Siapa yang Dimintai Tanggung Jawab Jika Ada Serangan Hacker?
20 September 2022, 20:37:52 Dilihat: 854x
Jakarta, Universitas Narotama -- Undang-undang Perlindungan Data Pribadi (UU PDP) disebut memuat mekanisme apa yang harus dilakukan saat terjadi peretasan atau kebocoran data di pengelola data.
Mulanya, Menteri Komunikasi dan Informatika (Menkominfo) Johnny G. Plate menjawab pertanyaan soal perlindungan apa yang diberikan UU PDP terhadap serangan hacker.
"Apabila terjadi insiden data pribadi, kebocoran data pribadi, maka yang akan dilakukan pemeriksaan terhadap penyelenggara data pribadi apakah mereka telah menjalankan compliance (kepatuhan) sesuai Undang-undang PDP," ujar dia, di Kompleks Parlemen, Senayan, Jakarta, Selasa (20/9).
"Jika tidak, mereka diberi berbagai jenis sanksi seperti yang diatur dalam UU PDP," imbuhnya.
UU PDP sendiri resmi disahkan oleh DPR RI pada Rapat Paripurna DPR ke-5 Masa Persidangan I Tahun Sidang 2022-2023, Selasa (20/9). UU ini memuat 76 pasal dalam 16 bab, mendapat penambahan 4 pasal dari sebelumnya 72 pasal.
Merujuk pada draf terakhirnya, UU PDP sendiri hanya mengenal istilah 'Pengendali Data Pribadi', yakni "setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi."
Mengenai pemeriksaan penyelanggara data yang dimaksud Johnny, Pasal 34 UU PDP menyebutkan pengendali data pribadi wajib "melakukan penilaian dampak pelindungan data pribadi dalam hal pemrosesan data pribadi memiliki potensi risiko tinggi terhadap subjek data pribadi."
Penilaian dampak pelindungan data pribadi tersebut dilakukan untuk mengevaluasi potensi risiko yang timbul dari suatu pemrosesan data pribadi serta upaya atau langkah yang harus dilakukan untuk memitigasi risiko, termasuk terhadap hak subjek data pribadi dan mematuhi undang-undang ini.
Selain itu, Pengendali Data Pribadi juga wajib melakukan pelindungan dan memastikan data pribadi yang diprosesnya tetap aman sebagaimana dijelaskan pada pasal 35.
Penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan.
Penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.
Jika sederet kewajiban soal keamanan ini tidak dapat dipenuhi oleh P maka pemerintah akan memberikan sanksi administratif.
Dalam pasal 57 ayat 2, sanksi administratif yang bisa diberikan mulai dari peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, serta denda administratif.
Terkait denda administratif, dalam pasal 57 ayat 3 disebutkan nominal denda memiliki angka maksimal dua persen dari pendapatan atau penerimaan tahunan terhadap variabel pelanggaran yang dilakukan PSE.
Denda tersebut nantinya akan diberikan oleh lembaga khusus yang mengawasi perlindungan data pribadi di tanah air. Lembaga yang langsung berada di bawah presiden ini akan dibentuk lewat Peraturan Pemerintah.
Indonesia sendiri sempat dihebohkan oleh pembocoran data yang dilakukan oleh pengguna situs BreachForums Bjorka. Salah satu bocorannya adalah data registrasi SIM card dan pelanggan IndiHome.