Definisi Pelanggaran Data Pribadi Menurut Pasal 46 UU PDP
Pasal 46 UU PDP mendefinisikan pelanggaran data pribadi (personal data breach) sebagai "peristiwa keamanan yang menyebabkan terjadinya pengolahan data pribadi yang tidak sah atau kecil kemungkinannya menimbulkan risiko bagi hak dan kebebasan" pemilik data pribadi. Definisi ini luas dan mencakup berbagai insiden:
(1) kerusakan tidak sengaja (accidental destruction) — data pribadi dihapus secara tidak sengaja karena human error atau kegagalan sistem;
(2) kehilangan data (loss) — data tidak dapat diakses lagi karena penyimpanan rusak atau hilang;
(3) perubahan atau modifikasi (alteration) — data diubah tanpa otorisasi, berisiko mengakibatkan fraud atau kerugian kepada subjek data;
(4) pengungkapan tidak sah (unauthorized disclosure) — data diakses atau dibagikan kepada pihak yang tidak memiliki otorisasi;
(5) akses tidak sah (unauthorized access) — pihak ketiga memperoleh akses ke sistem yang berisi data pribadi.
Penting untuk dipahami bahwa tidak setiap insiden keamanan adalah "breach" dalam pengertian Pasal 46. Misalnya, jika firewall mengidentifikasi dan memblokir attempted intrusion tanpa ada data yang dikompromikan, ini bukanlah breach. Demikian juga, jika sistem mengalami downtime tetapi data tetap utuh dan tidak pernah diakses oleh pihak yang tidak sah, ini tidak memicu kewajiban notifikasi. Namun, jika ada bukti bahwa akses tidak sah telah terjadi — bahkan jika hanya sebagian kecil dari data yang terpengaruh — ini adalah breach dan kewajiban notifikasi aktif.
| PENTING | Pasal 46 menggunakan kata "peristiwa keamanan" bukan "successful breach". Ini berarti bahwa bahkan upaya yang DIKETAHUI untuk mengakses data (misalnya bukti bahwa penyerang telah melakukan reconnaissance tetapi belum berhasil mendapatkan data), jika dapat menimbulkan risiko tinggi, HARUS DINOTIFIKASIKAN kepada LPDP. Organisasi harus memiliki prosedur yang jelas untuk menentukan apakah data benar-benar dikompromikan atau hanya ada risiko kompromisi. |
Kewajiban Notifikasi kepada KOMINFO/LPDP dalam 14 Hari Kalender
Pasal 46(1) UU PDP mewajibkan Pengendali untuk melaporkan pelanggaran data pribadi kepada KOMINFO atau LPDP "dalam waktu 14 (empat belas) hari kalender" sejak pelanggaran ditemukan. Frasa "sejak pelanggaran ditemukan" adalah kunci: jika organisasi menemukan breach pada hari Senin, jam 10 pagi, tenggat waktu adalah hari Senin dua minggu kemudian (atau hari kerja berikutnya jika jatuh pada akhir pekan). Tidak ada pengurangan waktu karena investigasi masih berlangsung.
Perbedaan penting antara UU PDP dan GDPR: Dalam GDPR, notifikasi kepada otoritas pengawas (Data Protection Authority) hanya diperlukan jika breach menimbulkan "high risk" kepada hak dan kebebasan individu. Dalam UU PDP, notifikasi kepada KOMINFO/LPDP WAJIB DILAKUKAN UNTUK SEMUA BREACH, terlepas dari tingkat risiko. Ini berarti bahwa organisasi tidak dapat menggunakan penilaian risiko untuk menghindari notifikasi kepada LPDP; penilaian risiko hanya digunakan untuk menentukan apakah notifikasi kepada subjek data diperlukan.
Konten minimum laporan notifikasi kepada LPDP harus mencakup:
(1) uraian singkat tentang sifat pelanggaran dan kapan pelanggaran terdeteksi;
(2) kategori dan jumlah perkiraan subjek data yang terdampak;
(3) kategori data pribadi yang terlibat (contoh: nama, nomor identitas, data finansial, data biometrik);
(4) kemungkinan konsekuensi bagi subjek data;
(5) langkah-langkah yang telah diambil atau akan diambil oleh organisasi untuk mengatasi pelanggaran dan mencegah terjadinya kembali;
(6) identitas dan informasi kontak Data Protection Officer (DPO) atau contact person lain dalam organisasi yang dapat dihubungi untuk informasi lebih lanjut.
