Pemerintah berupaya terus memperbaiki mekanisme perlindungan data masyarakat di tengah maraknya ancaman serangan dari peretas. Pemerintah tengah merancang sejumlah kebijakan tata kelola perlindungan data pribadi sambil menunggu kelanjutan pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). Lantas, bagaimana dan seperti apa saja arah kebijakan pemerintah dalam tata kelola perlindungan data pribadi ke depan?
Koordinator Tata Kelola Perlindungan Data Pribadi pada Direktorat Tata Kelola Aplikasi Informatika Kemenkominfo, Hendri Sasmita Yudha mengatakan beberapa kondisi PDP di Indonesia yakni meningkatnya pemanfaatan data Pribadi; perkembangan teknologi baru memungkinkan pengumpulan data secara masif dan otomatis; meningkatnya status kasus pelanggaran dan tantangan baru dalam pengawasan.
Selain itu, belum adanya regulasi primer tentang PDP; standar dan praktik PDP beragam dalam implementasinya; level kesadaran publik relatif beragam dan belum merata. “Atas kondisi tersebut, terdapat tiga arah kebijakan yang menjadi konsen pemerintah dalam hal ini Kemenkominfo,” ujarnya dalam sebuah webinar Bootcamp Hukumonline 2021 sesi 3 bertajuk “Memahami Cyber Law, Cyber Crime, dan Strategi Perlindungan Data Pribadi”, Selasa (26/10/2021). (Baca Juga: Tantangan Pembahasan RUU Perlindungan Data Pribadi)
Pertama, inisiasi penguatan regulasi PDP. Dia menerangkan selama ini ada beberapa regulasi yang terkait perlindungan data Pribadi yakni UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE); Peraturan Pemerintah (PP) No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik; Permenkominfo No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik,
Hendri mengatakan terdapat rancangan regulasi yang sedang digarap yakni Rancangan Peraturan Pemerintah (RPP) tentang Pengenaan Denda Administratif. Salah satu alasan pentingnya RPP tersebut, selama ini sanksi yang diatur adanya pelanggaran terhadap penyelenggaraan sistem elektronik berupa teguran hingga pemblokiran.
Pihaknya selama ini sudah banyak memblokir penyelenggara sistem elektronik. Namun sanksi tersebut dirasa kurang efektif. Karena itu, diharapkan dengan adanya sanksi denda dapat meningkatkan kehati-hatian bagi para penyelenggara sistem elektronik dalam penanganan sistem perlindungan data pribadi.
Dia menerangkan rumusan terhadap pengenaan denda administratif berupa jumlah poin pelanggaran x tarif denda. Sedangkan jumlah poin pelanggaran = indeks jenis pelanggaran x maksimum poin x persentase bobot. “Itu kita dorong dan kita sahkan di akhir tahun 2021, mudah-mudahan bisa segera terbit,” kata dia menerangkan.
Kedua, Kemenkominfo sedang mengarah pada penataan ekosistem PDP bagi pejabat petugas perlindungan data (PPPD) atau Data Protection Officer (DPO). Hendri melihat setidaknya lebih dari 10 perusahaan dalam negeri telah menerapkan fungsi DPO sebagai kebutuhan dalam implementasi praktik PDP. Sayangnya, belum adanya parameter kompetensi bagi PPPD-DPO.
Kemudian, terdapat klaim sertifikasi yang diterbitkan lembaga pelatihan yang bakal berpengaruh terhadap quality control PPPD-DPO dan ekosistem secara umum. Selain itu, adanya kewajiban memiliki DPO sebagaimana diatur dalam Pasal 45 ayat (1) draf RUU PDP menyebutkan, “Dalam hal tertentu Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk seorang pejabat atau petugas yang melaksanakan fungsi perlindungan Data Pribadi”.
Sedangkan arah kebijakan ke depannya, berupa penataan ekosistem PPPD-DPO sejak awal menggunakan pendekatan multistakeholders. Kemudian, pentignya penentuan rancangan besar pengembangan profesi PPPD-DPO sesuai karakteristik dan konteks dalam negeri. Tak kalah penting, adanya standar dan kriteria kompetensi dan sertifikasi PPPD-DPO yang diakui secara nasional dan internasional.
