5 Poin Penting UU PDP: Jerat Lembaga Lalai Hingga Hak Hapus Data

4. Lembaga wajib beri tahu bocor data

Pengendali Data Pribadi, baik pemerintah atau swasta, wajib mengabari warga atau pelanggan yang terdampak kebocoran data.

"Dalam hal terjadi kegagalan Pelindungan Data Pribadi (data pelanggan), Pengendali Data Pribadi (Kominfo-Operator seluler) wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada Subjek Data Pribadi (Pelanggan) dan lembaga," jelas Pasal 46 ayat 1 UU PDP.

Bagian penjelasan UU ini menerangkan bahwa 'kegagalan Pelindungan Data Pribadi' adalah kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses.

Pemberitahuan tertulis tersebut setidaknya memuat data pribadi yang terungkap, penjelasan kapan dan bagaimana data itu terungkap, serta upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pihak pengendali.

"Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi," demikian Pasal 45 ayat (3) UU PDP.

Artinya, jika terjadi lagi kebocoran data registrasi SIM card, Kementerian Komunikasi dan Informatika Republik Indonesia (Kominfo), operator seluler, hingga Dukcapil selaku pengendali data pelanggan wajib mengabari semua nomor yang terdampak.

5. Warga bisa minta hapus data pribadi

UU PDP memberi hak kepada warga untuk menarik dan menghapus data pribadinya.

Pasal 8 menyebutkan "Subjek Data Pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan."

Hal tersebut dikuatkan dengan penjelasan dalam Pasal 44. Dijelaskan bahwa pengendali data pribadi wajib memusnahkan data pribadi pada sejumlah hal.

Pertama, masa retensi (penyimpanan) telah habis dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip.

"Terdapat permintaan dari Subjek Data Pribadi," jelas Pasal 44 ayat 1 huruf b.

Lalu, tidak berkaitan dengan penyelesaian proses hukum suatu perkara dan/atau Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.

Pemusnahan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.