Open in app

Sign in

Write

Sign in

Rangkuman Beberapa Kasus Pelanggaran Data Pribadi di Eropa (1)

Eryk Budi Pratama
14 min readJul 31, 2021

--

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi manapun.

Pada tulisan sebelumnya terkait Rangkuman Privacy Governance Report 2020 oleh IAPP & FTI Consulting, saya sempat membahas sedikit tentang statistik kasus pelanggaran data di Eropa. Meskipun kemungkinan tidak lengkap, namun website GDPR Enforcement Tracker ini cukup membantu dalam mengetahui kasus-kasus pelanggaran data pribadi yang terjadi. Dua informasi statistik yang biasanya saya lihat adalah terkait jumlah denda terbesar berdasarkan jenis pelanggaran (Fines by type of violation)dan daftar perusahaan yang terkena denda (Highest individual fines).

Sumber: https://www.enforcementtracker.com/?insights

Berdasarkan statistiknya, beberapa jenis pelanggaran disebebkan oleh:

  1. Ketidakcukupan dasar hukum untuk pemrosesan data pribadi
  2. Ketidakcukupan kontrol keamanan informasi dari sisi teknis dan organisasi
  3. Ketidakpatuhan terhadap prinsip-prinsip pemrosesan data pribadi
  4. Belum memadainya pemenuhan hak-hak subyek data
  5. Belum memadainya kewajiban terhadap pemberitahuan informasi terkait data pribadi kepada subyek data
  6. Belum memadainya kewajiban pemberitahuan jika terdapat pelanggaran data (data breach)
  7. Belum adanya Data Protection Officer (DPO)
  8. Ketidakcukupan kerja sama dengan otoritas pengawas
  9. Ketidakcukupan atas perjanjian pemrosesan data

Karena fokus dari artikel ini adalah contoh kasus, maka detil jenis pelanggaran tersebut akan saya bahas di artikel terpisah.

Sumber: https://www.enforcementtracker.com/?insights

Dari hasil Top 10 di tracker-nya, dapat kita lihat bahwa denda terbesar diberikan kepada Google sebesar 50juta Euro atau kurang lebihnya 850miliar Rupiah !! Nilai yang cukup besar tentunya ini. Eits !! Tunggu dulu. Saat saya masih simpan artikel ini sebagai draft, ternyata ada berita baru (30 Juli 2021) bahwa Amazon didenda oleh CNPD (lembaga pengawas perlindungan data pribadi di Luxembourg)sebesar 746juta Euro atau sekitar 12,7 Triliun Rupiah. Angka yang fantastis !! Namun tentunya dalam hal ini Amazon akan melakukan banding. Sama seperti salah satu perusahaan digital yang datanya sempat bocor (jumlahnya fantastis). Saya cek di website pengadilan negeri, juga melakukan banding (tapi ini penuntutnya, bukan perusahaan tersebut).

Jika melihat dari jumlah dendanya, pembaca mungkin berpikir kalau denda sebesar ini pasti karena ada data breach yang jumlahnya sangat besar. Namun sayangnya bukan. Ternyata jenis pelanggarannya adalah karena Ketidakcukupan dasar hukum untuk pemrosesan data pribadi / insufficient legal basis of data processing. Inilah mengapa dalam setiap kesempatan sharing session, saya menyampaikan bahwa meskipun namanya “perlindungan data pribadi”, yang terkesan lebih banyak ke arah keamanan informasi, namun sejatinya lebih banyak aspek teknis di sisi hukumnya. Oleh sebab itu saat awal banget saya mendalami Data Privacy/Data Protection, sempat agak kaget juga karena ternyata kebanyakan yang berkecimpung di area ini adalah praktisi legal. Ada sebagian kecil praktisi Keamanan Informasi dan IT GRC (seperti saya) yang mendalami hal tersebut.

