Jakarta (ANTARA/Jacx) Perlindungan data pribadi penggunan internet saat ini terus menjadi salah satu isu yang penting dan menarik perhatian masyarakat karena menyangkut privasi dan kerahasiaan informasi mengenai individu di masyarakat.
Tulisan ini merupakan bagian kelima dari serangkaian artikel yang membahas perlindungan data pribadi pengguna internet di Indonesia dengan bahan pembanding aturan mengenai hal itu yang telah disahkan dan berlaku di negara-negara yang menjadi anggota Uni Eropa.
Uni Eropa telah memiliki aturan yang mereka namakan General Data Protection Regulation (GDPR) yang diberlakukan pada 27 April 2016 lalu.
GDPR sangat relevan karena Indonesia juga sedang menghadapi masalah serupa yang menjadi alasan pengesahan GDPR seperti praktik pembobolan data pribadi pengguna internet (data breach) untuk tujuan-tujuan komersial atau politik yang merugikan publik sebagai pengguna internet.
Artikel terkait : Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian I)
Artikel terkait : Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian II)
Salah satu yang diatur dalam GDPR adalah keamanan data pengguna internet dan transparansi tentang pembobolan data.
Pengendali data atau pengolah data diwajibkan memberitahukan pembobolan atau pengambilan data secara diam-diam yang telah mereka lakukan sebagaimana diatur.
Apabila terjadi pembobolan data pribadi Subyek, seperti akses tanpa izin ke akun pribadi atau pengambilan data yang berefek penghapusan data, ada beberapa kewajiban pemberitahuan yang mesti dilaksanakan pengendali data.
Yang pertama, mereka wajib memberikan Pemberitahuan Kepada Lembaga Pengawas Keamanan Data. Pemberitahuan ini harus dilakukan tanpa keterlambatan yang tidak semestinya, dan jika memungkinkan, dalam 72 jam setelah diketahui adanya pembobolan data.
Namun, kewajiban ini tidak berlaku apabila pelanggaran tidak menghasilkan resiko terhadap hak dan kebebasan individu Subyek Data. Jika pengendali data atau pengolah data tidak memberitahukan selama periode waktu ini, harus ada penjelasan tentang alasan keterlambatan ini.
Pemberitahuan itu harus setidaknya menjelaskan sifat pelanggaran, kategori data, jumlah subyek data yang terbobol datanya, pihak-pihak yang kira-kira terlibat, penjelasan petugas perlindungan data yang berkompeten dan ditunjuk pengendali data atau pengolah data, konsekuensi yang mungkin muncul serta tindakan yang sedang atau diusulkan agar diambil segera.
Semua pembobolan data harus didokumentasikan termasuk dampak serta tindakan perbaikan yang dibutuhkan.
Artikel terkait : Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian III)
Artikel terkait: Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian IV)
Selain memberitahukan kepada lembaga pengawas keamanan data, pengelola juga wajib memberitahukan hal itu kepada subyek data.
Pemberitahuan ini harus dilakukan tanpa keterlambatan yang tidak semestinya apabila pelanggaran data dapat berujung pada resiko serius terhadap hak dan kebebasan subyek data.
Pemberitahuan ini harus menjelaskan konteks pembobolan data yang terjadi secara jelas serta memberikan informasi lain yang terkait. Pemberitahuan dapat diabaikan, misalnya jika data telah dienkripsi dengan aman serta akses ke kunci enkripsi belum dibuka kepada pihak lain.
Pemberitahuan yang bersifat publik dimungkinkan jika pemberitahuan yang bersifat individu (orang per orang) dianggap memerlukan usaha dan biaya yang tidak sepadan.
Bagaimana sanksi yang diberikan?, sebelum pemberlakuan GDPR, negara anggota Uni Eropa telah menerapkan sanksi denda untuk perusahaan atau organisasi yang melakukan pelanggaran pembobolan data (data breach) atau penyalahgunaan data.
Sanksi denda ini pada umumnya tidak terlalu memberatkan, misalnya 500,000 pounds di Inggris. Namun beberapa negara belakangan telah meningkatkan denda tersebut, 3 juta Euro di Prancis dan 820,000 Euro atau hingga 10 persen dari pendapatan tahunan bersih perusahaan di Belanda.
GDPR kemudian mengatur denda yang lebih berat, yakni dapat mencapai 20 juta Euro atau 4 persen pendapatan global tahunan perusahaan untuk jenis-jenis pelanggaran tertentu.
