Pengguna aplikasi milik startup maupun pemerintah akan berhak meminta ganti rugi jika data bocor. Hal ini tertuang dalam draf rancangan Peraturan Pemerintah turunan Undang-undang atau UU Pelindungan Data Pribadi.
Berdasarkan draf rancangan Peraturan Pemerintah atau RPP Pelindungan Data Pribadi tertanggal 31 Agustus, aturan ini memuat hak pengguna jika data pribadinya digunakan untuk iklan.
“Pengguna berhak menggugat dan menerima ganti rugi atas pelanggaran, baik berdasarkan kesalahan maupun kelalaian pengendali data pribadi, dalam pemrosesan data pribadi tentang dirinya sesuai ketentuan peraturan perundang-undangan,” demikian dikutip dari draf tersebut.
Kebocoran data merupakan pelanggaran dalam pemrosesan data pribadi. Pelanggaran terjadi ketika kegiatan pemrosesan data pribadi tidak sesuai dengan kewajiban dalam ketentuan peraturan perundang-undangan.
Pelanggaran tersebut yang mengakibatkan antara lain:
Akses data pribadi secara tidak sahPengambilan data pribadi secara tidak sahPenampilan data pribadi secara tidak sahPembatasan dan/atau penolakan pemenuhan hak subjek data pribadi dalam UU Pelindungan Data PribadiPembatasan pelaksanaan hak subjek data pribadi yang diatur oleh peraturan perundang-undangan
Ganti rugi jika data bocor dapat berupa materiil maupun non-materiil. Berikut penjelasannya:
Ganti rugi materiil berupa pemberian sejumlah uang dengan nilai setara kerugian yang diderita oleh pengguna akibat kegiatan pemrosesan oleh pengendali dan/atau prosesor data pribadiGanti rugi non-materiil berupa tindakan pemulihan atau tindakan lain, selain pemberian uang, untuk memulihkan kondisi pelindungan terhadap data pribadi pengguna ke kondisi sebelum. Ini dilakukan sesuai kewajiban pengendali dan/atau prosesor data pribadi pada peraturan perundang-undangan.
Pengguna dapat mengajukan permintaan ganti rugi atas pelanggaran pemrosesan data pribadi kepada pengendali dan/atau prosesor data pribadi dengan menyampaikan:
Bukti terjadinya pelanggaran pemrosesan data pribadi yang berdampak terhadap subjek data pribadi, tanpa harus membuktikan kerugian yang dideritaInformasi dan bukti pendukung nominal kerugian materiel maupun non-materiil yang dideritaInformasi dan bukti bahwa data pribadi subjek diproses oleh pengendali data pribadiInformasi dan bukti terkait data pribadi yang menjadi target kegagalan pelindungan data pribadi
Kewajiban bagi perusahaan dalam proses penggantian rugi, yakni:
Menyiapkan media komunikasi pengajuan permintaan ganti rugi oleh subjek data pribadiMenerapkan kebijakan ganti rugi yang mudah, cepat, dan langkah mitigasi atas dampak pelanggaran pemrosesan data pribadiMenyediakan informasi kebijakan ganti rugi, dengan ketentuan:
– Diumumkan kepada subjek data pribadi melalui pemberitahuan pelindungan data pribadi
– Menggunakan bahasa Indonesia, secara singkat dan jelas
– Informasi kebijakan ganti rugi paling sedikit memuat:
Tata cara permintaan ganti rugiJenis ganti rugi yang dapat diberikan pengendali data pribadi kepada subjek data pribadiPernyataan bahwa jika subjek data pribadi meminta ganti rugi di luar yang dapat dimintakan kepada pengendali, maka pengendali data pribadi berhak menolak permintaan ganti rugiPernyataaan bahwa pemberitahuan pemrosesan atau penolakan permintaan ganti rugi akan diberitahukan selambat-lambatnya tiga hari setelah permohonan ganti rugi diterimaInformasi pejabat pelindung data pribadi prosesor kepada subjek pemohon ganti rugi, dalam hal pelanggaran pemrosesan melibatkan prosesor data pribadi
Pihak yang berwenang menentukan nilai atau tindakan ganti rugi meliputi:
Pihak yang ditunjuk oleh pengendali data pribadi dan subjek, dalam hal keduanya sepakat untuk memilih upaya penyelesaian sengketa di luar pengadilanHakim pada pengadilan yang berwenang
Dalam menentukan nilai ganti rugi, pihak yang berwenang menentukan nilai atau tindakan ganti rugi perlu mempertimbangkan:
Tingkat niat jahat atau perkiraan kerugianJumlah kerugianKeuntungan ekonomi pengendali data pribadi akibat pelanggaranJumlah denda kepada pelanggaranDurasi, dan frekuensi pelanggaranAset pengendali data pribadiUpaya pengendali data pribadi mendapatkan informasi personal setelah insidenUpaya pengendali data pribadi mengatasi kerugian subjek
Jika perusahaan dan/atau prosesor data pribadi menolak untuk memberikan ganti rugi atau tidak sesuai dengan permintaan pengguna, maka pengguna dapat mengajukan permohonan penyelesaian sengketa ke Lembaga PDP untuk mencapai kesepakatan mengenai:
Bentuk dan besarnya ganti rugiTindakan tertentu untuk menjamin tidak akan terjadi kembali atau tidak akan terulang kembali kerugian yang diderita oleh subjek
Berdasarkan draf, Peraturan Pemerintah Pelindungan Data Pribadi tersebut terdiri dari 10 Bab dan 245 pasal. Bab yang dimaksud yakni:
Ketentuan umumData pribadiPemrosesan data pribadiHak dan kewajibanTransfer data pribadi di luar wilayah hukum negara Republik IndonesiaKerja sama internasionalKewenangan lembaga pelindungan data pribadiSanksi administratifPenyelesaian sengketa dan hukum acaraKetentuan penutup