Diharapkan, terbentuknya lembaga pelatihan dan sertifikasi yang memenuhi standar dan kriteria yang ditetapkan. Begitu pula fasilitasi inovasi dan teknologi dalam mendorong kesiapan implementasi PDP. “Ada pengawasan dan penindakan atas pelanggaran, serta monitoring dan evaluasi secara berkelanjutan untuk pengembangan ekosistem berikutnya,” ujarnya.
Ketiga, penguatan peran pengawasan dan penegakan hukum. Dia melihat penting penguatan kapasitas instansi pengawas yang memenuhi kriteria dalam penegakan hukum. Seperti memiliki kewenangan berdasarkan regulasi primer yang berlaku di segala sektor, seperti sebagai regulator, pengawas atau penegak aturan. Kemudian, berpengalaman menjalankan tugas dan fungsi terkait penatakelolaan internet dan informasi transaksi elektronik yang berkaitan isu pemanfaatan data pribadi.
Memiliki unsur penegakan hukum, mulai penegakan ketentuan sanksi administratif dan penegakan aturan pidana. Selain itu, memiliki strategi pengembangan berkelanjutan termasuk roadmap Indonesia digital dan rencana strategis terkait PDP. Poin penting lain, diakui dan memiliki reputasi menjalin kerja sama luar negeri, seperti Asean, G20, dan World Economic Forum (WEF). Sementara di dalam negeri telah terbentuk jalur kerja sama dengan kementerian/lembaga lain serta ekosistem industri.
“Telah menjalankan koordinasi antar kementerian/lembaga untuk menjaga ruang siber yang bersih, aman, dan produktif, berkolaborasi dengan ekosistem industri,” ujarnya.
Langkah penerapan PDP
Sementara itu, Pendiri dan Pengurus Asosiasi Praktisi Perlindungan Data Indonesia (APPDI) Muhammad Iqsan Sirie mengatakan arah kebijakan pemerintah dalam tata kelola PDP menarik untuk diketahui publik. Tapi persoalannya, apakah arah kebijakan tersebut bakal ketat, seperti di Eropa atau Singapura yang sudah terlebih dulu memiliki aturan PDP.
“Penjelasan Pak Hendri sangat ambisius, pemerintah membuat aturan strict sesuai international best practice,” ujarnya.
Lebih lanjut Iqsan mengatakan setiap institusi atau instansi penting mengembangkan program PDP. Menurutnya, terdapat 6 langkah dalam penerapan program PDP yang tepat. Pertama, mendapat persetujuan. Kedua, melakukan penataan kantor pribadi. Ketiga, penilaian data. Ketika UU PDP terbit, semua pengendali data pribadi perlu diinventarisir. “Ketika diaudit yang dilakukan regulator bakal dipertanyakan data apa saja yang dimiliki. Jadi sangat memungkinkan mereka akan assessment data,” kata dia.
Keempat, mengembangkan kebijakan dan prosedur. Menurutnya, saat ini banyak perusahaan memasukan data milik karyawan atau pihak ketiga. Bila memasukan data konsumen perlu diketahui konsekuensinya, dan apa yang mesti dilakukan. Bila sudah memiliki standar operasional prosedur (SOP) ini memitigasi kegagalan data pribadi menjadi lebih mudah mengatasinya. “Mereka sudah punya kebijakan prosedur, karena sudah didokumentasikan dengan prosedur yang clear.”
Kelima, pelatihan dan peringatan. Menurutnya banyak terjadi kasus serangan dari pihak ketiga atau hacker yang dapat mengakses kata kunci dalam sistem elektronik karena bisa jadi akibat kelalaian karyawan. Itu sebabnya perlu dilakukan training secara berkala serta peringatan betapa pentingnya melindungi data-data sensitif. Keenam, memantau dan mengaudit program kerja.