“Asesmen ini dilakukan tak hanya untuk internal, tapi vendor juga. Apakah mereka menjalankan kepatuhan PDP ini? Karena kebocoran data juga terjadi karena kelalaian vendor, maka penting asesmen terhadap vendor,” ujar Raditya.
Keempat, setelah diketahui bagaimana kondisi internal, langkah selanjutnya menentukan kebijakan apa yang akan dibuat terkait PDP. Misalnya, mengatur standar perlindungan data, retensi, dan lainnya. Kelima, setelah ada kebijakan dan prosedur di perusahaan, berikutnya melakukan pelatihan dan peningkatan kesadaran terhadap pentingnya PDP. Bentuk pelatihannya bisa bersifat umum kepada seluruh pekerja dengan materi dasar tentang pentingnya perlindungan data pribadi. Kemudian dapat dilanjutkan dengan pelatihan khusus, misalnya untuk tim marketing.
“Penting juga pelatihan untuk senior management, karena kebocoran juga terjadi karena kelalaian top manajemen karena mereka banyak mengakses data rahasia dan sensitif,” lanjutnya.
Keenam, setelah lima tahap sebelumnya terpenuhi, langkah selanjutnya melakukan monitoring dan kepatuhan agar kebijakan PDP terus berjalan. Misalnya, melakukan monitoring untuk risiko tinggi, seperti pengumpulan data KTP dan lainnya. Monitoring untuk risiko tinggi bisa dilakukan setiap 6 bulan dan untuk risiko rendah dilakukan setiap tahun.
Dalam kesempatan yang sama, Praktisi Hukum Perlindungan Data Pribadi dan pengurus APPDI, Brahmantyo Suryo Satwiko, menegaskan data pribadi penting untuk dilindungi. Pasal 28G UUD NRI Tahun 1945 mengatur setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi. “Pelindungan data pribadi dijamin konstitusi,” tegasnya.
Meski konstitusi menekankan pentingnya perlindungan data pribadi, Brahmantyo mengakui sampai saat ini Indonesia belum memiliki regulasi khusus terkait pelindungan data pribadi. Ketentuan perlindungan data pribadi itu masih tersebar di banyak regulasi. Mengutip kajian Lembaga Studi dan Advokasi Masyarakat (ELSAM), tercatat ada 30 peraturan yang mengatur pelindungan data Pribadi, seperti UU No.24 Tahun 2013 tentang Perubahan Atas UU No.23 Tahun 2006 tentang Administrasi Kependudukan. Beleid itu mendefinisikan data Pribadi sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
Untuk perlindungan data pribadi pada sistem elektronik, Brahmantyo menyebut sedikitnya ada 4 aturan terkait. Pertama, UU No.19 Tahun 2016 tentang Perubahan Atas UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Kedua, PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Ketiga, PP No.80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik. Keempat, Peraturan Menteri Komunikasi dan Informatika No.20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.
Menurut Brahmantyo, keempat peraturan itu yang paling spesifik dan komprehensif untuk saat ini yang mengatur tentang perlindungan data pribadi. Tapi sebagian ketentuan yang diatur dalam peraturan tersebut belum dapat dijalankan dengan baik karena saling bertentangan.