Artikel ini merupakan kelanjutan dari bagian pertama mengenai Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi. Artikel bagian kedua ini n memaparkan tentang pemberitahuan kepada subjek data jika terjadi aksi korporasi, kegagalan perlindungan data pribadi, lembaga penyelenggaraan perlindungan data pribadi (PDP), pejabat PDP, transfer data pribadi, sanksi administrasi, penyelesaian sengketa dan hukum acara, larangan dan ancaman pidana serta ketentuan peralihan.
Pemberitahuan Kepada Subjek Data Jika Terjadi Aksi Korporasi
Undang-Undang No. 27 Tahun 2022 memberikan kewajiban baru kepada pengendali data pribadi yang berbentuk badan hukum dalam hal terjadi aksi korporasi, seperti penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran untuk menyampaikan pemberitahuan pengalihan data pribadi kepada subjek data pribadi. Pemberitahuan pengalihan data pribadi dilakukan sebelum dan sesudah aksi korporasi tersebut dilaksanakan.
Kegagalan Pelindungan Data Pribadi
Yang dimaksud kegagalan PDP adalah kegagalan melindungi data pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan data pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap data pribadi yang dikirim, disimpan, atau diproses.
Dalam hal terjadinya kegagalan PDP, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis yang memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.
Pemberitahuan harus disampaikan paling lambat 3 x 24 jam kepada: (a) subjek data pribadi dan (b) lembaga. Dalam hal tertentu pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan PDP.
Lembaga
Undang-undang No. 27 Tahun 2022 mengatur bahwa penyelenggaraan PDP dilaksanakan oleh lembaga yang ditetapkan dan bertanggung jawab kepada Presiden. Ketentuan mengenai lembaga ini akan ditentukan lebih lanjut dengan Peraturan Presiden.
Kewenangan lembaga tersebut adalah sebagai berikut:
- merumuskan dan menetapkan kebijakan di bidang PDP;
- melakukan pengawasan terhadap kepatuhan pengendali data pribadi;
- menjatuhkan sanksi administratif atas pelanggaran pelindungan data pribadi yang dilakukan pengendali data pribadi dan/atau prosesor data pribadi;
- membantu aparat penegak hukum dalam penanganan dugaan tindak pidana data pribadi sebagaimana dimaksud dalam undang-undang ini;
- bekerja sama dengan lembaga PDP negara lain dalam rangka penyelesaian dugaan pelanggaran PDP lintas negara;
- melakukan penilaian terhadap pemenuhan persyaratan transfer data pribadi ke luar wilayah hukum negara Republik Indonesia;
- memberikan perintah dalam rangka tindak lanjut hasil pengawasan kepada pengendali data pribadi dan/ atau prosesor data pribadi;
- melakukan publikasi hasil pelaksanaan pengawasan PDP sesuai dengan ketentuan peraturan perundang-undangan;
- menerima aduan dan/atau laporan tentang dugaan terjadinya pelanggaran PDP;
- melakukan pemeriksaan dan penelusuran atas pengaduan, laporan, dan/atau hasil pengawasan terhadap dugaan terjadinya pelanggaran PDP;
- memanggil dan menghadirkan setiap orang dan/ atau badan publik yang terkait dengan dugaan pelanggaran PDP;
- meminta keterangan, data, Informasi, dan dokumen dari setiap orang dan/ atau badan publik terkait dugaan pelanggaran PDP;
- memanggil dan menghadirkan ahli yang diperlukan dalam pemeriksaan dan penelusuran terkait dugaan pelanggaran PDP;
- melakukan pemeriksaan dan penelusuran terhadap sistem elektronik, sarana, ruang, dan/ atau tempat yang digunakan pengendali data pribadi dan/atau prosesor data pribadi, termasuk memperoleh akses terhadap data dan/atau menunjuk pihak ketiga; dan
- meminta bantuan hukum kepada kejaksaan dalam penyelesaian sengketa PDP.
Pejabat Pelindungan Data Pribadi
Yang dimaksud dengan “pejabat atau petugas yang melaksanakan fungsi PDP adalah pejabat atau petugas yang bertanggung jawab untuk memastikan kepatuhan atas prinsip PDP dan mitigasi risiko pelanggaran PDP. Pejabat atau petugas yang melaksanakan fungsi PDP ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik PDP, dan kemampuan untuk memenuhi tugas-tugasnya.
Pengendali data pribadi dan prosesor data pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi PDPi dalam hal:
- pemrosesan data pribadi untuk kepentingan pelayanan publik;
- kegiatan inti pengendali data pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas data pribadi dengan skala besar; dan
- kegiatan inti pengendali data pribadi terdiri dari pemrosesan data pribadi dalam skala besar untuk data pribadi yang bersifat spesifik dan/atau data pribadi yang berkaitan dengan tindak pidana.