Prinsip dasar data privacy adalah Transparansi

Jika pembaca ada yang mengikuti kasus data breach Marriott International, cukup banyak jumlah data yang dicuri dan kasus ini dibebabkan ada kerentanan dalam sistem keamanan perusahaan. Namun pelanggaran data pribadi yang disebabkan oleh “Ketidakcukupan kontrol keamanan informasi dari sisi teknis dan organisasi” tidak pasti akan mendapatkan sanksi yang lebih tinggi dari jenis pelanggaran lainnya. Dari daftar pelanggaran berdasarkan nama perusahaan (top 10), berikut adalah jenis pelanggaran terbanyak:

  1. Ketidakcukupan dasar hukum untuk pemrosesan data pribadi (6 perusahaan)
  2. Ketidakcukupan kontrol keamanan informasi dari sisi teknis dan organisasi (2 perusahaan)
  3. Ketidakpatuhan terhadap prinsip-prinsip pemrosesan data pribadi (1 perusahaan)
  4. Belum memadainya pemenuhan hak-hak subyek data (1 perusahaan)

Kalau dilihat sama dengan 9 jenis pelanggaran data pribadi utama yang saya tulis di atas. Sudah sesuai berarti :)

Berikut adalah contoh dua kasus pelanggaran data pribadi yang terjadi di salah satu negara di Eropa. Hal yang berhubungan dengan identitas pada beberapa kasus ini sengaja disamarkan.

#1 Pemrosesan Lebih Lanjut untuk Tujuan yang masih Relevan

Pelapor (anggap saja Alice) adalah seorang pengacara yang mempekerjakan pengacara lain (anggap saja Bob) untuk mewakili mereka dalam suatu proses hukum tertentu. Karena suatu hal yang tidak diungkap, hubungan antara Alice dan Bob berakhir/putus dan pengacara lain tersebut mengajukan keluhan tentang perilaku Alice kepada Law Sociaety di Eropa. Dalam konteks ini, Bob memberikan informasi tertentu tentang Alice kepada Law Society. Alice mempermasalahkan hal tersebut dan melapor ke Data Protection Authority(DPA) setempat, menuduh bahwa Bob telah melanggar undang-undang perlindungan data.

Saya ada pertanyaan nih. Dalam hal ini, yang jadi Data Controller (Pengendali Data)-nya siapa hayoo? Sebagian pembaca pasti berpikir Alice adalah Data Controller karena dia yang punya data. Sayang sekali kurang tepat. Prinsip dasar penentuan mana yang Data Controller atau Processor adalah siapa yang menentukan tujuan pemrosesan data. Berikut penjelasan singkatnya.

Pada kasus ini, Bob adalah Data Controller. Kenapa?? karena Bob yang mengendalikan konten dan penggunaan data pribadi Alice untuk tujuan memberikan layanan hukum kepada Alice. Berarti Bob menentukan tujuan pemrosesan data. Data yang dimaksud kurang lebihnya bersisi informasi yang terkait dengan proses hukum Alice (ini masuk kategori data pribadi juga) karena Alice dapat diidentifikasi dari pengungkapan tersebut dan terkait dengan Alice sebagai individu.

DPA terkait mencatat bahwa merupakan yurisdiksi Law Society untuk menangani pengaduan yang berkaitan dengan kesalahan Bob (berdasarkan Undang-Undang Pengacara / Solicitors Acts 1954–2015). DPA juga mencatat bahwa jenis pelanggaran yang dapat diselidiki oleh Law Society mencakup tindakan apa pun yang dapat merusak reputasi profesi. DPA juga mencatat bahwa Lw Society menerima yurisdiksi untuk menyelidiki keluhan yang dibuat oleh pengacara tentang pengacara lain (bukan hanya keluhan yang dibuat oleh atau atas nama klien). Kode etik mengharuskan jika pengacara yakin pengacara lain terlibat dalam pelanggaran, maka hal tersebut harus dilaporkan ke Law Society. Oleh karena itu, DPA menganggap bahwa pengaduan yang disampaikan oleh Data Controller kepada Masyarakat Hukum telah dibuat dengan benar dan bahwa Law Society harus mengadili atas dasar pengaduan tersebut.

DPA kemudian mempertimbangkan apakah Data Controller telah melakukan pelanggaran undang-undang perlindungan data. Dalam hal ini, DPC mencatat bahwa Data Controller harus mematuhi prinsip-prinsip hukum tertentu yang diatur dalam undang-undang terkait perlindungan data. Hal yangsangat relevan dengan keluhan ini adalah persyaratan bahwa data harus diperoleh untuk tujuan tertentu dan tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut. DPC menetapkan bahwa alasan data pribadi pelapor (Alice) awalnya dikumpulkan/diproses adalah untuk tujuan memberikan layanan hukum kepada pelapor. DPA menunjukkan bahwa ketika Data Controller (Bob) mengajukan pengaduan ke Law Society, pihaknya melakukan pemrosesan lebih lanjut terhadap data pribadi pelapor (Alice). Karena pemrosesan lebih lanjut adalah untuk tujuan yang berbeda dengan tujuan pengumpulannya, DPA harus mempertimbangkan apakah tujuan yang mendasari pemrosesan lebih lanjut tersebut tidak sesuai dengan tujuan awal.

