Siapa Bertanggung Jawab atas Kebocoran Data Pribadi?

Kebocoran data pribadi tidak dapat direduksi semata sebagai tindak pidana yang dilakukan oleh pelaku eksternal. Dalam rezim Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), tanggung jawab hukum ditentukan oleh konstruksi kewenangan, penguasaan, dan kewajiban pengamanan atas data. Oleh karena itu, pertanyaan mengenai siapa yang bertanggung jawab harus dijawab melalui analisis terhadap norma yang mengatur kewajiban Pengendali Data Pribadi.

Konstruksi Normatif Tanggung Jawab Pengendali

UU PDP mendefinisikan Pengendali Data Pribadi sebagai pihak yang menentukan tujuan dan melakukan kendali atas pemrosesan data pribadi. Kewenangan tersebut melahirkan hubungan hukum antara Pengendali dan Subjek Data. Dalam hubungan itu, pengendali tidak hanya memperoleh legitimasi untuk memproses data, tetapi juga memikul kewajiban hukum untuk menjamin keamanan dan kerahasiaannya.

Pasal 35 UU PDP mewajibkan Pengendali Data Pribadi untuk melindungi dan memastikan keamanan data pribadi melalui langkah teknis dan organisasi yang memadai. Norma ini harus dibaca secara sistematik bersama Pasal 16 ayat (2) mengenai prinsip pemrosesan yang sah, terbatas, dan aman, serta Pasal 38 dan Pasal 39 yang mewajibkan pencegahan akses dan pemrosesan yang tidak sah.

Dari konstruksi tersebut dapat dirumuskan bahwa keamanan bukan sekadar aspek tambahan, melainkan elemen esensial dari pemrosesan yang sah. Pemrosesan tanpa jaminan keamanan yang memadai berpotensi cacat secara normatif.

Kewajiban pengamanan dalam UU PDP bersifat preventif dan melekat (ex ante obligation). Artinya, kewajiban tersebut sudah ada sebelum terjadi insiden. Kebocoran dipandang sebagai indikasi kegagalan pelindungan, bukan semata-mata sebagai peristiwa eksternal yang berdiri sendiri.

Model Pertanggungjawaban: Fault, Presumption, atau Strict?

UU PDP tidak secara eksplisit menyatakan bahwa tanggung jawab pengendali bersifat strict liability. Namun, konstruksi kewajiban preventif dan prinsip akuntabilitas menunjukkan adanya kecenderungan ke arah presumption of liability. Dalam konteks perdata, unsur tanggung jawab dapat diuji melalui Pasal 1365 KUHPerdata dengan empat parameter klasik:

1. adanya kewajiban hukum,

2. adanya perbuatan atau kelalaian,

3. timbulnya kerugian, dan

4. hubungan kausal antara kelalaian dan kerugian.

Kewajiban hukum bersumber langsung dari UU PDP. Kelalaian dapat dibuktikan melalui audit keamanan, standar pengamanan yang diterapkan, serta kesesuaian dengan praktik keamanan yang lazim (reasonable security standard). Kerugian dapat berupa kerugian materiil maupun immateriil, termasuk risiko penyalahgunaan identitas dan kerugian reputasi. Hubungan kausal dinilai berdasarkan apakah kebocoran merupakan konsekuensi yang dapat diperkirakan dari kegagalan sistem pengamanan.

Dalam praktik, beban pembuktian akan menjadi isu sentral. Pengendali berpotensi dibebani kewajiban untuk membuktikan bahwa ia telah menerapkan langkah teknis dan organisasi yang memadai sesuai standar risiko (risk-based approach). Dengan demikian, sekalipun tidak dirumuskan sebagai strict liability, tanggung jawab pengendali cenderung mendekati presumption of fault.

Relasi Pengendali dan Prosesor

Dalam banyak kasus, kebocoran terjadi pada sistem pihak ketiga atau vendor. UU PDP mengenal pembedaan antara Pengendali Data Pribadi dan Prosesor Data Pribadi. Namun, pendelegasian pemrosesan tidak serta-merta mengalihkan tanggung jawab utama. Secara prinsip:

1. Pengendali tetap bertanggung jawab atas kepatuhan pemrosesan terhadap UU PDP.

2. Prosesor bertanggung jawab atas pelaksanaan pemrosesan sesuai instruksi yang sah dan kewajiban keamanan.

Dalam hubungan kontraktual, perjanjian pemrosesan data (data processing agreement) dapat mengatur pembagian tanggung jawab dan hak regres. Namun, terhadap Subjek Data, tanggung jawab pengendali tetap melekat sepanjang data berada dalam penguasaannya atau diproses atas instruksinya.

Dengan demikian, keberadaan pihak ketiga tidak otomatis menghapus tanggung jawab pengendali. Yang diuji adalah apakah pengendali telah melakukan due diligence, pengawasan, dan penerapan standar keamanan yang layak terhadap prosesornya.

