Pemahaman GDPR dan Perlindungan Data Pribadi (UU PDP)
Indonesia memiliki undang-undang perlindungan data sendiri yang dikenal sebagai Peraturan Perlindungan Data Umum Indonesia (UU Perlindungan Data Pribadi). Perlindungan data pribadi menjadi perhatian yang signifikan di Indonesia, seperti halnya di banyak negara lain di dunia.
Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) mengatur bahwa orang perorangan termasuk yang melakukan kegiatan bisnis atau e-commerce di rumah dapat dikategorikan sebagai pengendali data pribadi.
Undang-undang ini diundangkan pada 7 November 2016, dan mulai berlaku pada 25 Mei 2018, hari yang sama dengan pemberlakuan GDPR di Uni Eropa. Tujuan undang-undang ini adalah untuk melindungi data pribadi warga negara Indonesia, dan mengatur pengumpulan, penggunaan, dan pengungkapan data pribadi oleh entitas publik dan swasta.
Indonesia telah menerapkan undang-undang perlindungan datanya sendiri, yang dikenal sebagai Peraturan Perlindungan Data Umum Indonesia (UU Perlindungan Data Pribadi). Undang-undang ini diundangkan pada tahun 2016 dan mengatur pengumpulan, penggunaan, dan pengungkapan data pribadi di Indonesia. Ini berlaku untuk individu dan organisasi, dan menetapkan persyaratan khusus untuk pemrosesan data pribadi, termasuk kebutuhan akan persetujuan, transparansi, dan tindakan keamanan. Oleh karena itu, penting bagi perusahaan yang beroperasi di Indonesia untuk mematuhi undang-undang ini untuk memastikan perlindungan data pribadi dan menghindari potensi konsekuensi hukum.
Apakah data pribadi itu?
Data pribadi mengacu pada informasi apa pun yang dapat digunakan untuk mengidentifikasi individu tertentu. Contoh data pribadi termasuk nama seseorang, alamat, nomor telepon, alamat email, nomor identifikasi, rekam medis, informasi keuangan, dan banyak lagi.
Memahami Peraturan Perlindungan Data Pribadi Indonesia: Persyaratan, Konsekuensi, dan Contoh
Pada tahun 2016, Indonesia mengesahkan Peraturan Perlindungan Data Umum (GDPR) atau UU Perlindungan Data Pribadi yang mengatur tentang pengumpulan, penggunaan, dan pengungkapan data pribadi di Indonesia. Dalam artikel ini, kami akan menjelaskan persyaratan utama GDPR, memberikan contoh cara kerjanya dalam praktik, dan membahas konsekuensi ketidakpatuhan.
Persyaratan Utama:
GDPR menetapkan beberapa persyaratan utama untuk pemrosesan data pribadi. Ini termasuk:
- Persetujuan: Individu harus memberikan persetujuan mereka sebelum data pribadi mereka dikumpulkan, digunakan, atau diungkapkan.
- Transparansi: Organisasi harus transparan tentang cara mereka mengumpulkan, menggunakan, dan mengungkapkan data pribadi.
- Tindakan Keamanan: Organisasi harus menerapkan tindakan keamanan yang wajar untuk melindungi data pribadi.
- Retensi Data: Organisasi tidak boleh menyimpan data pribadi lebih lama dari yang diperlukan.
Contoh:
Berikut beberapa contoh cara kerja GDPR dalam praktiknya:
- Perusahaan yang mengumpulkan data pelanggan untuk tujuan pemasaran harus mendapatkan persetujuan pelanggan sebelum menggunakan data mereka. Perusahaan juga harus transparan tentang bagaimana data akan digunakan dan memastikan bahwa data disimpan dengan aman.
- Instansi pemerintah yang mengumpulkan data pribadi untuk layanan publik harus mendapatkan persetujuan individu tersebut dan bersikap transparan tentang bagaimana data tersebut akan digunakan. Agensi juga harus memastikan bahwa data tetap aman dan tidak disimpan lebih lama dari yang diperlukan.
