Tips pertama yang diberikan Iqsan untuk pelaku usaha agar aman dari masalah hukum adalah melakukan audit keamanan data. “Audit apa saja jenis data pribadi yang rutin dikumpulkan dan disimpan oleh perusahaan. Ada tiga proses disini sampai nanti lihat apa saja kewajiban yang belum dilaksanakan,” kata Iqsan.
Proses audit ini bisa dilakukan sendiri misalnya dengan memeriksa apa saja jenis data pribadi yang rutin dikumpulkan, untuk tujuan penggunaan apa, bagaimana cara pengumpulannya, disimpan dimana, siapa saja yang bisa mengaksesnya, serta untuk berapa lama.
(Baca Juga: Sanksi yang Bisa Dikenakan ke Facebook Terkait Bocornya Data Pengguna di Indonesia)
Menurut Iqsan, jauh lebih baik jika ada satu unit khusus yang bertanggung jawab penuh soal perlindungan data pribadi termasuk melakukan proses audit ini. “Perlu juga memiliki data inventory yang mencatat arus keluar masuk data dalam perusahaan,” tambahnya.
Tips kedua adalah memiliki sistem kepatuhan perlindungan data pribadi. Bentuknya berupa adanya aturan kebijakan privasi(privacy policy) bagi pelanggan, prosedur operasional baku perlindungan data di internal perusahaan (internal data protection policy), dan perjanjian dengan pihak ketiga yang membantu pengolahan data.
“Privacy policy dan internal data protection policy dua dokumen berbeda. Yang satu client-facing, untuk pemilik data pribadi soal bagaimana kita gunakan datanya. Sedangkan internal itu untuk SOP perusahaan,” katanya.
Privacy policy ini memang tidak diwajibkan Permenkominfo Perlindungan Data Pribadi. Namun menurut Iqsan sangat penting ada. Perlu diperhatikan isinya tidak boleh mengabaikan tiga hal yaitu ada ketegasan pembatasan penggunaan data pribadi untuk tujuan spesifik, mudah dipahami pemilik data, dan tidak ada pengalihan tanggung jawab pelaku usaha. Dan yang terpenting bahwa privacy policy ini benar-benar disajikan sejelasnya kepada pemilik data untuk disetujui di awal pengumpulan data.
Sedangkan internal data protection policy dimandatkan oleh pasal 5 Permenkominfo Perlindungan Data Pribadi.