Pemberlakuan denda ini bersifat berjenjang tergantung pada sifat spesifik pelanggaran pembobolan data yang terjadi dan perkiraan kerugian yang ditimbulkan. Dengan demikian, denda dapat digolongkan denda hingga 2 persen (atau 10 juta Euro) atau denda hingga 4 persen (atau 20 juta Euro).
Untuk memutuskan denda administratif dan berapa jumlahnya, Lembaga Pengawas Perlindungan Data mempertimbangkan beberapa hal berikut :
1. Bentuk, tingkat kegawatan dan durasi pembobolan data yang terjadi dengan mempertimbangkan sifat, cakupan atau tujuan pengolahan data yang menyertainya, jumlah subyek data
yang terdampak dan tingkat kerusakan yang mereka alami
2. Apakah pelanggaran pembobolan data bersifat sengaja atau lalai?
3. Tindakan mitigasi yang dilakukan perusahaan atau organisasi untuk mengatasi pembobolan data
4. Rekam jejak sebelumnya dari perusahaan atau organisasi yang melakukan pelanggaran
5. Apakah perusahaan atau organisasi tersebut kooperatif terhadap lembaga pengawas perlindungan data?
6. Apakah mereka dengan inisiatif sendiri menyampaikan pemberitahuan atau laporan kepada lembaga pengawas perlindungan data ketika menemukan indikasi pembobolan data?
Sebagai contoh pendekatan berjenjang untuk penerapan denda, denda maksimal atau denda yang mendekati maksimal terutama sekali diberlakukan untuk pelanggaran pasal-pasal: pemindahan data antar-bangsa, transparansi dan akuntabilitas pemberlakuan syarat-syarat persetujuan untuk Subyek Data, serta hak-hak Subyek Data.
GDPR membuka peluang bagi negara anggota Uni Eropa untuk menerapkan sanksi-sanksi tambahan di luar sanksi denda administratif. Hal ini dapat berupa sanksi pidana untuk pelanggaran yang serius terhadap prinsip perlindungan data.
Dalam rangka pelaksanaan sanksi, Lembaga Pengawas Perlindungan Data memiliki wewenang untuk: melakukan audit, meminta perbaikan sistem pengolahan data dalam kurun waktu tertentu, meminta penghapusan data atau menangguhkan pemindahan data ke penerima di negara ketiga.
Di bawah GDPR, subyek data memiliki dasar hukum lebih kuat untuk meminta tanggung-jawab lebih dari pihak Pengolah atau Pengendali Data, termasuk meminta kompensasi dari kerugian yang diderita Subyek Data.
Klaim kompensasi dapat berkaitan dengan pelanggaran GDPR atau kegagalan Pengendali Data atau Pengolah data mengikuti instruksi Lembaga Pengawas Perlindungan Data.
Secara umum, Subyek Data dimungkinkan untuk meminta kompensasi dari Pengendali Data dan Pengolah Data untuk kerusakan material atau non material, termasuk kerugian non finansial yang diderita Subyek Data.
Subyek Data dapat memperjuangkan aspirasi dan tuntutannya secara pribadi maupun secara kelompok sehingga dimungkinkan dibentuknya badan-badan perwakilan Subyek Data untuk membawa aspirasi dan tuntutan mereka ke hadapan Lembaga Pengawas Perlindungan Data atau secara langsung ke pihak Pengendali Data atau Pengolah Data.
GDPR secara gamblang memberikan kemungkinan tanggung jawab bersama untuk Pengendali Data dan Pengolah Data jika mereka sama-sama dianggap bertanggung jawab untuk pelanggaran pembobolan data atau penyalahgunaan data. Tuntutan dapat dibawa baik ke pengadilan negara anggota Uni Eropa di mana pihak Pengendali Data atau Pengolah data berada maupun di mana Subyek Data berada.
Disadari atau tidak penjaminan keamanan data pribadi sangat penting, meski demikian tak hanya pengelola data saja yang perlu memahami bagaimana informasi pribadi dilindungi namun juga perlu membangun kesadaran pada masyarakat untuk peduli pada keamanan data pribadi.
*Agus Sudibyo, Head of New Media Research Center ATVI Jakarta.
Pewarta: Agus Sudibyo*
Editor: Panca Hari Prabowo
Copyright © ANTARA 2019