JAKARTA, Stabilitas.id – Pemerintah temgah membahas Rancangan Peraturan Pemerintah tentang Peraturan Pelaksana terhadap Pelindungan Data Pribadi (RPP PDP) menyusul telah disahkannya Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UUPDP).
RPP PDP tersebut merupakan panduan untuk terciptanya ekosistem perlindungan data pribadi yang lebih handal dan keberlakuannya dapat mencakup seluruh pihak baik itu pengendali data pribadi maupun prosesor data dalam sektor pemerintah maupun swasta.
“RPP PDP masih dalam proses membahasan. Intinya, bahwa pengaturan UU PDP dan PP PDP bertujuan mengantisipasi risiko pemrosesan data pribadi, bukan untuk menghukum pengendali atau prosesor data pribadi, atau menambahkan pendapatan negara,” papar Bhredipta Socarana, Tenaga Ahli Dirjen Aptika Kementerian Kominfo dalam seminar dengan tema “Data Breach Management – Pelindungan Data Pribadi dan Pengelolaan Krisis Kebocoran Data” di Jakarta, Rabu (27/9/2023).
BERITA TERKAIT
Selain itu, pengaturan UU PDP dan PP PDP bertujuan untuk pengembangan ekosistem. Dalam hal ini, ekosistem Pelindungan Data Pribadi masih terus dikembangkan, dan membutuhkan kontribusi dari seluruh pemangku kepentingan terkait.
“Jadi kalau ada syarat dan masukan, bisa terus dilakukan audensi atau masukan tertuis ke Kominfo. Terutama jika ada pertanyaan mangapa pasalnya banyak, hingga 245 pasal, yang sejatinya ini memberikan kesempatan pengaturan lebih spesifik bagi Kementrian/Lembaga,” ungkap Bhredipta.
Dia menjelaskan, selain pertimbangan legal normatif, yakni perintah 10 Pasal dalam UU PDP dan kebutuhan penjabaran ketentuan dalam UU PDP secara lebih spesifik, posisi PP PDP yang berada di level peraturan menengah (antara UU dan Peraturan Kementrian/Lembaga) memberikan ruang untuk menghadirkan keseragaman pengaturan lintas sektor.
Sementara pertimbangan praktis menurut Bhredipta, PP PDP memperkuat implementasi prinsip pelindungan data pribadi dalam kegiatan pemrosesan data pribadi untuk tata kelola pelindungan data pribadi yang harmonis. Juga mempertimbangkan risiko pemrosesan data pribadi oleh pengendali data pribadi sesuai cakupan kegiatan pemrosesan data pribadi yang dilakukan.
Hal lain, melalui PP PDP akan menghadirkan keseimbangan pengaturan hubungan antara subjek data, pengendali, dan prosesor. Hal ini mencakup kewajiban penyediaan informasi terkait pemrosesan data pribadi. Keseimbangan posisi subjek data dan pengendali data melalui pengaturan kewajiban permintaan persetujuan dan hak penolakan pemrosesan dalam kondisi tertentu. Kejelasan pengaturan Hubungan antara Pengendali dan Prosesor termasuk mekanisme pengawasan. Baseline seragam pelaksanaan kewajiban Pengendali dan Prosesor. Dan juga memberikan ruang bagi pengendali dan prosesor dalam tata kelola pemrosesan data pribadi.
Bhredipta menambahkan, ketentuan RPP PDP tidak hanya merujuk pada EU GDPR (European Union General Data Protection Regulation), namun pada berbagai peraturan dan practice di dalam dan luar negeri seperti di Amerika. Namun ada kombinasi pemahaman teori dan praktik terkait pelaksanaan PDP sehingga PP PDP dapat langsung menjadi playbook bagi pihak terkait. “Kami juga mempertimbakan kondisi akses pengetahuan terkait PDP dan potensi dampaknya dalam pemahaman terkait PP PDP di Indonesia,” pungkasnya.
Mitigasi Risiko
Danny Kobrata – Partner K&K Advocates di kesempatan yang sama menjelaskan, UU PDP saat ini masih dalam masa transisi dua tahun, sehingga saat ini adalah waktu yang tepat untuk mempelajari dengan melakukan komparasi terhadap praktik yang berkembang di Indonesia dan di dunia internasional.
“Terlebih telah terjadinya kasus-kasus kebocoran data di Indonesia atau kasus penggunaan data pribadi yang dilakukan oleh pihak-pihak yang tidak bertanggung jawab,“ ungkap Danny.
Denny mengingatkan bahwa kebocoran data yang terus terjadi hingga saat ini tidak hanya dialami perusahaan kecil, tetapi juga perusahaan besar yang sejatinya memiliki resources untuk menanggulangi kebocoran data. Indonesia menurutnya sangat rentan mengalami kebocoran data pribadi.
Maka mengapa penting bagi perusahaan untuk memastikan tidak menjadi korban kebocoran data pribadi.