Konsekuensi dari Ketidakpatuhan Perlindungan Data Pribadi di Indonesia
Organisasi yang tidak mematuhi GDPR dapat menghadapi beberapa konsekuensi dan sanksi kebocoran dan penyalahgunaan data, termasuk:
- Denda: Organisasi dapat didenda hingga puluhan miliar karena melanggar GDPR.
- Tindakan Hukum: Individu dapat mengambil tindakan hukum terhadap organisasi yang melanggar hak mereka berdasarkan GDPR.
- Kerusakan Reputasi: Ketidakpatuhan dapat menyebabkan kerusakan reputasi, karena pelanggan dapat kehilangan kepercayaan pada organisasi.
Sanksi dan denda
Dikutip dari Kominfo, berikut pasal-pasal yang terkait oleh Perlindungan Data Pribadi di Indonesia:
Pasal 61 ayat (1)
Pasal 61 ayat (1), misalnya, menyebutkan bahwa setiap orang yang dengan sengaja memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian Pemilik Data Pribadi sebagaimana dimaksud dalam Pasal 51 ayat (1) dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp50 miliar.
Pasal 61 ayat (2)
Sementara ayat (2) berbunyi setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (2) dipidana dengan pidana penjara paling lama dua tahun atau pidana denda paling banyak Rp20 miliar.
Pasal 61 ayat (3)
Sedangkan ayat (3) berisi setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (3) dipidana dengan pidana penjara paling lama tujuh tahun atau pidana denda paling banyak Rp70 miliar.
Kemudian Pasal 62 menyatakan setiap orang yang dengan sengaja dan melawan hukum memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual di tempat umum atau fasilitas pelayanan publik yang dapat mengancam atau melanggar pelindungan data pribadi sebagaimana dimaksud dalam Pasal 52, dipidana dengan pidana penjara paling lama satu tahun atau pidana denda paling banyak Rp10 miliar.
Pasal 63
Selanjutnya dalam Pasal 63 disebutkan setiap orang yang dengan sengaja dan melawan hukum menggunakan alat pemroses atau pengolah data visual yang dipasang di tempat umum dan/atau fasilitas pelayanan publik yang digunakan untuk mengidentifikasi seseorang sebagaimana dimaksud dalam Pasal 53 dipidana dengan pidana penjara paling lama satu tahun atau pidana denda paling banyak Rp10 miliar.
Pasal 64
Pada Pasal 64 yang memuat dua ayat menyebutkan bahwa setiap orang yang dengan sengaja memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 54 ayat (1) dipidana dengan pidana penjara paling lama enam tahun atau pidana denda paling banyak Rp60 miliar.
Pasal 54 ayat (2)
Selain itu, setiap orang yang dengan sengaja menjual atau membeli data pribadi sebagaimana dimaksud dalam Pasal 54 ayat (2) dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp50 miliar.
Pasal 61 sampai dengan Pasal 64, pada Pasal 65
Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 61 sampai dengan Pasal 64, pada Pasal 65 menyatakan terhadap terdakwa juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.
Pasal 66 ayat (1)
Selanjutnya, Pasal 66 mengatur mengenai pihak mana saja yang dapat dikenakan pidana. Dalam ayat (1) disebutkan, dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 61 sampai dengan Pasal 64 dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.
Pasal 66 ayat (2 dan 3)
Kemudian ayat (2) menyebutkan pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Sementara ayat (3) menyebutkan pidana denda yang dijatuhkan kepada korporasi paling banyak tiga kali dari maksimal pidana denda yang diancamkan.
Pasal 66 ayat (4)
Terakhir, ayat (4) menyatakan, selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), korporasi dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, pelarangan permanen melakukan perbuatan tertentu, penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, dan pembayaran ganti kerugian.