DPA menegaskan bahwa tujuan yang berbeda tidak selalu merupakan tujuan yang tidak sesuai dan bahwa ketidaksesuaian tersebut harus selalu dinilai berdasarkan kasus per kasus. Dalam hal ini, DPA berpandangan bahwa karena adanya kepentingan publik (public interest) untuk memastikan pengaturan yang tepat dari profesi hukum, tujuan pemrosesan lebih lanjut atas data pelapor (Alice) tidak bertentangan dengan tujuan pengumpulannya semula. Atas dasar ini, Data Controller (Bob) telah bertindak sesuai dengan undang-undang perlindungan data.

Lawfulness of processing ini diatur dalam GDPR Pasal 6 Ayat 1(e) dan RUU PDP Pasal 18 Ayat 2 (e). Saya copas-kan kalimatnya:

* GDPR Pasal 6 Ayat 1 (e) : processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

* RUU PDP Pasal 18 Ayat 2 (e) : pemenuhan kewajiban Pengendali Data Pribadi dalam pelayanan publik untuk kepentingan umum.

RUU PDP agak berbeda dengan GDPR karena di RUU PDP sebenarnya tidak mencatumkan secara spesifik bab terkait Lawfulness of processing. Kalau kita lihat Pasal 18 Ayat 2 bunyinya seperti ini : “Persetujuan sebagaimana dimaksud pada ayat (1) tidak diperlukan dalam hal pemrosesan Data Pribadi untuk: “. Pasal 18 Ayat 1 berbicara tentang explisit consent, sedangkan Ayat 2 tentang pengecualian dari explisit consent.

Sumber: https://gdpr-info.eu/art-6-gdpr/
Sumber: RUU PDP Draft Januari 2020

Kembali ke laptop (kasus tadi), DPA kemudian mencatat bahwa selain persyaratan hukum lainnya, Data Controller (Bob) harus memiliki dasar yang sah untuk memroses data pribadi. Dasar hukum yang ingin digunakan oleh Data Controller (Bob) dalam kasus ini adalah bahwa pemrosesan diperlukan untuk tujuan kepentingan yang sah (legitimate interest). Dalam hal ini, DPA berpendapat bahwa Data Controller (Bob) memiliki kepentingan yang sah untuk mengungkapkan kepada Law Society segala perilaku yang dapat mencemarkan nama baik profesi hukum. Selain itu, Data Controller (Bob) diwajibkan oleh Kode Etik Law Society untuk melaporkan pelanggaran serius kepada Law Society. Kesimpulannya, DPA menilai bahwa Data Controller memiliki dasar hukum (legal basis)yang sah untuk mengungkapkan data pribadi pelapor dan tidak bertentangan dengan peraturan perundang-undangan.

Penggunaan kepentingan yang sah (legitimate interest) ini diatur dalam GDPR Pasal 6 Ayat 1(f).

“processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.”

Hal ini juga diatur dalam RUU PDP Pasal 18 Ayat 2 (f).

“pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Pemilik Data Pribadi”

Berdasarkan GDPR Pasal 6, Data Controller harus memiliki dasar hukum yang valid/sah untuk memproses data pribadi. Salah satu dasar hukum tersebut, dalam GDPR Pasal 6 Ayat 1(f), menetapkan bahwa pemrosesan dapat dikatakan sah jika dan sejauh diperlukan untuk tujuan kepentingan sah yang digunakan oleh Data Controller atau oleh pihak ketiga, kecuali di mana kepentingan tersebut dikesampingkan oleh kepentingan atau hak dasar atau kebebasan subjek data/pemilik data pribadi/Data Owner. Namun, GDPR Pasal 6 Ayat 4 menetapkan bahwa jika pemrosesan data pribadi dilakukan untuk tujuan selain dari tujuan pengumpulan data tersebut, hal ini hanya diizinkan jika pemrosesan lebih lanjut tersebut sesuai dengan tujuan di mana data tersebut awalnya dikumpulkan.

