia menjadi peringatan bagi para pengendali data pribadi untuk terus meningkatkan sistem keamanan perlindungan data pribadi yang dikelolanya. Manajemen penanggulangan kebocoran data perlu dimiliki setiap organisasi maupun perusahaan dalam rangka memastikan perlindungan data pribadi sekaligus sebagai bentuk legal compliance terhadap peraturan perundang-undangan yang berlaku.

*Artikel ini pernah dimuat oleh website SIP Law Firm pada, 19 September 2022 dengan judul ‘’Manajemen Kebocoran Data Pribadi’’ yang ditulis oleh Partner SIP Law Firm R. Yudha Triarianto Wasono, S.H., M.H.