Masa transisi penerapan UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) bakal berlaku pada 2024 mendatang. Masa transisi tersebut bertujuan agar dunia usaha selaku pengendali dan prosesor data mempersiapkan strategi pelindungan data pribadi yang sesuai dengan UU 27/2022 Termasuk merumuskan cara dunia usaha melindungi data pribadi konsumen.
Pakar pelindungan data pribadi dari Asosiasi Praktisi Pelindungan Data Indonesia (APPDI) Eryk Budi Pratama menerangkan sejumlah langkah yang mesti ditempuh perusahaan agar berjalan efektif dan efisien dalam hal proteksi data pribadi. Menurutnya UU 27/2022 memberikan amanat secara umum pelindungan data namun tidak berupa panduan teknis.
Setidaknya di tahap awal, perusahaan perlu membuat tiga hal. Pertama, kerangka kerja. Kedua, poin-poin implementasi. Ketiga, matriks pelaksanaan PDP. Nah ketiga hal tersebut dapat mengacu pada standar yang telah ada seperti ISO 27001:2022 dan ISO 27002:2022 serta aturan terkait lainnya.
Dia menyampaikan pentingnya perusahaan memantau kepatuhan internal terhadap aturan-aturan pelindungan data pribadi tersebut. Jika masih terdapat kekurangan dalam kepatuhan maka perusahaan harus memenuhinya sesuai dengan regulasi dan standar yang berlaku. Setelah itu, perusahaan harus memperhatikan risiko-risiko munculnya pelanggaran terhadap pelindungan data pribadi.
“Kalau enggak tahu kontrolnya maka enggak bisa justify resikonya,” ujarnya saat menjadi narasumber dalam diskusi bertema ‘Masterclasss Pelindungan Data Pribadi: Menguasai Teori, Regulasi, dan Implementasi’, Selasa (4/7/2023).
Baca juga:
- Melihat Prinsip dan Dasar Pemrosesan Data Pribadi
- 8 Prinsip Hak Privasi dalam Aturan Pelindungan Data Pribadi
Aspek penting lainnya, soal perekaman setiap aktivitas bisnis yang menggunakan data pribadi atau record of processing activities (ROPA). Dalam UU 27/2022 mengharuskan pengendali data pribadi melakukan perekaman terhadap semua kegiatan pemrosesan data pribadi. Nah, perekaman aktivitas tersebut berisikan informasi seperti nama dan kontak lengkap pengendali maupun perwakilan pengendali atau petugas perlindungan data pribadi.