Keberadaan UU ini memang merupakan suatu keniscayaan, bahkan keharusan yang tidak dapat ditunda-tunda lagi karena sangat mendesak bagi berbagai kepentingan nasional dan publik.
Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945
Selain itu, keberadaan UU ini juga merupakan amanat dari Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 yang menyatakan bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.
Sumber bacaan: https://www.kominfo.go.id/content/detail/28343/bersama-lindungi-data-pribadi-di-platform-digital/0/artikel
Langkah yang dapat Anda ambil untuk memastikan kepatuhan terhadap GDPR
Sebagai klien, pemilik bisnis, atau badan pemerintah di Indonesia, ada beberapa langkah yang dapat Anda ambil untuk memastikan kepatuhan terhadap GDPR:
Pahami peraturan GDPR
Penting untuk memahami peraturan GDPR, termasuk jenis data pribadi yang tercakup dalam GDPR, hak individu berdasarkan GDPR, dan tanggung jawab bisnis berdasarkan GDPR.
Tinjau praktik data Anda saat ini
Tinjau praktik data Anda saat ini dan identifikasi area mana pun yang mungkin tidak sesuai dengan peraturan GDPR. Ini mungkin termasuk cara Anda mengumpulkan, menyimpan, dan memproses data pribadi.
Terapkan perubahan yang diperlukan
Lakukan perubahan yang diperlukan pada praktik data Anda untuk memastikan kepatuhan terhadap GDPR. Ini mungkin termasuk menerapkan kebijakan perlindungan data baru, memperbarui kebijakan privasi Anda, atau melatih karyawan Anda tentang peraturan GDPR.
Dapatkan persetujuan
Sebagai pemilik bisnis atau entitas pemerintah, penting untuk mendapatkan persetujuan dari individu sebelum mengumpulkan data pribadi mereka. Persetujuan harus diberikan secara bebas dan jelas, dan individu harus diberi tahu tentang hak mereka berdasarkan GDPR.
Menunjuk Petugas Perlindungan Data
Jika organisasi Anda secara rutin memproses data pribadi dalam jumlah besar, Anda mungkin perlu menunjuk Petugas Perlindungan Data (DPO) untuk mengawasi kepatuhan GDPR.
Tinjau praktik data Anda secara rutin
Tinjau praktik data Anda secara rutin untuk memastikan kepatuhan berkelanjutan terhadap GDPR.
Laporkan pelanggaran apa pun
Jika Anda mengalami pelanggaran data, penting untuk melaporkannya ke otoritas terkait dalam waktu 72 jam setelah mengetahui pelanggaran tersebut.
Konsekuensi dari ketidakpatuhan terhadap GDPR di Indonesia dapat mencakup denda dan tindakan hukum yang signifikan.
Sebagai klien, penting untuk mengetahui hak Anda berdasarkan GDPR, termasuk hak untuk mengakses data pribadi Anda, hak untuk meminta agar data Anda dihapus, dan hak untuk menolak pemrosesan data Anda.
Pemilik bisnis dan entitas pemerintah harus rajin memastikan kepatuhan terhadap GDPR untuk melindungi data pribadi individu dan menghindari denda dan tindakan hukum yang mahal.
Untuk informasi lebih lanjut tentang peraturan GDPR di Indonesia, silakan kunjungi situs web resmi Kementerian Komunikasi dan Informatika Indonesia: https://www.kominfo.go.id.
Contoh perusahaan yang terkena denda karena tidak patuh dengan GDPR
Berikut adalah beberapa contoh nyata perusahaan yang menerima denda karena tidak mematuhi GDPR:
Pada Januari 2019, otoritas perlindungan data Prancis, CNIL, mendenda Google €50 juta (US$56,8 juta atau sekitar Rp 185 miliar) karena melanggar aturan GDPR terkait transparansi dan persetujuan. Denda tersebut terkait dengan kegagalan Google untuk memberikan informasi yang memadai kepada pengguna tentang praktik pengumpulan datanya.