“Pertama dampaknya ke reputasi perusahaan karena konsumen semakin sadar akan pentingnya data pribadi mereka. Kedua dampak pada risiko potensi sanksi hukum sanksi administratif, perdata, dan pidana. Kalau nanti telah diputuskan, denda administratif itu hingga 2% dari total pendapatan tahunan (masih dalam pembahasan), lalu denda perdata-pidana bisa sampai 60 miliar,” jelasnya.
Danny pun memberi tips bagaimana meminimalkan risiko hukum dalam pelanggaran data pribadi. Tentu yang pertama adalah mematuhi kewajiban hukum. Dalam hal ini perusahaan harus mematuhi standar keamanan, memelihara SOP yang berkaitan dengan keamanan siber, dan melakukan pemberitahuan kepada regulator jika terjadi pelanggaran.
“Patuhi saja kewajiban hukum yang berlaku, karena perusahaan tidak selalu harus bertanggung jawab jika terjadi pelanggaran data. Namun, perusahaan harus menunjukkan upaya serius dalam penanganan kebocoran data seperti regular training, pembentukan tim penanggulangan kebocoran data, dan melakukan penanganan kebocoran dengan cepat,” jelas Danny.
Danny menyebutkan kegagalan pelindungan data pribadi mencakup penghancuran, perubahan, kehilangan, akses, dan pengungkapan data pribadi yang melanggar hukum. Sementara jenis-jenis kegagalan perlindungan data pribadi antara lain kegagalan sistem Teknologi Informasi, kesalahan manusia, serangan ransomware.
“Cukup banyak karena human error, ada pegawai yang tidak hati-hati dalam mengoperasikan komputer, menggunakan device pribadi untuk pekerjaan kantor, dll,” sebutnya.
Prinsip Transparansi
Prof. Dr. Sinta Dewi, S.H., LL.M. (Guru Besar Hukum Pelindungan Data Pribadi dan Ketua Cyber Law Centre Universitas Padjajaran) dalam kesempatan yang sama menegaskan bahwa Indonesia saat ini telah berpartisipasi dalam ekonomi digital global. Maka satu prinsip utama adalah kepercayaan dalam menjaga akuntabiltias, transparasi data privacy.
“Saya lebih suka menggunakan istilah data privacy, karena data pribadi masuk dalam data privacy. Kita sudah memilki regulasi ini, setelah menempuh jalan yang panjang. Dan sekarang Indonesia menjadi negara ke 166 yang memiliki UU PDP,” tegas Prof Sinta.
UU PDP menjadi sangat penting mengingat dalam perjanjian bisnis atau perdangan lintas negara, data privacy menjadi salah satu syarat utama yang spesifik. Maka, lanjut Prof. Sinta, dari prespektif akademis, Indoesia harus memiliki standar yang sama dengan negara lain dalam hal perlindungan data pribadi.
“Saat kita menyusun naskah akademik RUU PDP, kita melihat Afrika sudah mempunyai UU PDP, padahal penetrasi internetnya masih rendah, lalu di Asean ada Malaysia menjadi yang pertama, diikuti Singapur, dan Thailand, lalu Indonesia kapan? Maka kami menilai kita perlu satu perlindungan tentang data pribadi,” urai Prof Sinta.
Maka, ketika UU PDP hadir, menurut Prof. Sinta regulasi data pribadi ini tidak hanya berupa norma, tetapi tentang efektifitas. Dalam hal ini, soal tata kelola yang harus baik. Sebab dalam industri, kepercayan dan reputasi menjadi taruhan.
“Prinsip ini harus diapliksi dalam bisnis. Karena berbicara hukum teknologi, prinsip tranparansi, akuntabilitas, kepercayan harus dijaga. Apalagi dalam iklim ekonomi digital. Kita masih berkutat soal personal data, negara lain sudah bicara soal AI. Maka harus segera direspon. Karena AI ada impact kepada data pribadi,” jelas Prof Sinta, yag juga Guru Besar pertama di Bidang Perlindungan Data Pribadi.
Justisiari P. Kusumah – Managing Partner K&K Advocates mengungkapkan harapanya bahwa perkembangan perlindungan data pribadi semakin baik dengan haridnya Prof Sinta. “Kami dari K&K terlibat dalam pembahasan UU data pribadi sejak dalam bentuk naskah akademik bersama Prof Sinta. Dan sampai saat ini dalam pembahasan RPP PDP, kami juga memberikan masukan kepada pemerintah. Ini komitmen kami untuk terlibat aktif dalam perkembangan hukum di Indonesia,” jelasnya.
Justisiari juga berharap, melalui seminar ini, dapat memberikan gambaran dan pemahaman yang lebih baik mengenai aturan implementasi yang melengkapi pengesahan UU PDP beberapa waktu lalu. Dan tentunya dengan dilaksanakannya seminar ini diharapkan para pemangku kepentingan dapat memperoleh informasi bagaimana praktik standar dan pengawasan yang dilakukan oleh Kominfo dan atau lembaga pengawas yang segera dibentuk oleh pemerintah. ***