Pemerintah bersama DPR meresmikan UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi pada September 2022 lalu. Selain mengatur sanksi terkait pelanggaran atas data pribadi, UU ini juga mewajibkan untuk menyesuaikan pemrosesan data pribadi berdasarkan UU PDP.
Senior Partner Hermawan Juniarto Deloitte Legal Cornel, Juniarto, mengatakan bahwa UU PDP ditujukan bagi seluruh organisasi maupun para pelaku bisnis di Indonesia untuk menjamin hak perlindungan data mereka. Harapannya, hal ini dapat meningatkan daya saing para pelaku bisnis dalam sektor teknologi serta mendorong pertumbuhan ekonomi digital secara keseluruhan. Selain itu, UU PDP juga akan meninjau setiap organisasi, lembaga, maupun pelaku usaha dalam memastikan data pribadi setiap individu yang tergabung di dalamnya tetap aman dan terjaga.
Walaupun pelaku usaha diberikan batas waktu dua tahun untuk periode transisi untuk mematuhi semua ketentuan terkait pemrosesan data pribadi di masing-masing bidang industri, namun dalam periode tersebut organisasi maupun pelaku bisnis perlu melakukan serangkaian tindakan.
Baca Juga:
- Bedah UU PDP: Akademisi Ingatkan Pentingnya Negara Lindungi Data Pribadi
- Bank Perlu Edukasi Nasabah Terkait Pelindungan Data Pribadi
“Beberapa di antaranya seperti menentukan framework PDP, pembuatan umbrella privacy policy, persiapan kerangka kerja pemrosesan data pribadi sebagai pedoman kepatuhan, dan peninjauah proses data pribadi untuk memastikan kepatuhan UU PDP,” kata Cornel dalam sebuah diskusi PDP di Jakarta, Selasa (24/1).
Director at Deloitte Indonesia Risk Advisory Hendro menerangkan bahwa setiap organisasi/perusahaan/institusi harus meninjau ulang regulasi internal perusahaan selama periode transisi tersebut. Seperti menganalisis UU PDP dengan seksama, meninjau persetujuan dan kontrak terkait pemrosesan data, serta merekrut petugas perlindungan data atau data protection officer (DPO).
Terkait aturan DPO memang belum dijelaskan secara rinci di UU PDP. Namun demikian, lanjut Hendro, jika merujuk pada UU PDP Uni Eropa, DPO merupakan individu yang berdiri sendiri yang melapor langsung kepada manajemen dan bukan merupakan pegawai dari organisasi/perusahaan/institusi. Artinya penyediaan DPO bisa direkrut dari organisasi/perusahaan/firma independen.
Selain itu, dalam penerapan UU PDP disarankan bagi organisasi/perusahaan/institusi untuk mengimplementasi Data Privacy Management (DPM) yang komprehensif dan terintegrasi. Penerapan DPM tidak jarang dilakukan secara manual, seperti wawancara antara auditor internal dengan database administrator (DBA) atau dengan pemilik data.
“Hal ini dapat menimbulkan beberapa masalah, mulai dari solusi yang kurang mencakup banyak permasalahan, rentan terhadap faktor human eror, hingga ketidakmampuan dalam mengikuti perkembangan regulasi PDP,” jelas Hendro.
Menurut Hendri terdapat empat kunci implementasi UU PDP bagi dunia bisnis. Pertama, persetujuan subjek data adalah kunci akses data. Perusahaan yang melakukan pemrosesan data pribadi harus mendapatkan persetujuan yang sah secara tegas dari Subjek Data Pribadi melalui surat persetujuan yang sah.
Kedua, menghormati hak subyek data.Undang-Undang PDP memungkinkan Subjek Data Pribadi untuk menggunakan haknya atas data pribadi yang dimilikinya, seperti melakukan pembetulan, penghapusan, pemusnahan, dan pencabutan persetujuan atas pengolahan data pribadinya.
Ketiga, memperhatikan kewajiban pengontrol data. Kewajiban Pengontrol Data Pribadi, misalnya untuk menunjukkan bukti persetujuan dari Subjek Data Pribadi, untuk merekam semua aktivitas pemrosesan data pribadi, melindungi dan memastikan keamanan data pribadi, serta menyampaikan legalitas, tujuan, dan relevansi pemrosesan Data Pribadi. data pribadi.
Keempat, memperhatikan ketentuan pidana dan denda atas pelanggaran data pribadi. Atas kelalaian perusahaan dalam mengolah Data Pribadi, UU PDP mengatur ketentuan pidana hingga denda yang harus dipenuhi oleh perusahaan.