Organisasi harus menunjuk DPO atau setidaknya memiliki contact person khusus yang bertanggung jawab untuk komunikasi dengan LPDP. Contact person ini harus memiliki pengetahuan mendalam tentang insiden dan dapat menjawab pertanyaan teknis dan hukum dari LPDP. Koordinasi dengan legal counsel direkomendasikan sebelum mengirim laporan notifikasi, terutama untuk breach yang sensitif atau melibatkan data sensitif.
Notifikasi kepada Subjek Data: Kewajiban Bersyarat
Pasal 46(2) UU PDP mewajibkan notifikasi kepada subjek data yang terdampak jika pelanggaran data "menimbulkan risiko tinggi bagi hak dan kebebasan" subjek data. Ini adalah perbedaan signifikan dengan notifikasi kepada LPDP yang bersifat unconditional. Organisasi harus melakukan penilaian risiko untuk menentukan apakah breach yang terjadi menimbulkan risiko tinggi.
Faktor yang dipertimbangkan dalam penilaian risiko tinggi meliputi:
(1) sifat dan sensitivitas data yang terganggu (data finansial, kesehatan, biometrik dianggap lebih sensitif);
(2) kategori subjek data (anak-anak memerlukan perlindungan yang lebih tinggi);
(3) potensi konsekuensi praktis bagi subjek data (misalnya, risiko fraud, discrimination, atau identity theft);
(4) apakah ada bukti bahwa data benar-benar diakses oleh penyerang atau hanya ada risiko potensi;
(5) apakah data yang bocor sudah dienkripsi atau dipseudonomisasi dengan baik.
Isi notifikasi kepada subjek data harus dalam "bahasa yang jelas dan mudah dipahami" dan harus mencakup:
(1) uraian singkat tentang apa yang terjadi;
(2) jenis data pribadi apa yang terlibat;
(3) kemungkinan konsekuensi bagi individu;
(4) langkah-langkah yang telah diambil atau akan diambil oleh organisasi;
(5) informasi kontak DPO atau person lain yang dapat memberikan informasi lebih lanjut;
(6) rekomendasi tindakan yang dapat diambil subjek data sendiri untuk melindungi diri (misalnya, mengubah password, monitoring akun bank, registrasi pada fraud alert service).
| KONSEP KUNCI | Notifikasi kepada LPDP wajib untuk SEMUA breach (unconditional). Notifikasi kepada subjek data hanya diperlukan jika ada risiko TINGGI. Organisasi harus memiliki framework penilaian risiko yang jelas dan didokumentasikan untuk membuat keputusan notifikasi yang defensible. |
Prosedur Notifikasi Bertahap Saat Investigasi Masih Berlangsung
Tantangan praktis: organisasi mungkin tidak memiliki informasi lengkap dalam 14 hari pertama. Data breach investigation dapat memakan waktu berminggu-minggu atau berbulan-bulan untuk menentukan scope lengkap dari breach (berapa banyak record yang benar-benar terkompromi, apakah penyerang dapat mengakses encrypted data atau hanya plaintext backup). UU PDP mengizinkan notifikasi bertahap, asalkan notifikasi awal dikirim dalam 14 hari.
Notifikasi tahap pertama kepada LPDP harus berisi informasi yang tersedia pada saat itu: estimasi jumlah subjek data yang terdampak, kategori data, investigasi sedang berlangsung, dan target completion date untuk investigasi lengkap. Notifikasi dapat ditindaklanjuti dengan supplementary report ketika informasi lengkap tersedia. Organisasi harus memastikan bahwa LPDP memahami status investigasi dan timeline untuk update selanjutnya.
Untuk notifikasi kepada subjek data, organisasi juga dapat mengirim notifikasi awal (preliminary notice) yang menjelaskan bahwa breach telah terjadi dan organisasi sedang menyelidiki scope dan dampak, disusul dengan notifikasi detail (detailed notice) ketika investigasi selesai. Notifikasi awal harus sudah berisi informasi tertentu (jenis data, langkah yang diambil) untuk memberi tahu subjek data secara tepat waktu, meskipun informasi lengkap belum tersedia.
