Memang sudah ada klausula baku yang dianggap sebagai persetujuan pemilik data terhadap penggunaan data pribadi oleh pengguna. Namun, kalusula baku tersebut sifatnya tidak fleksibel sehingga tidak memberikan pilihan bagi konsumen untuk memberi izin jenis-jenis data pribadi yang dapat dimanfaatkan. Sehingga, konsumen secara terpaksa menyetujui perjanjian-perjanjian dalam klausula baku tersebut. Kemudian, produsen juga menerbitkan disclaimer atau catatan bahwa pihaknya tidak dapat dituntut atau bertanggung jawab dengan alasan apapun.
Salah satu yang perlu dilakukan untuk mengantisipasi pelanggaran data pribadi yaitu segera mengesahkan Rancangan Undang Undang Pelindungan Data Pribadi (RUU PDP). UU ini dianggap menjadi salah satu cara memberi aturan main yang jelas penggunaan data pribadi yang masih tersebar di berbagai UU tersebut. Namun, hingga saat ini pemerintah bersama DPR tak kunjung mengesahkan RUU PDP tersebut.
Wakil Ketua Yayasan Lembaga Perlindungan Konsumen Indonesia, Sudaryatmo, menyatakan kerentanan perlindungan data pribadi justru hadir dari pengguna data tersebut. Dia menjelaskan ada kasus penggunaan data pribadi oleh salah satu platform untuk kepentingan bisnis di luar negeri. Lalu ada juga pengguna data tersebut menyerahkan data konsumen kepada pihak ketiga. “Pengguna data menyatakan tidak bertanggung jawab seandainya ada pelanggaran hukum. Ini sudah tidak fair dari awal,” jelas Sudaryatmo, Kamis (14/5) dalam satu diskusi daring yang diikuti hukumonline.
Dari pengaduan konsumen dan temuan kasus, Sudaryatmo menjelaskan kesadaran perlindungan data pribadi oleh pengguna data masih belum tinggi. “Kami riset ke 10 bank mengenai privacy policy namun hanya 5 bank yang jawab. Kami juga tidak temukan perusahaan-perusahaan Indonesia punya chief officer dan komit perlindungan data pribadi,” ujar Sudaryatmo. (Baca: Cerita Lebaran dan Pandemi)
Penguatan Sistem Manajemen risiko
Selain dari aspek regulasi, perlindungan data pribadi juga dapat dilakukan melalui penguatan sistem dan manajemen risiko. Sebenarnya, sudah ada standardisasi sistem manajemen keamanan informasi (SMKI), yaitu ISO 27001:2013. Deputi Bidang Penerapan Standar dan Penilaian Kesesuaian Badan Standardisasi Nasional (BSN), Zakiyah, menjelaskan SMKI merupakan pendekatan secara sistematik untuk menetapkan, menerapkan, mengoperasikan, memantau, mengevaluasi, memelihara dan meningkatkan keamanan informasi suatu organisasi untuk mencapai target bisnisnya.
SMKI mencakup kebijakan, prosedur, pedoman atau panduan serta sumber daya dan kegiatan terkait yang dikelola oleh suatu organisasi yang bertujuan untuk melindungi aset informasinya. Sayangnya, jumlah perusahaan yang menerapkan ISO 27001 tersebut masih sedikit. Berdasarkan survey BSN pada 2018 menyatakan baru 175 perusahaan yang menerapkan standar tersebut.
Zakiyah menyayangkan rendahnya kesadaran tersebut karena sudah ada Permenkominfo No.4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi yang mewajibkan penerapan standar tersebut. “Jumlah ini relatif kecil. Ini bisa karena memang kesadarannya rendah dan yang melaporkan sedikit. Padahal sudah diwajibkan melalui Peraturan Menkominfo (Menteri Komunikasi dan Informatika),” ujarnya.