Pada dasarnya pejabat PDP memiliki tugas sebagai berikut:
- menginformasikan dan memberikan saran kepada pengendali data pribadi atau prosesor data pribadi agar mematuhi ketentuan dalam Undang-undang No. 27 Tahun 2022;
- memantau dan memastikan kepatuhan terhadap Undang-undang No. 27 Tahun 2022 dan kebijakan pengendali data pribadi atau prosesor data pribadi;
- memberikan saran mengenai penilaian dampak PDP dan memantau kinerja pengendali data pribadi dan prosesor data pribadi; dan
- berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan data p
Transfer Data Pribadi
Pengendali data pribadi dapat melakukan transfer data pribadi kepada pengendali data pribadi lainnya baik di dalam ataupun di luar wilayah hukum Negara Republik Indonesia dengan ketentuan bahwa pengirim maupun penerima memiliki tingkat PDP yang setara atau lebih tinggi dari yang diatur dalam Undang-undang No. 27 Tahun 2022.
Sanksi Administratif
Pelanggaran terhadap beberapa ketentuan dalam Undang-undang No. 27 Tahun 2022 akan dikenakan sanksi administratif berupa:
- peringatan tertulis;
- penghentian sementara kegiatan pemrosesan data pribadi;
- penghapusan atau pemusnahan data pribadi; dan/atau
- denda administratif.
Besaran denda administratif di atas paling tinggi dua persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Penjatuhan sanksi administratif diberikan oleh lembaga.
Penyelesaian Sengketa dan Hukum Acara
Penyelesaian sengketa PDP dilakukan melalui arbitrase, pengadilan, atau lembaga penyelesaian sengketa alternatif lainnya, serta hukum acara dilakukan sesuai dengan ketentuan peraturan perundang-undangan yang berlaku. Dalam hal diperlukan untuk melindungi data pribadi, proses persidangan dilakukan secara tertutup.
Alat bukti yang sah merupakan alat bukti sebagaimana dimaksud dalam hukum acara; dan alat bukti lain berupa informasi elektronik dan/atau dokumen elektronik sesuai dengan ketentuan peraturan perundang-undangan.
Larangan dan Ancaman Pidana
Undang-undang No. 27 Tahun 2022 secara khusus mengatur mengenai larangan beserta ancaman pidananya sebagai berikut:
| No. | Larangan | Ancaman Pidana |
| 1 | Setiap orang (perseorangan atau korporasi) yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi. | pidana penjara paling lama lima tahun dan/atau pidana denda paling banyak lima miliar rupiah |
| 2 | Setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya. | pidana penjara paling lama empat tahun dan/atau pidana denda paling banyak empat miliar rupiah |
| 3 | Setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya. | pidana penjara paling lama lima tahun dan/atau pidana denda paling banyak lima miliar rupiah |
| 4 | Setiap orang yang dengan sengaja membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain. | pidana penjara paling lama enam tahun dan/atau pidana denda paling banyak enam miliar rupiah |
| Selain dijatuhi pidana tersebut, juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian. | ||
Terhadap tindak pidana yang dilakukan oleh korporasi (badan hukum / non-badan hukum), maka pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi. Denda yang dijatuhkan kepada korporasi paling banyak sepuluh kali dari maksimal pidana denda yang diancamkan, dan dapat dijatuhi pidana tambahan berupa:
- perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
- pembekuan seluruh atau sebagian usaha korporasi;
- pelarangan permanen melakukan perbuatan tertentu;
- penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi;
- melaksanakan kewajiban yang telah dilalaikan;
- pembayaran ganti kerugian;
- pencabutan izin; dan/atau
- pembubaran korporasi
Ketentuan Peralihan
Pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi, wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan Undang-undang No. 27 Tahun 2022 paling lama dua tahun sejak Undang-undang No. 27 Tahun 2022 diundangkan.
Author/Contributor:
 | R. Yudha Triarianto Wasono, S.H., M.H. Partner Contact: Mail : yudha@siplawfirm.id Phone : +62-21 799 7973 / +62-21 799 7975 |
 | Associate Contact: Mail : ihsan@siplawfirm.id Phone : +62-21 799 7973 / +62-21 799 7975 |
DISCLAIMER
Setiap informasi yang terkandung dalam Artikel ini disediakan hanya untuk tujuan informasi dan tidak boleh ditafsirkan sebagai nasihat hukum tentang masalah apa pun. Anda tidak boleh bertindak atau menahan diri dari bertindak berdasarkan konten apa pun yang termasuk dalam Update Hukum ini tanpa mencari nasihat hukum atau profesional lainnya. Dokumen ini dilindungi hak cipta. Tidak ada bagian dari dokumen ini yang dapat diungkapkan, didistribusikan, direproduksi atau dikirim dalam bentuk apa pun atau dengan cara apa pun, termasuk fotokopi dan rekaman atau disimpan dalam sistem pengambilan apa pun tanpa persetujuan tertulis sebelumnya dari Firma Hukum SIP.