PERTANGGUNGJAWABAN PLATFORM MEDIA SOSIAL TERHADAP KEBOCORAN DATA PRIBADI PENGGUNA

 In Articles
0

Natasha Noor

Saat ini, pengguna media sosial semakin meningkat. Kemudahan yang diberikan dari kemajuan teknologi pun juga mempermudah masyarakat untuk melakukan belanja tanpa harus datang ke toko secara langsung, yakni melalui platform e-commerce. Pada dasarnya, semua platform elektronik tersebut berdasarkan Peraturan Pemerintah No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP 71/2019”) disebut sebagai Penyelenggara Sistem Elektronik. Adapun definisi Penyelenggara Sistem Elektronik (“PSE”) dalam PP 71/2019 tertuang dalam Pasal 1 nomor 4 sebagai berikut:

Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/ atau keperluan pihak lain.”

Peraturan ini pada Pasal 3 ayat (1) mengatur bahwa setiap PSE wajib menyelenggarakan sistem elektroniknya secara andal, aman, serta bertanggung jawab. Tentunya salah satu aspek yang menjadi kewajiban PSE dalam menyelenggarakan sistemnya adalah perlindungan data pribadi pengguna. Kemudian, apa itu data pribadi?

DEFINISI DATA PRIBADI

Pada dasarnya, setiap informasi yang dapat mengidentifikasi seseorang disebut sebagai data pribadi. Berdasarkan hukum Indonesia, Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) mendefinisikan data pribadi dalam Pasal 1 nomor 1 sebagai berikut:

Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik

Setiap orang yang terhadap dirinya melekat serangkaian data pribadi disebut dengan istilah ‘subjek data pribadi’ dalam UU PDP. Adapun peraturan ini membagi jenis data pribadi menjadi dua (2), yakni data pribadi yang bersifat umum dan spesifik. Contohnya, nama lengkap, agama, jenis kelamin, dan kewarganegaraan merupakan data pribadi yang bersifat umum. Data pribadi yang bersifat spesifik contohnya adalah data kesehatan, biometrik, informasi genetik, dan data keuangan pribadi.

Jika kembali dalam konteks bermedia sosial, awal mula pemrosesan data pribadi oleh PSE dimulai dari pemindahan (transfer) data yang dilakukan pengguna ketika akan mendaftarkan akun, seperti memenuhi persyaratan mengisi nama lengkap, nomor telepon, alamat email, pembuatan username dan password, dan data-data relevan lainnya. Dalam proses ini, pihak PSE dapat dikatakan sebagai ‘Pengendali Data Pribadi’, yakni pihak yang menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi (UU PDP Pasal 1 nomor 4). Data-data pengguna untuk mendaftar akun tersebut kemudian akan diterima dan diproses oleh pihak yang memroses data, yang disebut sebagai ‘Prosesor Data Pribadi’ (UU PDP Pasal 1 nomor 5).

 KEWAJIBAN PLATFORM MEDIA SOSIAL TERKAIT PERLINDUNGAN DATA PRIBADI PENGGUNA

Dalam proses pengumpulan dan pemrosesan data pribadi pengguna, PSE wajib mematuhi prinsip-prinsip perlindungan data pribadi yang tertuang dalam Pasal 14 ayat (1) PP 71/2019, yakni sebagai berikut:

  1. pengumpulan data pribadi dilakukan secara terbatas dan spesifik (asas purpose limitation), yakni data yang dipersyaratkan PSE terbatas hanya data yang relevan dengan tujuan pemrosesan data, dilakukan dengan sah secara hukum, adil, dan dengan pengetahuan dan persetujuan subjek data pribadi;
  2. menjamin hak pemilik data pribadi;
  3. dilakukan secara akurat, tidak menyesatkan, memperhatikan tujuan pemrosesan;
  4. melindungi data pribadi dari kehilangan dan penyalahgunaan;
  5. memberikan informasi tujuan pengumpulan, aktivitas pemrosesan dan dalam hal terjadi kegagalan perlindungan data pribadi;
  6. data pribadi dihapus dan dimusnahkan kecuali dalam masa retensi sesuai kebutuhan peraturan perundang-undangan.

Walaupun demikian, keberadaan prinsip-prinip pemrosesan data pribadi tersebut tidak serta merta menutup kemungkinan terjadinya kegagalan perlindungan data pribadi. Misalnya, adanya pembobolan sistem keamanan dan penyimpanan data PSE yang dilakukan oleh hacker yang berhasil membocorkan data pribadi pengguna.

