Pada tanggal 17 Oktober 2022, pemerintah Indonesia mengesahkan Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”). Artikel ini bertujuan untuk memberikan tinjauan mengenai Undang-Undang Pelindungan Data Pribadi Indonesia (UU PDP).

Dapat dikatakan UU PDP mencontoh European General Data Protection Regulation (“EU GDPR”). Namun, ternyata terdapat perbedaan diantara keduanya. Oleh karena itu, sangat disarankan untuk mencari nasihat hukum terlebih dahulu ketika akan mengadaptasi kebijakan privasi yang ditujukan untuk penduduk Indonesia.

Prinsip pemrosesan data

Serupa dengan EU GDPR, Pasal 16 Ayat (2) UU PDP mengatur prinsip-prinsip pelindungan data sebagai berikut:

• Sah secara hukum dan transparan / lawfulness principle
• Dilakukan sesuai dengan tujuannya / purpose limitation
• Terbatas dan spesifik / minimization
• Akurat / accuracy
• Pembatasan masa penyimpanan data / storage limitation
• Integritas dan kerahasiaan / integrity and confidentiality

Dasar hukum untuk pemrosesan data

Pasal 20 Ayat (2) UU PDP yang mencerminkan Pasal 6 EU GDPR menetapkan potensi dasar hukum untuk pemrosesan data, yaitu: persetujuan; perjanjian; kewajiban hukum; kepentingan vital; tugas publik; atau kepentingan yang sah.

Persetujuan

Prinsip utamanya adalah bahwa data hanya dapat diproses sesuai dengan tujuan yang telah disetujui oleh subjek data. Pasal 22 – 24 UU PDP membahas persyaratan untuk mendapatkan persetujuan.

Ketentuan yang memerlukan persetujuan dari subjek data tampak serupa dengan ketentuan yang terdapat di dalam EU GDPR sampai batas tertentu.

Namun, UU PDP tidak mengklarifikasi apakah metode “click wrap” diakui untuk memberikan persetujuan. Hal ini dapat menjadi perhatian karena hakim Indonesia masih mengambil pandangan tradisional tentang perjanjian yang sah sebagai dokumen yang memuat syarat-syarat perjanjian dengan tanda tangan tinta basah pada dokumen tersebut. Akhir-akhir ini, terdapat peraturan-peraturan yang telah disahkan untuk memungkinkan penggunaan tanda tangan elektronik di mana pengguna mendaftar dengan otoritas sertifikasi lokal untuk mengesahkan tanda tangan tersebut. Peraturan tersebut juga mengakui tanda tangan yang tidak bersertifikat (Pasal 60, Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik). Sekarang ini, peraturan tersebut mengakui tanda tangan elektronik bersertifikat dan tanda tangan elektronik tidak bersertifikat (contoh yang terlintas dalam pikiran adalah DocuSign). Namun, masih ada ketidakpastian mengenai kekuatan hukum dari memberikan persetujuan terhadap syarat dan ketentuan dengan menggunakan metode “click wrap”.

Rezim saat ini tidak secara jelas mendukung persetujuan dengan metode “click wrap” di mana tidak akan ada catatan tanda tangan yang menandakan persetujuan atau penerimaan untuk syarat dan ketentuan tertentu. Pengendali data harus mencari saran profesional tentang cara terbaik untuk menangkap persetujuan dari subjek data terhadap kebijakan privasi. Bisnis berbasis web dengan pengguna Indonesia sebaiknya mencari nasihat hukum tentang cara terbaik untuk mengatasi masalah ini.

Pengungkapan dalam persetujuan

Pengungkapan yang diperlukan untuk mendapatkan persetujuan diatur dalam Pasal 21 UU PDP - informasi utamanya meliputi:

• Tujuan pemrosesan data pribadi
• Jangka waktu penyimpanan dokumen yang berisi data pribadi
• Rincian mengenai informasi yang dikumpulkan
• Periode pemrosesan data pribadi
• Hak subjek data pribadi

Subjek data perlu diberitahu tentang perubahan apa pun di atas.

Petugas pelindungan data pribadi

Pengendali data wajib menunjuk petugas pelindungan data pribadi – Pasal 53 UU PDP. Pada titik ini, tidak ada persyaratan pendaftaran petugas data. Namun, UU PDP mengatur bahwa harus ada peraturan pelaksana sehubungan dengan penunjukan petugas pelindungan data.

Sanksi

Pelanggaran-pelanggaran di bawah ini dapat dihukum dengan denda dan/atau penjara menurut UU PDP:

• Secara tidak sah memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain (Pasal 67 (1) UU PDP);
• Dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya (Pasal 67 (2) UU PDP);
• Dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya (Pasal 67 (3) UU PDP);
• Dengan sengaja membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain (Pasal 68 UU PDP).

Pengelola dan/atau pemilik manfaat juga dapat bertanggung jawab berdasarkan ketentuan ini (Pasal 70 Ayat (1) UU PDP).

Momok sanksi pidana menegaskan kebutuhan untuk memiliki kerangka hukum pembuktian bahwa persetujuan untuk pengumpulan data telah didapatkan – lihat paragraf di atas mengenai “click wrap” dan persetujuan.

Pihak yang dirugikan dapat meminta kompensasi dari pengendali data yang wanprestasi – Pasal 12 UU PDP.

Pengadilan juga dapat menjatuhkan sanksi seperti pembayaran ganti rugi, penghentian sementara usaha, perampasan keuntungan, penutupan/penghentian usaha sebagian atau seluruhnya, pembubaran perusahaan (Pasal 70 Ayat (4) UU PDP). Dalam hal denda dapat mencapai 2 (dua) persen dari omzet perusahaan (Pasal 57 Ayat (3) UU PDP).

Sanksi pemenjaraan adalah salah satu bagian penting di mana UU PDP tidak sejalan dengan EU GDPR yang memberikan denda administratif, perintah koreksi dan kompensasi tetapi bukan pemenjaraan.

Apa yang harus dilakukan oleh perusahaan?

Perusahaan harus segera meninjau kebijakan privasi masing-masing untuk memastikan bahwa kebijakan privasi tidak bertentangan dengan UU PDP.

Silakan merujuk kepada Panduan Pelindungan Data Indonesia 2022 untuk topik lebih lanjut mengenai Undang-Undang Pelindungan Data Pribadi (UU PDP).

Panduan tersebut ditulis oleh Kin Wah Chow dan tim hukum di jaringan firma Rouse, Suryomurcito & Co untuk membantu perusahaan menavigasi kerangka peraturan dengan menetapkan peraturan yang berlaku pada saat publikasi.

TAGS

• Indonesia
• Data Protection