Perkembangan teknologi digital semakin pesat berpotensi menimbulkan dampak yang perlu diantisipasi terutama untuk kalangan dunia usaha. Sebab, ada potensi kebocoran data pribadi yang dikelola perusahaan, mitra rekanan perusahaan, atau lembaga yang pernah terjadi belakangan terakhir.
Pendiri sekaligus pengurus Asosiasi Praktisi Pelindungan Data Pribadi (APPDI), Raditya Kosasih, mengatakan upaya untuk melakukan pelindungan data pribadi (PDP) sangat penting, apalagi bagi perusahaan. Bagi perusahaan hal ini bukan hanya terkait kepatuhan terhadap aturan terkait perlindungan data pribadi, tapi juga dapat mendongkrak tingkat daya saing perusahaan.
“Perusahaan yang berupaya melindungi data pribadi akan mendapat kepercayaan publik. Bisa meningkatkan daya saing perusahaan, sehingga mendorong kepercayaan bukan hanya dari pengguna, tapi juga investor,” kata Raditya Kosaih dalam Bootcamp Hukumonline 2021 sesi 2 bertajuk “Memahami Cyber Law, Cyber Crime, dan Strategi Perlindungan Data Pribadi,” Kamis (21/10/2021) lalu. (Baca Juga: Dua Ketentuan Perlindungan Data Pribadi Ini Dinilai Sulit Dilaksanakan)
Raditya menerangkan pelaksanaan program perlindungan data Pribadi untuk mencegah kebocoran data pribadi di perusahaan bisa dimulai dengan 6 langkah. Pertama, getting buy-in, yakni melihat apakah perlu persetujuan para pimpinan perusahaan dan pemangku kepentingan terkait untuk melaksanakan program PDP di perusahaan.
“Ini penting karena terkait anggaran dan kegiatan yang berkaitan dengan berbagai departemen di perusahaan. Langkah awal ini penting untuk meyakinkan internal perusahaan akan pentingnya PDP,” kata dia.
Kedua, structuring the privacy office, dengan cara membentuk gugus tugas atau tim kecil. Menurut Raditya, bentuknya bisa disesuaikan dengan bentuk organisasi perusahaan apakah terpusat? Sehingga hanya butuh satu tim saja atau jika perusahaannya besar dan berada di banyak wilayah berarti bentuk tim sifatnya desentralisasi.
Ketiga, data assessment, tim yang telah terbentuk itu melakukan penilaian terhadap kondisi saat ini ada di perusahaan. Melakukan penelusuran data di perusahaan dan vendor. Kemudian pemetaan untuk mengidentifikasi risiko. Mengutip RUU PDP, Raditya melihat ada ketentuan yang mengatur pengendali data pribadi yang wajib merekam seluruh pemrosesan data pribadi.
“Asesmen ini dilakukan tak hanya untuk internal, tapi vendor juga. Apakah mereka menjalankan kepatuhan PDP ini? Karena kebocoran data juga terjadi karena kelalaian vendor, maka penting asesmen terhadap vendor,” ujar Raditya.
Keempat, setelah diketahui bagaimana kondisi internal, langkah selanjutnya menentukan kebijakan apa yang akan dibuat terkait PDP. Misalnya, mengatur standar perlindungan data, retensi, dan lainnya. Kelima, setelah ada kebijakan dan prosedur di perusahaan, berikutnya melakukan pelatihan dan peningkatan kesadaran terhadap pentingnya PDP. Bentuk pelatihannya bisa bersifat umum kepada seluruh pekerja dengan materi dasar tentang pentingnya perlindungan data pribadi. Kemudian dapat dilanjutkan dengan pelatihan khusus, misalnya untuk tim marketing.
“Penting juga pelatihan untuk senior management, karena kebocoran juga terjadi karena kelalaian top manajemen karena mereka banyak mengakses data rahasia dan sensitif,” lanjutnya.
Keenam, setelah lima tahap sebelumnya terpenuhi, langkah selanjutnya melakukan monitoring dan kepatuhan agar kebijakan PDP terus berjalan. Misalnya, melakukan monitoring untuk risiko tinggi, seperti pengumpulan data KTP dan lainnya. Monitoring untuk risiko tinggi bisa dilakukan setiap 6 bulan dan untuk risiko rendah dilakukan setiap tahun.
Dalam kesempatan yang sama, Praktisi Hukum Perlindungan Data Pribadi dan pengurus APPDI, Brahmantyo Suryo Satwiko, menegaskan data pribadi penting untuk dilindungi. Pasal 28G UUD NRI Tahun 1945 mengatur setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi. “Pelindungan data pribadi dijamin konstitusi,” tegasnya.
Meski konstitusi menekankan pentingnya perlindungan data pribadi, Brahmantyo mengakui sampai saat ini Indonesia belum memiliki regulasi khusus terkait pelindungan data pribadi. Ketentuan perlindungan data pribadi itu masih tersebar di banyak regulasi. Mengutip kajian Lembaga Studi dan Advokasi Masyarakat (ELSAM), tercatat ada 30 peraturan yang mengatur pelindungan data Pribadi, seperti UU No.24 Tahun 2013 tentang Perubahan Atas UU No.23 Tahun 2006 tentang Administrasi Kependudukan. Beleid itu mendefinisikan data Pribadi sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
Untuk perlindungan data pribadi pada sistem elektronik, Brahmantyo menyebut sedikitnya ada 4 aturan terkait. Pertama, UU No.19 Tahun 2016 tentang Perubahan Atas UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Kedua, PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Ketiga, PP No.80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik. Keempat, Peraturan Menteri Komunikasi dan Informatika No.20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.
Menurut Brahmantyo, keempat peraturan itu yang paling spesifik dan komprehensif untuk saat ini yang mengatur tentang perlindungan data pribadi. Tapi sebagian ketentuan yang diatur dalam peraturan tersebut belum dapat dijalankan dengan baik karena saling bertentangan.