Dalam mempertimbangkan apakah pemrosesan untuk tujuan lain sesuai dengan tujuan awal pengumpulan data pribadi, Data Controller harus mempertimbangkan:

  1. Hubungan apa pun antara tujuan pengumpulan data dan tujuan pemrosesan lebih lanjut yang dimaksudkan;
  2. Konteks pengumpulan data;
  3. Sifat data pribadi;
  4. Kemungkinan konsekuensi dari pemrosesan lebih lanjut yang dimaksudkan untuk subjek data/pemilik data pribadi; dan
  5. Adanya mekanisme perlindungan data pribadi yang sesuai.

#2 Mekanisme Keamanan Informasi yang Tepat untuk Pemrosesan Data Medis

Pengaduan ini dilatarbelakangi oleh istri pelapor yang mengajukan permohonan Freedom of Information / Keterbukaan Informasi Publik (FOI) kepada dokter umum yang pernah terlibat dalam pengasuhan anak pelapor.

Di Indonesia, hal ini diatur juga di UU Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik.

Dokter Umum tersebut kemudian menulis surat kepada dokter lain yang juga merawat anak pelapor, dan kebetulan secara terpisah juga merawat pelapor, untuk memberi tahu mereka tentang permintaan FOI. Dokter lain tersebut membalas surat si Dokter Umum dan dalam balasannya mengungkapkan informasi medis tentang Bejo, yang notabene bukan pasien dari Dokter Umum tersebut.

Untuk menentukan siapa Data Controller dalam kasus ini, Data Protection Authority (DPA) meminta konfirmasi kapasitas di mana pelapor telah berkonsultasi dengan dokter yang mengungkapkan informasi yang dimaksud. Ternyata dokter lain itu hanya melihat data pasien dari informasi publik yang berasal dari Health Service Executive (HSE). HSE di negara tersebut itu semacam lembaga yang memberikan pengawasan terhadap layanan kesehatan. Mungkin semacam Kementerian Kesehatan gitu. Atas dasar ini, DPA menetapkan bahwa Data Controller adalah HSE.

Mengingat informasi kesehatan pasien dapat dilihat dokter secara publik dari HSE, maka yang menentukan tujuan pemrosesan dalam konteks ini adalah HSE, bukan pasien.

Menanggapi pengaduan tersebut, Data Controller (dalam hal ini HSE) mengakui bahwa data pribadi mengenai pelapor salah diungkapkan karena dokter salah mengira bahwa pelapor juga merupakan pasien dari dokter umum (padahal pasien dari dokter umum ini adalah anaknya pelapor). Namun, HSE menyarankan bahwa penerima data (dalam hal ini dokter umum) akan terikat oleh kewajiban kerahasiaan sehubungan dengan data yang diterima. Data Controller (HSE) juga menunjukkan bahwa dokter yang bersangkutan telah pensiun, sehingga masalah tersebut tidak dapat ditangani secara pribadi. HSE menegaskan bahwa kebijakan internalnya mengenai pemrosesan data telah diperbarui dan ditingkatkan sejak insiden yang melibatkan pelapor.

DPA mencatat bahwa ketika data pribadi sedang diproses oleh Data Controller, ada persyaratan hukum tertentu yang harus dipenuhi oleh Data Controller. Hal yangpaling relevan dengan keluhan ini adalah kewajiban untuk memproses data pribadi secara adil (fair) dan memiliki langkah-langkah keamanan informasi yang sesuai untuk melindungi pemrosesan (pengungkapan) yang tidak sah. DPA lebih lanjut mencatat bahwa karena data pribadi bersifat medis (ini termasuk kategori data pribadi Spesifik di RUU PDP), standar yang harus dipenuhi dalam hal keamanan informasi harus lebih tinggi/ketat darip data pribadi kategori Umum. Selain itu, DPA menegaskan bahwa karena peningkatan perlindungan yang diberikan pada data kesehatan di bawah undang-undang perlindungan data, maka data tersebut hanya dapat diproses jika kondisi tertentu terpenuhi.