Marriott International
Pada bulan Juli 2019, Kantor Komisi Informasi Inggris (ICO) mengumumkan niatnya untuk mendenda Marriott International £99 juta (US$123 juta atau Rp 1,84 triliun)) atas pelanggaran data yang mengungkap informasi pribadi sekitar 339 juta tamu. ICO menemukan bahwa Marriott gagal menerapkan tindakan teknis dan organisasional yang sesuai untuk melindungi data pribadi berdasarkan GDPR.
H&M
Pada Oktober 2020, Komisaris Hamburg untuk Perlindungan Data dan Kebebasan Informasi mendenda H&M €35,3 juta (US$41 juta atau Rp 543 miliar) karena mengumpulkan dan menyimpan data pribadi tentang karyawannya secara tidak sah. Perusahaan telah mengumpulkan informasi tentang kehidupan pribadi karyawan, seperti pengalaman liburan dan penyakit mereka, dan telah menggunakan informasi ini untuk membuat keputusan pekerjaan.
British Airways
Pada Oktober 2020, ICO mendenda British Airways £20 juta (US$26 juta sekitar Rp 372 miliar) karena gagal melindungi data pribadi dan keuangan sekitar 400.000 pelanggan. Pelanggaran terjadi pada 2018 ketika peretas memperoleh akses ke situs web dan aplikasi seluler perusahaan.
Amazon
Pada Desember 2020, Komisi Nasional Perlindungan Data Luksemburg mendenda Amazon €746 juta (US$887 juta atau 12,1 triliun) karena melanggar aturan GDPR terkait pemrosesan data pribadi. Denda itu terkait dengan penggunaan data pribadi Amazon untuk iklan bertarget tanpa mendapatkan persetujuan yang tepat dari pengguna.
Penting untuk diperhatikan bahwa denda untuk pelanggaran GDPR bisa sangat signifikan, dengan denda maksimum sebesar 4% dari pendapatan tahunan global perusahaan atau €20 juta (mana yang lebih besar). Selain itu, perusahaan juga dapat menghadapi kerusakan reputasi dan hilangnya kepercayaan pelanggan sebagai akibat dari ketidakpatuhan terhadap GDPR.
Berikut tautan ke situs web resmi Uni Eropa tentang GDPR: https://ec.europa.eu/info/law/law-topic/data-protection_en.
Dan untuk informasi lebih lanjut tentang GDPR di Indonesia, Anda dapat merujuk ke situs web Kementerian Komunikasi dan Informatika RI: https://www.kominfo.go.id/
Kesimpulan:
Sebagai kesimpulan, Peraturan Perlindungan Data Umum Indonesia menetapkan persyaratan penting untuk pengumpulan, penggunaan, dan pengungkapan data pribadi di Indonesia. Organisasi harus memastikan bahwa mereka mematuhi persyaratan ini untuk menghindari konsekuensi ketidakpatuhan. Untuk informasi lebih lanjut tentang GDPR, silakan kunjungi situs web resmi Kementerian Komunikasi dan Informatika RI di: https://www.kominfo.go.id/
Informasi: PinterPandai bukan sebagai pengganti kuasa hukum dan penegak hukum. Jika Anda membutuhkan bantuan, mintalah kepada orang-orang profesional dan / atau penegak hukum.
Sumber bacaan: Consultant4Companies, CNBC Indonesia, Mahkamah Konstitusi, Hukum Online
Sumber foto utama: geralt via Pixabay
Pinter Pandai “Bersama-Sama Berbagi Ilmu”
Quiz | Matematika | IPA | Geografi & Sejarah | Info Unik | Lainnya | Business & Marketing
Bisa Tidak Seseorang Dipidana Karena Tidak Mampu Membayar Utang? Pidana atau Perdata?