Parameter Langkah Teknis dan Organisasi yang Memadai

Frasa “memadai” dalam Pasal 35 bersifat terbuka dan harus ditafsirkan secara kontekstual. Parameter memadai setidaknya mencakup:

1. penerapan sistem enkripsi dan pengamanan akses,

2. pembatasan hak akses berbasis kebutuhan,

3. audit keamanan berkala,

4. manajemen risiko berbasis tingkat sensitivitas data,

5. kebijakan respons insiden dan notifikasi.

Dalam praktik internasional, standar seperti ISO/IEC 27001 sering digunakan sebagai tolok ukur praktik keamanan yang wajar. Meskipun tidak secara eksplisit diwajibkan oleh UU PDP, standar tersebut dapat menjadi referensi dalam menilai apakah pengendali telah memenuhi prinsip kehati-hatian.

Dengan demikian, isu utama dalam sengketa bukan sekadar terjadinya kebocoran, melainkan apakah pengendali telah memenuhi standar kewajaran dan kepatutan dalam tata kelola keamanan data.

Kewajiban Pemberitahuan dan Prinsip Akuntabilitas

Pasal 46 UU PDP mewajibkan pengendali untuk memberitahukan kegagalan pelindungan data pribadi kepada Subjek Data dan otoritas terkait. Norma ini menegaskan bahwa kebocoran dipandang sebagai kegagalan sistem pelindungan yang berada dalam lingkup tanggung jawab pengendali.

Kewajiban pemberitahuan merupakan manifestasi prinsip akuntabilitas (accountability principle), yaitu kewajiban untuk tidak hanya mematuhi hukum, tetapi juga mampu membuktikan kepatuhan tersebut.

Konsekuensi Hukum yang Berlapis

Rezim tanggung jawab dalam kebocoran data bersifat berlapis:

1. Administratif
   Pasal 57 UU PDP mengatur sanksi administratif berupa peringatan tertulis, penghentian sementara pemrosesan, penghapusan atau pemusnahan data, dan denda administratif.

2. Perdata
   Subjek Data yang dirugikan berhak menuntut ganti rugi melalui mekanisme peradilan umum. Gugatan dapat diajukan secara individual maupun melalui mekanisme gugatan perwakilan kelompok apabila memenuhi syarat.

3. Pidana
   Tindakan memperoleh, mengungkapkan, atau menggunakan data pribadi secara melawan hukum dapat dikenai sanksi pidana sesuai ketentuan UU PDP. Dalam konteks korporasi, pertanggungjawaban pidana dapat dikenakan kepada badan hukum dan/atau pengurusnya sesuai prinsip pertanggungjawaban pidana korporasi.

Dengan demikian, pelaku penyalahgunaan data dan pengendali yang lalai dapat dimintai pertanggungjawaban berdasarkan dasar hukum yang berbeda dan secara paralel.

Kesimpulan

Tanggung jawab atas kebocoran data pribadi dalam rezim UU PDP tidak ditentukan oleh siapa yang terakhir menggunakan data, melainkan oleh siapa yang memiliki kewenangan dan kewajiban pengamanan pada saat kebocoran terjadi.

Sepanjang data berada dalam penguasaan atau pemrosesan atas instruksi Pengendali Data Pribadi, kewajiban pengamanan tetap melekat. Kebocoran akibat kegagalan sistem internal, lemahnya pengawasan terhadap prosesor, atau tidak memadainya langkah teknis dan organisasi merupakan dasar pertanggungjawaban hukum.

Dengan demikian, tanggung jawab pengendali bersifat preventif, berbasis kewajiban akuntabilitas, dan hanya dapat dilepaskan apabila pengendali mampu membuktikan telah memenuhi standar pengamanan yang wajar dan proporsional terhadap risiko.

Catatan Redaksional

Artikel ini disusun sebagai informasi umum dan tidak dimaksudkan sebagai nasihat hukum atau janji hasil tertentu.

Referensi

1. Republik Indonesia. (2022). Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Lembaran Negara Republik Indonesia Tahun 2022 Nomor 196. https://peraturan.bpk.go.id/Home/Details/229798/uu-no-27-tahun-2022

2. Republik Indonesia. (1847). Kitab Undang-Undang Hukum Perdata.

3. Schwartz, P. M., & Solove, D. J. (2011). The PII problem: Privacy and a new concept of personally identifiable information. NYU Law Review, 86(6), 1814–1894. https://nyulawreview.org/issues/volume-86-number-6/the-pii-problem/

4. Voigt, P., & Von dem Bussche, A. (2017). The EU General Data Protection Regulation (GDPR): A practical guide. Springer.
   https://link.springer.com/book/10.1007/978-3-319-57959-7

Ilustrasi Hacker membobol data pribadi. Gambar/Canva.