Berdasarkan RUU PDP Pasal 3, data yang bersifat Umum adalah nama lengkap, jenis kelamin, kewarganegaraan, agama, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Data yang bersifat Spesifik (kalau di GDPR pakai istilah Sensitif) adalah data dan informasi kesehatan, data biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Dalam kasus ini cukup jelas bahwa langkah-langkah keamanan yang tepat oleh Data Controller tidak dilakukan ketika pengungkapan yang tidak sah kepada Dokter Umum terjadi. DPA mencatat bahwa pengungkapan terhadap dokter umum yang tidak terlibat dalam perawatan medis pelapor, dan selanjutnya, bahwa surat di mana pengungkapan itu dibuat memiliki judul yang merujuk pada anak pelapor tetapi berisi informasi medis yang berkaitan dengan pelapor di badan surat. Oleh karena itu, kesalahan itu terlihat jelas pada surat yang dikirimkan oleh dokter lain ke dokter umum. DPA juga menyoroti bahwa Data Controller tidak dapat menangani tindakan pengendalian terkait pengungkapan informasi karena dokter yang bersangkutan telah pensiun. DPA berpendapat bahwa ini menunjukkan fakta bahwa kebijakan dan/atau prosedur terkait dengan keamanan data pribadi tidak ada pada saat proses pengungkapan.

DPA kemudian melihat apakah persyaratan yang diperlukan untuk memungkinkan pemrosesan data tentang kesehatan telah terpenuhi. DPA memutuskan bahwa Data Controller gagal mengajukan dasar hukum apa pun untuk mengungkapkan data pribadi. Dalam hal ini, Data Controller juga melanggar undang-undang perlindungan data.

Terkait dengan dasar hukum pemrosesan data pribadi, berdasarkan GDPR Pasal 6 Ayat 1:

Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

(d) processing is necessary in order to protect the vital interests of the data subject or of another natural person;

(e) processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(f) processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.

Kewajiban untuk memastikan keamanan data pribadi sudah diatur dalam GDPR Pasal 5 Ayat 1(f) dan lebih lanjut ditentukan dalam Pasal 32, yang mengharuskan pengontrol dan pemroses menerapkan langkah-langkah teknis dan organisasi yang sesuai untuk memastikan tingkat keamanan sesuai dengan risiko. Pada RUU PDP, hal ini diatur dalam Pasal 4 Ayat 2(e), Pasal 27, dan Pasal 29.

RUU PDP Pasal 4 Ayat 2(e):

“pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau kehilangan Data Pribadi”

RUU PDP Pasal 27:

“Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan: (a) penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan dan (b) penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi”

RUU PDP Pasal 29:

“Pengendali Data Pribadi wajib memastikan pelindungan Data Pribadi dari pemrosesan Data Pribadi yang tidak sah”

Dalam mempertimbangkan langkah-langkah keamanan yang tepat, Data Controller dan Data Processor harus mempertimbangkan antara lain: sifat, ruang lingkup, konteks, tujuan pemrosesan, potensi risiko dan dampaknya terhadap subjek data/pemilik data pribadi/Data Owner. Dalam hal ini, berdasarkan GDPR Pasal 9, bahwa data kesehatan yang merupakan data pribadi kategori khusus/sensitif dalam kaitannya dengan hak dan kebebasan dasar, serta harus mendapatkan perlindungan khusus atau yang lebih ketat.

Data Controller juga harus menyadari bahwa jika terjadi pelanggaran keamanan yang mengarah pada pengungkapan data pribadi yang tidak sah secara tidak sengaja atau melanggar hukum (pelanggaran data pribadi), hal itu harus diberitahukan kepada DPA tanpa penundaan yang tidak semestinya (undue delay)sesuai dengan GDPR Pasal 33.

GDPR Pasal 33 Ayat 1 (Notification of a personal data breach to the supervisory authority):

“n the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. Where the notification to the supervisory authority is not made within 72 hours, it shall be accompanied by reasons for the delay.”

RUU PDP Pasal 40 Ayat 1:

“Dalam hal terjadi kegagalan pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis dalam waktu paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada: (a) Pemilik Data Pribadi dan (b) Menteri.”

RUU PDP Pasal 40 Ayat 3:

“Dalam hal tertentu Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan pelindungan Data Pribadi”

Jika pelanggaran data pribadi kemungkinan besar mengakibatkan risiko tinggi terhadap hak dan kebebasan subyek data/pemilik data pribadi/Data Owner, hal itu juga harus dikomunikasikan kepada subyek data tanpa penundaan (undue delay) yang tidak semestinya. Pada RUU PDP Pasal 40 Ayat 1 sudah ada batasan waktu pelaporan, yaitu paling lampat 3 x 24 jam kepada pemilik data pribadi dan kementerian terkait. Bahkan di RUU PDP Pasal 40 Ayat 3 ada ketentuan bahwa Data Controller harus memberitahukan kepada masyarakat (publik) jika ada kegagalan perlindungan data pribadi.

