VII. PDP-7.11

Referensi:

• UU 27/2022, Pasal 46.
• RPP Peraturan Pelaksanaan UU 27/2022, Pasal 125
• SNI ISO/IEC 27001:2022, Lampiran A - 5.34.

Pertanyaan

7.11

Apakah instansi/perusahaan sudah memiliki proses untuk melaporkan insiden terkait terungkapnya data pribadi?

Penjelasan

UU 27/2022

Pasal 46

• (1) Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:
  • a. Subjek Data Pribadi; dan
  • b. lembaga.

RPP UU 27/2022

Pasal 125

(1) Pengendali Data Pribadi wajib menyusun dokumentasi atas terjadinya insiden kegagalan Pelindungan Data Pribadi paling sedikit memuat informasi:

Details

• a. hal yang menyebabkan terjadinya kegagalan;
• b. waktu dan kronologi kegagalan;
• c. Data Pribadi yang terdampak;
• d. akibat kegagalan;
• e. tindakan penanganan dan perbaikan yang dilakukan;
• f. kesimpulan apakah terjadi pengungkapan Data Pribadi;
• g. jangka waktu pemberitahuan kepada Subjek Data pribadi dan Lembaga PDP; dan
• h. risiko dampak pengungkapan Data Pribadi terhadap Subjek Data Pribadi.

(2) Dokumentasi atas terjadinya insiden kegagalan Pelindungan Data Pribadi yang disusun oleh Pengendali Data Pribadi sebagaimana dimaksud pada ayat (1) wajib disampaikan kepada Lembaga PDP.

SNI ISO/IEC 27001:2022

Lampiran A - 5.34 Privasi dan proteksi personal identifiable information (PII)

Organisasi harus mengidentifikasi dan memenuhi persyaratan mengenai preservasi privasi dan proteksi PII sesuai dengan hukum dan regulasi yang berlaku dan persyaratan kontraktual.

Yang dimaksud dengan kegagalan Pelindungan Data Pribadi adalah kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses (Penjelasan Pasal 46 ayat (1)). | Satriyo Wibowo

Contoh Formulir Laporan Dugaan Kebocoran Data Pribadi | Satriyo Wibowo

Contoh Prosedur Pengelolaan Kegagalan PDP

Status

Tidak Dilakukan

Organisasi belum memiliki proses untuk melaporkan insiden terkait terungkapnya data pribadi.

Dalam Perencanaan

Organisasi sedang menyusun proses untuk melaporkan insiden terkait terungkapnya data pribadi.

Dalam Penerapan atau Diterapkan Sebagian

Organisasi memiliki proses untuk melaporkan insiden terkait terungkapnya data pribadi, namun belum terkelola.

Diterapkan Secara Menyeluruh

Organisasi sudah memiliki proses untuk melaporkan insiden terkait terungkapnya data pribadi.

Bukti Dukung

tidak terbatas pada:

• SOP/ Diagram Alur Pelaporan Insiden
• Dokumentasi atau Template Laporan Resmi
• Catatan Insiden yang Telah Dilaporkan
• Formulir Laporan Dugaan Kebocoran Data Pribadi

Pertanyaan terkait

tidak ada.

---

Jika informasi ini bermanfaat bagi Anda saya sangat mengapresiasi jika ditraktir kopi ☕ 🔻