2. Miliki SOP Internal Manajemen Keamanan Informasi
Iqsan mengatakan kantor hukum sudah semestinya memiliki Standar Operasional dan Prosedur (SOP) soal manajemen keamanan informasi kliennya. Meskipun belum ada regulasi yang tegas mengatur soal perlindungan data pribadi, kode etik dan prinsip bisnis jasa layanan hukum menuntut perlindungan kerahasiaan data klien terjaga dengan baik.
Lebih jauh lagi, UU Advokat pun sudah menegaskan kewajiban tersebut. Walaupun tidak ada kejelasan sanksi hukum apa bagi pelanggarannya dalam UU tersebut. “Idealnya mereka punya SOP internal perlindungan data pribadi klien,” katanya.
Jika mengacu pada beberapa Permenkominfo seperti Permenkominfo No. 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi dan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, soal adanya SOP semacam itu telah diwajibkan bagi Penyelenggara Sistem Elektronik.
Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik Pasal 5: (1) Setiap Penyelenggara Sistem Elektronik harus mempunyai aturan internal perlindungan Data Pribadi untuk melaksanakan proses sebagaimana dimaksud dalam Pasal 3. (2) Setiap Penyelenggara Sistem Elektronik harus menyusun aturan internal perlindungan Data Pribadi sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya. (3) Penyusunan aturan internal sebagaimana dimaksud pada ayat (1) dan ayat (2) harus mempertimbangkan aspek penerapan teknologi, sumber daya manusia, metode, dan biaya serta mengacu pada ketentuan dalam Peraturan Menteri ini dan peraturan perundang-undangan lainnya yang terkait.
Permenkominfo No. 4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi Pasal 7: (1) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik strategis harus menerapkan standar SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh Instansi Pengawas dan Pengatur Sektornya. (2) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik tinggi harus menerapkan standar SNI ISO/IEC 27001. (3) Penyelenggara Sistem Elektronik yang menyelenggarakan Sistem Elektronik rendah harus menerapkan pedoman Indeks Keamanan Informasi. (4) Ketentuan mengenai pedoman Indeks Keamanan Informasi sebagaimana dimaksud pada ayat (3) diatur dalam Peraturan Menteri. |
Lebih lanjut, Iqsan menggarisbawahi UU ITE menyebutkan kewajiban perlindungan data pribadi oleh Penyelenggara Sistem Elektronik dengan definisi yang kurang spesifik. “Banyak pihak ragu apakah mereka termasuk Penyelenggara Sistem Elektronik atau bukan,” katanya.
Pertanyaan penting yang mungkin mengganjal adalah apakah sebuah firma hukum termasuk dalam kategori Penyelenggara Sistem Elektronik dalam UU ITE?
Kepala Sub-Direktorat Penyidikan dan Penindakan pada Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika (Kemenkominfo), Teguh Arifiyadi, mengatakan kepada hukumonline bahwa selama subjek hukum menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik dilakukan, maka adalah Penyelenggara Sistem Elektronik.