Denda Rp 6 Triliun Per Insiden: 3 Hal yang Tidak Diberitahu Konsultan Hukum Anda soal UU PDP

Bima Aditya
2 days ago
3 min read

Waktu konsultan hukum Anda menjelaskan UU PDP, kemungkinan besar pembahasannya seputar: update privacy policy, minta consent ulang dari user, dan tunjuk Data Protection Officer.

Semua itu benar. Tapi ada 3 hal yang jarang dibahas secara terbuka, dan ini justru bagian yang paling penting bagi CFO, CEO, dan pemegang saham.

"Komdigi dan OJK bisa menjatuhkan sanksi secara paralel untuk insiden yang sama. Denda dari satu regulator tidak mengurangi sanksi dari regulator lainnya."

3 Hal yang Wajib Dipahami Eksekutif tentang UU PDP

Hal 1: Definisi "pelanggaran" jauh lebih luas dari yang Anda bayangkan

Banyak perusahaan berpikir pelanggaran UU PDP berarti ada hacker yang mencuri data. Padahal menurut UU No. 27 Tahun 2022, pelanggaran mencakup:

• Memproses data pribadi tanpa dasar hukum yang sah, termasuk consent yang tidak spesifik

• Menggunakan data di luar tujuan yang disebutkan saat pengumpulan

• Tidak memberikan notifikasi kepada pemilik data dan Komdigi dalam 14 x 24 jam setelah mengetahui kebocoran

• Menyerahkan data kepada pihak ketiga tanpa perjanjian pemrosesan data yang memadai

Untuk perusahaan fintech yang bekerja dengan mitra credit scoring, eKYC, atau pemasaran digital, titik risiko ini tersebar di seluruh ekosistem, bukan hanya di sistem internal.

Hal 2: Sanksi pidana menyasar individu, bukan hanya perusahaan

Pasal 67 UU PDP mengatur:

• Memproses data secara melawan hukum: pidana penjara maksimal 5 tahun dan/atau denda maksimal Rp 5 miliar

• Memalsukan data pribadi: pidana penjara maksimal 6 tahun dan/atau denda maksimal Rp 6 miliar

Yang dimaksud "individu" bisa mencakup direktur yang menandatangani kebijakan pemrosesan data, kepala IT yang mengelola sistem, bahkan Data Protection Officer yang menyetujui praktik yang melanggar. Ini bukan risiko korporat semata, ini risiko personal.

Hal 3: Komdigi dan OJK bergerak secara independen untuk insiden yang sama

Untuk perusahaan jasa keuangan yang diawasi OJK, pelanggaran data pribadi membuka 2 jalur tindakan sekaligus:

• Komdigi bertindak berdasarkan UU PDP sebagai otoritas perlindungan data

• OJK bertindak berdasarkan POJK 11/2022 dan ketentuan keamanan siber sektoral

Kedua proses ini berjalan independen. Denda dari Komdigi tidak mengurangi sanksi dari OJK. Perusahaan menghadapi dua timeline, dua persyaratan respons, dan dua set konsekuensi, secara bersamaan.

4 Titik Risiko yang Paling Sering Diabaikan Fintech

• Consent yang terlalu general. Satu checkbox "Saya setuju dengan syarat dan ketentuan" tidak memenuhi standar UU PDP. Consent harus spesifik per tujuan pemrosesan.

• Data sharing ke mitra tanpa DPA. Setiap vendor atau mitra yang menerima data pengguna harus menandatangani Data Processing Agreement.

• Tidak ada prosedur notifikasi kebocoran. Batas 14 x 24 jam sangat ketat. Kalau tidak ada prosedur internal yang sudah dilatih, perusahaan hampir pasti melewati deadline ini.

• Direksi belum di-briefing tentang risiko personal. Direksi yang tidak tahu bahwa mereka bisa dipidana secara personal adalah direksi yang belum siap.

5 Action yang Harus Diambil Sebelum Akhir Kuartal Ini

• Audit consent yang ada saat ini. Periksa apakah consent yang dikumpulkan dari pengguna sudah memenuhi standar UU PDP, spesifik, granular, dan bisa dibuktikan.

• Inventarisasi semua pihak ketiga yang menerima data pengguna. Buat daftar lengkap vendor, mitra, dan afiliasi yang memiliki akses ke data pribadi nasabah atau pengguna.

• Buat atau update Data Processing Agreement dengan semua mitra di daftar tersebut.

• Simulasikan skenario kebocoran data. Uji apakah tim tahu apa yang harus dilakukan dalam 14 x 24 jam pertama.

• Jadwalkan briefing risiko personal untuk direksi dan komisaris. Pastikan setiap anggota direksi memahami secara konkret apa exposure personal mereka di bawah Pasal 67 UU PDP.