Undang-undang perlindungan data pertama di Indonesia, yang dikenal sebagai Undang-Undang Perlindungan Data Pribadi, sangat didasarkan pada Peraturan Perlindungan Data Umum Uni Eropa (EU GDPR). Undang-undang baru secara jelas menetapkan jenis dasar hukum untuk memperoleh dan memproses data pribadi dan memberikan sanksi pidana dan administratif yang tegas bagi mereka yang melanggar ketentuan undang-undang tersebut. Ini termasuk denda hingga 2% dari omset tahunan perusahaan.

Pada akhir September 2022, Indonesia memberlakukan Undang-Undang Perlindungan Data Pribadi (UU PDP) pertama setelah bertahun-tahun diskusi dan penundaan. Yang penting, persetujuan cepat dari undang-undang tersebut datang karena negara tersebut telah melihat serangkaian pelanggaran data profil tinggi dalam beberapa bulan terakhir, dengan Badan Siber dan Enkripsi Nasional menyelidiki tuduhan peretas bernama. data pemerintah. Undang-Undang PDP erat didasarkan pada Peraturan Perlindungan Data Umum Uni Eropa (EU GDPR).

Di bawah Undang-Undang Perlindungan Data Pribadi Indonesia yang baru, perusahaan lokal serta perusahaan internasional akan bertanggung jawab atas cara mereka menangani data konsumen Indonesia. Undang-undang tersebut mengenakan denda hingga 2% dari omset tahunan perusahaan untuk pelanggaran data, dan individu juga dapat didenda hingga 6 miliar rupee ($400.000).

Jumlah serangan siber terhadap warga negara dan institusi Indonesia pada kuartal pertama tahun 2022 saja tercatat 11,8 juta, meningkat 22% dibandingkan periode yang sama pada tahun 2021. Apalagi, menurut laporan ‘Interpol, Indonesia telah melihat lebih banyak ransomware serangan daripada yang lain. negara Asia Tenggara lainnya.

Sebelum UU PDP, aturan yang mengatur penggunaan data pribadi tersebar di berbagai undang-undang, sehingga sulit bagi konsumen untuk meminta pertanggungjawaban perusahaan atas penyalahgunaan data pribadi mereka.

Apa saja fitur utama Undang-Undang Perlindungan Data Pribadi Indonesia?

Subjek data, pengontrol, dan pemroses

Orang yang bersangkutan

UU PDP memperkenalkan istilah “subjek data” yang didefinisikan sebagai orang yang memiliki data pribadi. Subjek data memiliki hak untuk mengetahui mengapa data pribadi mereka diminta dan bagaimana data tersebut akan digunakan. Mereka juga dapat meminta agar data pribadi yang salah diperbaiki dan dapat menarik persetujuan mereka untuk pemrosesan data pribadi mereka.

Orang yang bertanggung jawab atas pemrosesan data pribadi

Pengontrol data adalah setiap orang, badan publik atau organisasi yang bertindak untuk melakukan kontrol atas pemrosesan data pribadi.

Pemroses data pribadi

Pemroses data adalah setiap orang, badan publik, atau organisasi yang bertindak untuk melakukan kontrol atas pemrosesan data pribadi atas nama pengontrol data.

Pengendali dan pemroses harus memastikan keakuratan dan keamanan data pribadi yang diproses.

Pemrosesan data pribadi

Berdasarkan undang-undang sebelumnya, persetujuan pemilik adalah satu-satunya dasar hukum yang diakui untuk memperoleh data pribadi. UU PDP memperluas alternatif hukum untuk memproses data pribadi. Ini adalah:

1. Kontrak: Kewajiban dalam suatu perjanjian di mana subjek data adalah suatu pihak atau untuk memenuhi persyaratan data pribadi pada saat mengadakan suatu perjanjian;
2. Kewajiban hukum: Pemenuhan kewajiban hukum sesuai dengan peraturan perundang-undangan Indonesia;
3. Minat penting: Perlindungan kepentingan vital subjek data;
4. Izin: Persetujuan eksplisit yang diperoleh dari subjek data yang berkaitan dengan satu atau lebih tujuan yang telah dijelaskan kepada subjek data;
5. Kepentingan yang sah: Tercapainya kepentingan lain yang sah dengan menghormati keseimbangan antara kepentingan pengontrol data dan hak subjek data; Di mana
6. Tugas publik: Pelaksanaan tugas dalam rangka kepentingan atau pelayanan publik, dilakukan oleh pengontrol data sesuai dengan peraturan perundang-undangan Indonesia.

Pengontrol data wajib menunjukkan bukti persetujuan yang diberikan oleh subjek data saat memproses data pribadi.

Pengecualian

UU PDP tidak berlaku untuk pengolahan data pribadi untuk kegiatan pribadi atau rumah tangga. Selain itu, pengecualian lain untuk pemrosesan data pribadi termasuk untuk:

• tujuan pertahanan dan keamanan nasional;
• Penegakan hukum;
• Kepentingan umum dalam rangka penyelenggaraan negara; Di mana
• Pengawasan sektor jasa keuangan.

Dampak ekstrateritorial

UU PDP berlaku untuk setiap orang, badan publik atau organisasi internasional yang melakukan kegiatan berdasarkan UU PDP, dan berlokasi:

• Dalam yurisdiksi Indonesia; Di mana
• Di luar wilayah hukum Indonesia, namun berdampak hukum terhadap wilayah hukum Indonesia atau subjek data yang merupakan warga negara Indonesia yang berada di luar wilayah hukum negara tersebut.

Transfer data pribadi lintas batas

Undang-undang baru mengizinkan pengontrol data untuk mentransfer data pribadi ke pengontrol data yang berlokasi di luar Indonesia jika:

• negara tempat pengontrol menerima data pribadi memiliki mekanisme perlindungan data pribadi yang sama atau lebih baik dari Indonesia;
• Dalam hal ketentuan di atas dapat dipenuhi, pengontrol harus memastikan bahwa perlindungan data pribadi memadai dan bersifat mengikat; Di mana
• Dalam hal tidak satu pun dari ketentuan di atas dapat dipenuhi, pengontrol harus mendapatkan persetujuan subjek data untuk mentransfer data pribadinya ke luar negeri.

Penunjukan Petugas Perlindungan Data

Jika pengontrol atau pengolah sedang memproses data pribadi untuk kepentingan umum, mengawasi data pribadi secara besar-besaran, atau memproses data pribadi sehubungan dengan kegiatan kriminal, maka harus menunjuk petugas perlindungan data.

Penanggung jawab diangkat sesuai dengan pengetahuan hukumnya, praktiknya dalam perlindungan data pribadi, profesionalismenya, dan kemampuannya untuk memenuhi peran ini.

Apa yang terjadi jika terjadi merger, akuisisi, dan konsolidasi perusahaan?

Subjek data harus diberi tahu tentang merger, akuisisi, dan konsolidasi bisnis, serta setiap transfer data pribadi yang akan dihasilkan dari aktivitas ini.

Hal ini dapat dilakukan melalui pemberitahuan pribadi kepada orang yang bersangkutan atau melalui media. Selain itu, dalam hal pembubaran atau likuidasi pengontrol data, penyimpanan, transfer, atau penghapusan data pribadi harus dilakukan sesuai dengan hukum dan subjek data harus diberitahu.

Hukuman

Sanksi hukuman

Undang-undang PDP dengan jelas menyatakan larangan penggunaan data pribadi. Ini adalah:

1. Seseorang secara tidak sah memperoleh data pribadi yang bukan miliknya dengan tujuan mengambil keuntungan darinya atau menguntungkan orang lain, yang mengakibatkan kerugian bagi subjek data;
2. Seseorang yang secara tidak sah mengungkapkan data pribadi yang bukan miliknya;
3. Seseorang yang secara melawan hukum menggunakan data pribadi yang bukan miliknya; Di mana
4. Pembuatan data pribadi palsu ketika aktivitas tersebut mengakibatkan kerugian bagi orang lain.

Pelanggar undang-undang PDP menghadapi hukuman pidana tiga jenis:

1. Hukuman: individu dapat didenda hingga 6 miliar rupee (400.000 USD) dan perusahaan dapat didenda hingga 60 miliar rupee (4 juta USD);
2. Penjara: Individu dapat menghadapi hingga enam tahun penjara; Di mana
3. Sanksi Lain: Diantaranya meliputi penyitaan aset hasil tindak pidana, pembekuan kegiatan usaha, penutupan usaha, pencabutan izin usaha, dan lain-lain.

Sanksi pidana ini dapat dijatuhkan terhadap manajer perusahaan, pengendali, pemilik manfaat atau prinsipal.

Sanksi administratif

Perusahaan yang melanggar ketentuan tertentu dalam UU PDP dapat dikenakan sanksi administratif berupa teguran tertulis, penghapusan data pribadi, penangguhan kegiatan pengolahan data pribadi, atau denda administratif.

Denda administrasi bisa mencapai 2% dari omzet tahunan perusahaan. Ini bahkan lebih kecil dari denda yang dikenakan di bawah GDPR UE, yang merupakan 4% dari omset tahunan perusahaan.