Definisi
Notifikasi Insiden Data (Data Breach Notification) adalah kewajiban Pengendali Data Pribadi untuk memberitahukan secara tertulis kepada Subjek Data dan lembaga pengawas apabila terjadi kegagalan perlindungan data pribadi (data breach). Kewajiban ini diatur dalam Pasal 46 UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi.
Pemberitahuan harus dilakukan paling lambat 3 x 24 jam sejak diketahuinya kegagalan perlindungan dan minimal memuat informasi tentang: data pribadi yang terungkap, kapan dan bagaimana data terungkap, serta upaya penanganan dan pemulihan yang dilakukan. Notifikasi ini bertujuan agar subjek data dapat mengambil langkah perlindungan diri.
Kegagalan melakukan notifikasi insiden data dapat mengakibatkan sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data, penghapusan atau pemusnahan data, dan/atau denda administratif. Notifikasi insiden merupakan salah satu mekanisme akuntabilitas yang menjadi standar internasional dalam perlindungan data pribadi.
Contoh Kasus
Sebuah platform digital di Indonesia mengalami kebocoran data yang mengekspos data pribadi jutaan penggunanya. Perusahaan melakukan notifikasi insiden kepada Kominfo sebagai lembaga terkait dan memberitahukan seluruh pengguna yang terdampak melalui email dalam waktu 72 jam. Notifikasi memuat jenis data yang terungkap, kronologi kejadian, dan langkah-langkah yang diambil perusahaan.
Sebuah rumah sakit swasta mengalami insiden ransomware yang mengakibatkan data rekam medis pasien terekspos. Rumah sakit wajib memberitahukan insiden kepada pasien yang datanya terdampak dan kepada lembaga pengawas sesuai UU PDP. Notifikasi disertai penjelasan upaya pemulihan dan rekomendasi kepada pasien untuk mengganti password dan mewaspadai potensi penyalahgunaan data.