General

Memahami UU PDP: Dasar Hukum, Kewajiban, dan Sanksinya

hukumku
By
Tim Penulis
21 Menit Baca
apa itu uu pdp undang-undang perlindungan data pribadi
Section
3 - Hak Subjek Data dalam UU PDP
1 - Apa Itu UU PDP?
2 - Dasar Hukum Perlindungan Data di Indonesia
3 - Hak Subjek Data dalam UU PDP
4 - Kewajiban Pengendali dan Prosesor Data
5 - Larangan dalam UU PDP
6 - Sanksi UU PDP yang Wajib Dipahami

Kewajiban Pengendali dan Prosesor Data

Kewajiban Consent: Standar Persetujuan yang Sah

UU PDP menetapkan standar consent yang jauh lebih ketat dibanding praktik umum yang selama ini berlaku. Persetujuan yang sah harus memenuhi empat kriteria secara kumulatif.

  • Diberikan secara bebas tanpa paksaan atau tekanan dari pihak pengendali.
  • Bersifat spesifik terhadap tujuan pemrosesan tertentu dan tidak dapat bersifat umum atau blanket.
  • Didasarkan pada informasi yang memadai sehingga subjek data benar-benar memahami apa yang ia setujui sebelum memberikan persetujuannya.
  • Dinyatakan secara tidak ambigu melalui pernyataan tertulis atau tindakan afirmatif yang jelas dan aktif dari subjek data.

Implikasi praktisnya sangat signifikan. Kotak centang (checkbox) yang sudah tercentang secara default adalah pelanggaran. Persetujuan yang dikubur dalam halaman syarat dan ketentuan tanpa penekanan yang memadai adalah pelanggaran. Formulir pendaftaran yang menjadikan pemberian data untuk keperluan pemasaran sebagai syarat wajib untuk mendapatkan layanan yang sebenarnya tidak memerlukan data tersebut juga merupakan pelanggaran. Desain antarmuka pengguna kini menjadi persoalan hukum, bukan sekadar persoalan estetika.

Kewajiban Notifikasi Data Breach

Pasal 46 UU PDP mewajibkan pengendali data untuk memberitahukan insiden kebocoran data kepada pihak yang berwenang dan kepada subjek data yang terdampak dalam waktu 14 hari sejak insiden diketahui. Kewajiban ini berlaku tanpa pengecualian, meski kebocoran bersumber dari kesalahan pihak ketiga atau prosesor data.

Notifikasi kepada otoritas harus memuat beberapa informasi minimal, antara lain deskripsi insiden, jenis dan perkiraan jumlah data yang terpengaruh, nama dan kontak DPO atau pihak yang dapat dihubungi, kemungkinan konsekuensi insiden, serta langkah-langkah yang telah dan akan diambil untuk mengatasi insiden tersebut. Perusahaan yang tidak memiliki incident response plan yang telah diuji coba sebelumnya hampir pasti tidak akan mampu memenuhi tenggat 14 hari ini.

Kewajiban Penunjukan Data Protection Officer

UU PDP mewajibkan penunjukan DPO bagi pengendali dan prosesor data yang memenuhi setidaknya satu dari tiga kriteria berikut.

  • Melakukan pemrosesan data untuk kepentingan publik.
  • Melakukan pemrosesan data secara besar-besaran (large scale).
  • Melakukan pemrosesan data sensitif secara sistematis dan ekstensif.

Dalam praktiknya, hampir semua perusahaan teknologi, perbankan, asuransi, kesehatan, dan e-commerce yang beroperasi di skala nasional masuk dalam kategori ini. DPO bukan sekadar jabatan seremonial. Ia bertanggung jawab memantau kepatuhan internal terhadap UU PDP, memberikan saran kepada pengendali tentang kewajiban perlindungan data, menjadi titik kontak dengan otoritas pengawas, dan mengelola permintaan dari subjek data. DPO harus memiliki kompetensi hukum dan teknis yang memadai serta posisi yang cukup independen dalam struktur organisasi untuk dapat menjalankan fungsinya secara efektif.

Baca Juga

Regulasi Etika dan Perlindungan Data dalam Riset AI Bioteknologi di Indonesia
Regulasi Etika dan Perlindungan Data dalam Riset AI Bioteknologi di Indonesia
Data Pribadi Sebagai Aset Strategis di Era Digital
kuhap baru
Denda UU PDP Alami Penyesuaian: Apa Implikasi Hukum Pasca KUHP Baru?
TAGGED:
Bagikan Artikel Ini
Artikel Terbaru

Artikel Terkait