Dalam hal terdapat kebocoran data pribadi pengguna, UU PDP dalam Pasal 46 mewajibkan PSE sebagai Pengendali Data Pribadi untuk memberikan pemberitahuan tertulis kepada subjek data dan lembaga perlindungan data pribadi bahwa telah terjadi kegagalan perlindungan data, yakni paling lambat 3 x 24 jam. Pemberitahuan tersebut paling sedikit berisi informasi mengenai data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, serta upaya yang akan dilakukan PSE untuk menangani dan memulihkan kegagalan kebocoran data pribadi.

Adapun apabila PSE gagal dalam memenuhi kewajiban Pasal 46 UU PDP dalam hal terdapat kebocoran data pengguna, sanksi administratif yang dikenakan pada PSE adalah berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan denda administratif (Pasal 57 ayat (2) UU PDP).

UU PDP juga mengatur ketentuan pidana apabila terdapat pihak yang  dengan sengaja dan melawan hukum menyalahgunakan data pribadi yang bukan miliknya untuk kepentingan sendiri (Pasal 67 ayat (1)), mengungkapkan data pribadi yang bukan miliknya (Pasal 67 ayat (2)), menggunakan data pribadi yang bukan miliknya (Pasal 67 ayat (3)), dan memalsukan data pribadi orang lain untuk kepentingan pribadi (Pasal 68). Oleh karena dalam konteks ini, pihak PSE yang menjadi pihak yang bertanggungjawab atas kegagalan perlindungan data pribadi, maka UU PDP dalam Pasal 70 mengatur ketentuan pidana yang dikhususkan untuk korporasi sebagai berikut:

“(1) Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/ atau Korporasi.

(2) Pidana yang dapat dijatuhkan terhadap Korporasi hanya pidana denda.

(3) Pidana denda yang dijatuhkan kepada Korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan.

Adapun selain ketentuan pidana tersebut, Pasal 70 ayat (4) menyatakan adanya pidana tambahan selain denda untuk korporasi, yakni perampasan keuntungan dan/ atau harta kekayaan yang diperoleh atau hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, pelarangan permanen melakukan perbuatan tertentu, penutupan seluruh atau sebagian tempat usaha dan/ atau kegiatan Korporasi, melaksanakan kewajiban yang telah dilalaikan, pembayaran ganti kerugian, pencabutan izin, dan/atau pembubaran korporasi.

UPAYA HUKUM PERDATA YANG DAPAT DILAKUKAN PENGGUNA  SEBAGAI KORBAN KEBOCORAN DATA PRIBADI OLEH PLATFORM MEDIA SOSIAL

 UU PDP mengatur serangkaian hak subjek data pribadi, salah satunya bahwa subjek data pribadi berhak untuk menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya (Pasal 12 ayat (1) UU PDP). Jika kembali menilik ketentuan Kitab Undang-Undang Hukum Perdata (“KUHPer”), Pasal 1365 menyatakan bahwa wajib bagi setiap orang yang melakukan perbuatan melanggar hukum (“PMH”) dan merugikan orang lain untuk mengganti kerugian atas kesalahannya. Oleh karenanya, berdasarkan Pasal ini, pengguna PSE selaku subjek data pribadi yang menjadi korban kebocoran data pribadi dapat melakukan gugatan perdata kepada PSE dengan gugatan PMH.

KESIMPULAN

Platform media sosial yang marak digunakan masyarakat wajib untuk menyelenggarakan sistem elektroniknya secara aman, andal, dan bertanggung jawab, salah satunya dengan memenuhi prinsip-prinsip perlindungan data pribadi yang terkandung dalam PP 71/2019 dan UU PDP. Apabila terjadi kebocoran data pengguna, pihak platform media sosial (PSE) wajib memberitahukan kegagalan perlindungan data pribadi secara tertulis kepada subjek data dan lembaga perlindungan data pribadi paling lambat 3 x 24 jam. Terkait kebocoran data pribadi pengguna, PSE dapat dikenakan sanksi administratif maupun pidana denda sebagaimana diatur dalam UU PDP. Adapun dari pihak pengguna dapat melakukan upaya hukum perdata terkait kebocoran data pribadinya, yakni dengan menggugat PSE atas dasar perbuatan melawan hukum (PMH) berdasarkan Pasal 1365 KUHPer.

Recent Posts
KAJIAN HUKUM TERKAIT PENGGUNAAN LAGU SECARA KOMERSIAL OLEH PELAKU PERTUNJUKANArticles
Investing in Indonesia as a foreigner: an overviewArticles
Send this to a friend