Kedua, ada perbedaan pengaturan terkait retensi atau penyimpanan data antara PP No.80 Tahun 2019 dan PP No.71 Tahun 2019. Ketentuan PP No.71 Tahun 2019 mengatur pemrosesan data pribadi dimusnahkan dan/atau dihapus, kecuali masih dalam masa retensi. Tapi, PP No.80 Tahun 2019 mengatur data bisa dihapus jika ada permintaan dari pemilik data sekalipun masa retensi belum berakhir.
“Beberapa ketentuan itu mengawang, tidak jelas sehingga sulit diimplementasikan,” kata Brahmantyo.
Untuk itu, RUU PDP diharapkan dapat mengatasi persoalan dalam pengaturan pelindungan data pribadi di Indonesia. Sayangnya pembahasan RUU PDP di DPR, Brahmantyo melihat mengalami deadlock terutama terkait isu otoritas lembaga pengawas data pribadi.
Standar keamanan
Salah satu pendiri APPDI, Raditya Kosasih, mengatakan pelindungan data pribadi sangat penting karena kerap menjadi sasaran kejahatan siber. Pelindungan data pribadi ini berkaitan dengan hak atas privasi. Hak atas privasi meliputi berbagai hak yang dimiliki individu. Pelindungan data pribadi itu mengenai akses terhadap informasi pribadi. Misalnya, menentukan informasi pribadi apa yang boleh dan tidak boleh untuk diakses.
“Misalnya data keuangan saya, bagaimana agar orang tidak bisa mengakses itu karena itu privasi saya, ini terkait pelindungan data pribadi,” ujarnya mencontohkan.
Mengacu Pasal 1 angka 29 PP No.71 Tahun 2019 menyebut data pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non elektronik.
Raditya mengatakan ada standar keamanan yang harus diterapkan untuk melindungi data pribadi. Hal tersebut menjadi tanggung jawab pihak yang mengelola data pribadi. Pelindungan itu misalnya mencegah akses ilegal terhadap data pribadi yang disimpan. “Ini tanggung jawab perusahaan, (lembaga pengawas, red) pengendali data pribadi untuk mencegah terjadinya kebocoran data pribadi,” imbuhnya.