Koordinasi dengan BSSN dan Cyber Incident Reporting Requirements
Organisasi yang melayani layanan publik atau sektor penting (critical infrastructure) mungkin juga harus melaporkan cyber incident kepada BSSN (Badan Siber dan Sandi Negara) berdasarkan Peraturan Pemerintah tentang Keamanan Informasi Nasional. Timeline untuk pelaporan BSSN mungkin berbeda dari UU PDP (BSSN mungkin memerlukan pelaporan lebih cepat). Organisasi harus memiliki prosedur yang mengkoordinasikan kedua kewajiban dan memastikan bahwa investigasi dan komunikasi dengan kedua regulator sejalan.
Prosesor yang Menemukan Breach: Notifikasi kepada Pengendali
Jika data breach ditemukan oleh Prosesor (misalnya cloud provider atau software vendor), Prosesor harus segera memberitahu Pengendali tentang breach tersebut. Data Processing Agreement (DPA) antara Pengendali dan Prosesor harus mengatur timeline untuk notifikasi ini; praktik terbaik adalah notifikasi internal dalam 24-48 jam dari ditemukannya breach, diikuti dengan koordinasi untuk persiapan notifikasi kepada LPDP dan subjek data. Pengendali tetap bertanggung jawab sepenuhnya atas keputusan notifikasi dan komunikasi dengan LPDP dan subjek data; Prosesor memberikan informasi yang diperlukan tetapi tidak membuat keputusan notifikasi.
Dokumentasi Keputusan Notifikasi sebagai Bukti Pertahanan
LPDP dapat menguji keputusan organisasi mengenai apakah notifikasi kepada subjek data diperlukan. Organisasi harus mendokumentasikan penilaian risiko mereka secara formal: identifikasi data yang terganggu, penentuan sensitivitas data, penilaian dampak potensial kepada subjek data, dan kesimpulan mengenai apakah risiko tinggi. Dokumentasi ini harus tersimpan sebagai bagian dari incident file dan dapat ditunjukkan kepada LPDP jika diminta. Keputusan notifikasi yang didukung oleh dokumentasi yang matang jauh lebih defensible daripada keputusan yang dibuat secara ad-hoc tanpa dasar tertulis.
| Aspek Notifikasi | Notifikasi ke LPDP | Notifikasi ke Subjek Data | Notifikasi ke BSSN (jika applicable) |
|---|---|---|---|
| Kewajiban | Wajib untuk SEMUA breach | Hanya jika risiko TINGGI | Wajib untuk sektor kritis/layanan publik |
| Timeline | 14 hari kalender sejak discovery | Segera setelah risk assessment, ideally dalam 30 hari | Beragam per sektor; biasanya < 72 jam |
| Konten | Nature, categories, # affected data subjects, consequences, measures, DPO contact | Plain language; consequences, measures, subject action recommendations | Technical details, attack vectors, impact assessment |
| Risiko Non-Compliance | Denda administratif hingga 2% dari annual income | Denda administratif, potential civil liability | Criminal liability untuk sektor kritis |
| Right to Appeal | Dapat dikombinasikan dengan penyelidikan LPDP lebih lanjut | Subjek data dapat menuntut di pengadilan perdata | Tidak ada appeal; koordinasi dengan BSSN |
| Documentation Requirement | Formal report dengan risk assessment | Copy of notification sent, recipient list (jika memungkinkan) | Incident report per BSSN requirements |
Tabel Ringkasan: Timeline dan Content Checklist untuk Notifikasi Compliance
Tabel di bawah memberikan checklist operasional untuk memastikan notifikasi memenuhi semua persyaratan UU PDP.
| Milestone | Waktu Target | Action Items | Key Stakeholders |
|---|---|---|---|
| Detect & Confirm Breach | ASAP (ideally < 24 jam) | Initiate incident response team, preserve evidence, determine scope | IT Security, IR team, DPO |
| Risk Assessment for Subject Notification | Day 1-3 | Assess sensitivity of data, categorize affected subjects, evaluate practical impact | Legal counsel, DPO, CISO |
| Prepare LPDP Notification | Day 3-7 | Draft report with all required content, obtain management approval | Legal counsel, DPO, Communications |
| Submit to LPDP | Day 14 (deadline) | Send formal notification via secure channel, retain proof of submission | DPO, Legal counsel |
| Decision on Subject Notification | Day 7-10 | Finalize risk assessment, decide GO/NO-GO for subject notification | Legal counsel, DPO, Executive sponsor |
| Notify Subjects (if required) | Day 20-30 | Send notification via email/post/media; maintain recipient list; track response rate | Communications, Customer service, DPO |
| Supplementary Report (if needed) | Day 30-60 | Investigation complete, provide detailed findings to LPDP | Legal counsel, IR team, DPO |