Sukses

UU PDP Dalam Proses Transisi, Industri Harus Mitigasi Risiko Kegagalan Perlindungan Data Pribadi

Rancangan Peraturan Pemerintah tentang Peraturan Pelaksana terhadap Pelindungan Data Pribadi (RPP PDP) masih dalam proses pembahasan oleh pemerintah menyusul telah disahkannya Undang-Undang Pelindungan Data Pribadi (UUPDP).

 

Liputan6.com, Jakarta Rancangan Peraturan Pemerintah tentang Peraturan Pelaksana terhadap Pelindungan Data Pribadi (RPP PDP) masih dalam proses pembahasan oleh pemerintah menyusul telah disahkannya Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UUPDP).

RPP PDP tersebut merupakan panduan untuk terciptanya ekosistem perlindungan data pribadi yang lebih handal dan keberlakuannya dapat mencakup seluruh pihak baik itu pengendali data pribadi maupun prosesor data dalam sektor pemerintah maupun swasta.

“RPP PDP masih dalam proses membahasan. Intinya, bahwa pengaturan UU PDP dan PP PDP bertujuan mengantisipasi risiko pemrosesan data pribadi, bukan untuk menghukum pengendali atau prosesor data pribadi, atau menambahkan pendapatan negara,” papar Bhredipta Socarana, Tenaga Ahli Dirjen Aptika Kementerian Kominfo dikutip Kamis (28/9/2023).

Selain itu, pengaturan UU PDP dan PP PDP bertujuan untuk pengembangan ekosistem. Dalam hal ini, ekosistem Pelindungan Data Pribadi masih terus dikembangkan, dan membutuhkan kontribusi dari seluruh pemangku kepentingan terkait.

“Jadi kalau ada syarat dan masukan, bisa terus dilakukan audensi atau masukan tertuis ke Kominfo. Terutama jika ada pertanyaan mangapa pasalnya banyak, hingga 245 pasal, yang sejatinya ini memberikan kesempatan pengaturan lebih spesifik bagi Kementrian/Lembaga,” ungkap Bhredipta.

Dia menjelaskan, selain pertimbangan legal normatif, yakni perintah 10 Pasal dalam UU PDP dan kebutuhan penjabaran ketentuan dalam UU PDP secara lebih spesifik, posisi PP PDP yang berada di level peraturan menengah (antara UU dan Peraturan Kementrian/Lembaga) memberikan ruang untuk menghadirkan keseragaman pengaturan lintas sektor.

Sementara pertimbangan praktis menurut Bhredipta, PP PDP memperkuat implementasi prinsip pelindungan data pribadi dalam kegiatan pemrosesan data pribadi untuk tata kelola pelindungan data pribadi yang harmonis. Juga mempertimbangkan risiko pemrosesan data pribadi oleh pengendali data pribadi sesuai cakupan kegiatan pemrosesan data pribadi yang dilakukan.

 

2 dari 3 halaman

Keseimbangan

Hal lain, melalui PP PDP akan menghadirkan keseimbangan pengaturan hubungan antara subjek data, pengendali, dan prosesor. Hal ini mencakup kewajiban penyediaan informasi terkait pemrosesan data pribadi. Keseimbangan posisi subjek data dan pengendali data melalui pengaturan kewajiban permintaan persetujuan dan hak penolakan pemrosesan dalam kondisi tertentu.

Kejelasan pengaturan Hubungan antara Pengendali dan Prosesor termasuk mekanisme pengawasan. Baseline seragam pelaksanaan kewajiban Pengendali dan Prosesor.

Dan juga memberikan ruang bagi pengendali dan prosesor dalam tata kelola pemrosesan data pribadi.Bhredipta menambahkan, ketentuan RPP PDP tidak hanya merujuk pada EU GDPR (European Union General Data Protection Regulation), namun pada berbagai peraturan dan practice di dalam dan luar negeri. Ada kombinasi pemahaman teori dan praktik terkait pelaksanaan PDP sehingga PP PDP dapat langsung menjadi playbook bagi pihak terkait.

“Kami juga mempertimbakan kondisi akses pengetahuan terkait PDP dan potensi dampaknya dalam pemahaman terkait PP PDP di Indonesia,” pungkasnya.

Partner K&K Advocates Danny Kobrata menjelaskan, UU PDP saat ini masih dalam masa transisi dua tahun, sehingga saat ini adalah waktu yang tepat untuk mempelajari dengan melakukan komparasi terhadap praktik yang berkembang di Indonesia dan di dunia internasional.

“Terlebih telah terjadinya kasus-kasus kebocoran data di Indonesia atau kasus penggunaan data pribadi yang dilakukan oleh pihak-pihak yang tidak bertanggung jawab,“ ungkap Danny.

 

 

 

3 dari 3 halaman

Kebocoran Data Pribadi

Denny mengingatkan bahwa kebocoran data yang terus terjadi hingga saat ini tidak hanya dialami perusahaan kecil, tetapi juga perusahaan besar yang sejatinya memiliki resources untuk menanggulangi kebocoran data. Indonesia menurutnya sangat rentan mengalami kebocoran data pribadi. Maka mengapa penting bagi perusahaan untuk memastikan tidak menjadi korban kebocoran data pribadi.

“Pertama dampaknya ke reputasi perusahaan karena konsumen semakin sadar akan pentingnya data pribadi mereka. Kedua dampak pada risiko potensi sanksi hukum sanksi administratif, perdata, dan pidana. Kalau nanti telah diputuskan, denda administratif itu hingga 2% dari total pendapatan tahunan (masih dalam pembahasan), lalu denda perdata-pidana bisa sampai 60 miliar,” jelasnya.

Danny pun memberi tips bagaimana meminimalkan risiko hukum dalam pelanggaran data pribadi. Tentu yang pertama adalah mematuhi kewajiban hukum. Dalam hal ini perusahaan harus mematuhi standar keamanan, memelihara SOP yang berkaitan dengan keamanan siber, dan melakukan pemberitahuan kepada regulator jika terjadi pelanggaran.

“Patuhi saja kewajiban hukum yang berlaku, karena perusahaan tidak selalu harus bertanggung jawab jika terjadi pelanggaran data. Namun, perusahaan harus menunjukkan upaya serius dalam penanganan kebocoran data seperti regular training, pembentukan tim penanggulangan kebocoran data, dan melakukan penanganan kebocoran dengan cepat,” jelas Danny.

Danny menyebutkan kegagalan pelindungan data pribadi mencakup penghancuran, perubahan, kehilangan, akses, dan pengungkapan data pribadi yang melanggar hukum.

Sementara jenis-jenis kegagalan perlindungan data pribadi antara lain kegagalan sistem Teknologi Informasi, kesalahan manusia, serangan ransomware, “Cukup banyak karena human error, ada pegawai yang tidak hati-hati dalam mengoperasikan komputer, menggunakan device pribadi untuk pekerjaan kantor, dll,” sebutnya.