Transparansi adalah fondasi dasar utama dari Data Privacy

Menurut saya, bagi organisasi di Indonesia, janganlah suka “ngeles” kalau ada pelanggaran data pribadi, yang dalam hal ini kebanyakan kasus data breach. Saya tidak menyebutkan institusi dan perusahaan mana saja, cuma pembaca coba pahami saja dari hasil googling terhadap kasus-kasus data breach yang beberapa tahun ini terjadi di Indonesia.

Kesimpulan

Dari dua kasus di atas, poin penting yang dapat diambil adalah:

  1. Pengendali data (Data Controller) harus memastikan bahwa tujuan pemrosesan dan landasan hukum pemrosesan data pribadi itu jelas dan kalau bisa spesifik, sebagai bentuk transparansi ke subyek data/pemilik data pribadi/Data Owner.
  2. Terkait dengan landasan hukum dalam pemrosesan data pribadi, organisasi dapat mempelajari lebih jauh GDPR Pasal 6. Landasan hukum tidak selalu harus explisit consent (persetujuan tertulis/langsung) dari subyek data, namun ada hal lain seperti kewajiban pemenuhan perjanjian tertentu antar entitas, pemenuhan terhadap hukum dan peraturan perundang-undangan di negara terkait, adanya kepentingan publik (public interest), kepentingan yang mengancam keselamatan individu (vital interest), dan tujuan kepentingan yang sah (legitimate interest) dengan mempertimbangkan risiko dan hak dari subyek data.
  3. Pada kasus pertama, landasan hukum yang digunakan oleh Data Controller adalah public interest dan legitimate interest. Untuk public interest, ini cukup mudah untuk ditentukan terutama ketika berkaitan dengan kepentingan warga negara (misal terkait vaksinasi, bansos, dan program pemerintah). Untuk legitimate interest, sejauh saya tahu di Indonesia belum ada panduan yang jelas terkait hal ini. Jika organisasi ingin menggunakan legitimate interest sebagai landasan hukum, maka organisasi perlu melakukan Legitimate Interest Assessment (LIA). Dalam melakukan LIA, ada istilah “three-part test”. Jadi memang ada tiga komponen yang harus dinilai dalam LIA: Purpose Test (identifikasi tujuan dan kepentingan yang sah), Necessity Test (mempertimbangkan apakah pemrosesan ini diperlukan), dan Balancing Test (mempertimbangan kepentingan individu/subyek data).
  4. Mengacu pada kasus kedua, hal penting yang perlu kita pahami pertama banget nih ketika ada kasus pelanggaran data pribadi, kita harus menentukan/mengidentifikasi siapa yang jadi Data Controller. Hal ini penting karena Data Controller inilah yang menentukan tujuan dari pemrosesan data. Jika pembaca tidak memahami konsep dasar privacy secara tepat, bisa jadi si pelapor dianggap sebagai Data Controller karena informasi yang diungkap oleh dokter adalah data pribadi yang bersangkutan. Ternyata bukan toh. Data Controller-nya dalam kasus ini adalah HSE. Terbukti juga pengungkapan itu akibat kelalaian HSE dalam konteks pengamanan data pribadi.

Dalam artikel ini saya hanya menyajikan dua contoh kasus. Di artikel lainnya saya akan bahas contoh kasus yang lainnya agar pembaca mendapatkan beberapa referensi kasus pelanggaran data pribadi dari jenis pelanggaran yang berbeda. Pada artikek ini saya memberikan contoh kasus untuk jenis pelanggaran terkait:

  1. Ketidakcukupan dasar hukum untuk pemrosesan data pribadi
  2. Ketidakcukupan kontrol keamanan informasi dari sisi teknis dan organisasi

Semoga artikel ini bermanfaat dan menambah wawasan pembaca di bidang Data Privacy. Jika pembaca ingin berdiskusi tentang Data Privacy, dapat join group telegram Komunitas Data Privacy & Protection Indonesia di https://t.me/dataprotectionid dan telegram channel news saya di Data Privacy & Protection News ID di https://t.me/dataprivid.

Semangat menulis, semangat berbagi :)

Salam,

Eryk Budi Pratama

(Linkedin)

Data Privacy
Data Protection
Gdpr
Data Security

--

--

Eryk Budi Pratama

Written by Eryk Budi Pratama

256 Followers

Global IT & Cybersecurity Advisor | Global CIO & CISO Advisory | IT GRC | Cloud | Cyber Resilience | Data Privacy & Governance

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams