tirto.id - Setelah disahkan pada 20 September tahun 2022, Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, selanjutnya ditulis UU PDP, bakal diimplementasikan per Oktober mendatang.
UU PDP lahir dari usulan Kementerian Komunikasi dan Informatika (Kominfo). Embrionya adalah Peraturan Menteri (Permen) Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Permen tersebut ditetapkan pada 7 November 2016, lalu diundangkan dan berlaku mulai 1 Desember 2016.
Dalam konteks penerapan UU PDP, negara memberi waktu 2 tahun bagi pengendali data pribadi, prosesor data pribadi, hingga pihak lain yang berkaitan dengan pemrosesan data pribadi untuk beradaptasi. Selama masa itu pula mereka dituntut untuk mempelajari dan menyiapkan hal-hal teknis terkait implementasi agar Standar Operasional Prosedur di setiap institusi, baik sektor publik maupun privat, sesuai dengan ketentuan UU PDP.
Sebelum UU PDP disahkan, ketentuan mengenai pelindungan data pribadi “berserakan” di lebih dari 30 aturan, antara lain UU Nomor 23 Tahun 2006 tentang Administrasi Kependudukan serta UU No 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). Kini, dengan muatan yang lebih rigid dan komprehensif, terdiri atas 16 bab dan 76 pasal, UU PDP menjadi payung utama pelindungan data pribadi di Indonesia.
16 bab dalam UU PDP meliputi Ketentuan Umum, Asas, Jenis Data Pribadi, Hak Subjek Data Pribadi, Pemrosesan Data Pribadi, Kewajiban Pengendalian Data Pribadi dan Prosesor Data Pribadi Dalam Pemrosesan Data Pribadi, Transfer Data Pribadi, Sanksi Administratif, Kelembagaan, Kerja Sama Internasional, Partisipasi Masyarakat, Penyelesaian Sengketa dan Hukum Acara, Larangan Dalam Penggunaan Data Pribadi, Ketentuan Pidana, Ketentuan Peralihan, dan Ketentuan Penutup.
Sejak masih berbentuk embrio, beleid soal pelindungan data pribadi, sebagaimana tecermin dalam istilah itu sendiri, dibentuk untuk mengatasi permasalahan kebocoran data pribadi di Indonesia.
Di era digital, kebocoran data adalah ancaman nyata. Riset perusahaan asal Belanda Surfshark menempatkan negara kita pada urutan ke-8 dalam hal kebocoran data terbesar di dunia sepanjang Januari 2020-Januari 2024. Jumlah kebocoran data di Indonesia dalam kurun tersebut mencapai 94,22 juta akun, sedangkan secara global mencapai 3,96 miliar akun.
Di jagad digital, data pribadi seperti nama lengkap, alamat surel, kata sandi, dan nomor telepon adalah nyawa. Sekali data Anda bocor, Anda berisiko menjadi korban kejahatan siber. Untuk itu, keberadaan payung hukum yang menjamin pelindungan atas data pribadi segenap masyarakat Indonesia menjadi signifikan.
Belajar dari GDPR
UU PDP menjadikan General Data Protection Regulation (GDPR) yang berlaku di Uni Eropa sebagai referensi utamanya. Sebelum GDPR disahkan, kira-kira tahun 2016, pemerintah Inggris, misalnya, lebih dulu menyusun dan menerapkan Data Protection Act. Dua tahun kemudian, barulah GDPR berlaku, lantas disalin oleh pemerintah Indonesia menjadi UU PDP.
Dalam hal implementasi, baik GDPR maupun UU PDP sama-sama tidak mudah, sama-sama kompleks. Pengendali dan prosesor data pribadi tidak hanya dituntut memiliki sistem dan teknologi yang mampu melacak kebocoran data pribadi, tapi juga mencegahnya. Jangkauan GDPR bahkan berdampak pada kondisi bisnis seluruh dunia. Penyebabnya, selain mengharuskan semua anggota Uni Eropa patuh pada standar GDPR, aturan ini juga harus ditaati oleh institusi-institusi di luar Uni Eropa yang punya layanan barang/jasa atau bermitra dengan badan usaha di Eropa guna memenuhi kebutuhan penduduk Uni Eropa.
Di Indonesia, lebih khusus lagi dalam konteks perbankan, implementasi UU PDP juga mewajibkan hal serupa. Pelindungan data pribadi tidak hanya menjadi kewajiban perusahaan atau pengendali dan prosesor data pribadi, misalnya Maybank, tapi juga menjadi tanggung jawab perusahaan lain yang menjadi rekanan atau pihak ketiga.
Karenanya, di samping memastikan bahwa sistem internal sudah sesuai dengan UU PDP, Maybank juga harus memastikan bahwa semua pihak yang menjalin kerjasama punya pemahaman dan komitmen yang sama terkait pelindungan data pribadi.
Di Maybank, hal pertama yang dilakukan untuk mengimplementasikan UU PDP adalah sosialisasi guna meningkatkan kesadaran akan pentingnya UU PDP ini. Bahkan, peraturan yang terkait dengan data pribadi jenjangnya dinaikkan dari Peraturan Direktur (Perdir) menjadi Peraturan Perusahaan(Perpur).
Dengan Perpur tersebut, Maybank menekankan pentingnya data pribadi, apa itu data pribadi, siapa saja subjek yang terdampak UU PDP maupun yang mesti dilindungi. Selama enam bulan, sosialisasi dilakukan kepada SDM Maybank lewat berbagai cara, mulai dari sosialisasi daring, menyebarluaskan materi e-learning, hingga menggelar pelatihan dan simulasi. Seluruh jajaran, dari direksi hingga karyawan pelaksana, mengikuti sosialisasi ini.
Seiring sosialisasi dilakukan, sistem maupun rencana ke depan pun disusun lebih detail. Dengan sistem yang terukur, perusahaan mampu melihat siapa saja pengguna data pribadi, kapan data tersebut digunakan, apa saja otoritas yang dia miliki. Maybank juga melakukan pencatatan Record of Processing Activities (ROPA), pencatatan semua proses dan aktivitas yang masih berjalan di Maybank, serta Data Protection Impact Assesment (DPIA) yang menitikberatkan dampak pelindungan data.
Kemudian, Maybank juga akan menerapkan sistem peringatan dini, early warning system, ketika terjadi hal yang seharusnya tidak boleh dilakukan. Sistem itu akan memberi notifikasi yang mengindikasikan adanya pelanggaran. Inilah mitigasi risiko dari pelaku industri untuk menutup celah pelanggaran serapat mungkin.
Sanksi dan Keuntungan Membayangi
Berdasarkan Pasal 57 UU PDP, pihak-pihak yang terbukti melanggar dapat dikenai sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan denda administratif.
Adapun sanksi administratif berupa denda administratif paling tinggi sebesar 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Perusahaan yang bertanggung jawab tentu tidak ingin melanggar hukum, apalagi sampai dikenai sanksi. Hukuman sekecil apa pun berdampak terhadap kepercayaan publik, dan kepercayaan publik adalah harga mati dalam industri perbankan.
Selain itu, penalti bagi para pelanggar juga besar sekali, 2% dari revenue perusahaan. Belum lagi ancaman kurungan badan dan denda kira-kira Rp6 miliar lebih, tergantung kasusnya. Bicara soal sanksi, apalagi yang sifatnya ancaman pidana, aturan dalam UU PDP menjadi tantangan tersendiri.
Saat sebuah perusahaan dilaporkan terkait dugaan terjadinya pelanggaran pelindungan data pribadi, mereka harus memberi jawaban atau klarifikasi. Di Inggris, perusahaan diberi waktu 30 hari untuk menyiapkan argumen. Sedangkan di Indonesia, jawaban dikirim selambat-lambatnya 3x24 jam. Dalam tempo sesingkat itu, perusahaan yang dilaporkan mesti menyiapkan pengacara, menyiapkan bahan tulisan, menyiapkan media, termasuk mediasinya.
Dengan ikut aturan main pemerintah, bukan hanya industri yang diuntungkan–sebab terhindar dari denda dan penalti, misalnya–tapi juga nasabah dan SDM di dalam industri itu sendiri. Bagaimanapun, pengguna data pribadi bukan hanya nasabah, tapi termasuk orang-orang di dalam perusahaan. Siapa mereka, di mana alamatnya, bagaimana riwayat transaksinya, semua harus mendapatkan pelindungan yang sama.
Dalam kurun dua tahun, mengimplementasikan UU PDP bukanlah perkara mudah. Selain sosialisasi dan mengoptimalkan proses, teknologi yang digunakan juga harus disesuaikan, tentu saja biayanya tidak murah. Pada saat bersamaan, aturan turunan dari UU PDP juga belum ada. Perusahaan mesti meraba-raba sendiri–langsung berdasarkan Undang-Undang–urusan teknis soal bagaimana UU PDP dilaksanakan.
Tenggat waktu untuk menyesuaikan diri dengan UU PDP tinggal satu pekan lagi. Di balik semua usaha yang sudah dilakukan sejauh ini, ada kemudahan dan keuntungan yang kelak didapat karena mengimplementasikan UU PDP. Menerapkan UU PDP berarti mengantisipasi perilaku merugikan seperti phising, hacking, penipuan, pencurian data hingga transaksi palsu/ilegal yang umumnya bersumber pada penyalahgunaan data pribadi.
Dalam konteks perbankan, semua tindakan tersebut jelas-jelas merugikan nasabah dan pihak perbankan sendiri, sebab berdampak pada kredibilitas dan reputasi. Jika semua itu teratasi, bukan hanya kepercayaan publik yang meningkat, tapi juga faktor inklusi dan literasi keuangan. Kedua hal itu berdampak positif pada pertumbuhan sektor perbankan, fondasi bagi bisnis berkelanjutan. [Jeda]
*) Isi artikel ini menjadi tanggung jawab penulis sepenuhnya.