Akhirnya kabar baik berhembus dari gedung parlemen. DPR berencana akan mensahkan Rancangan Undang-undang Perlindungan Data Pribadi (PDP) yang telah lama kita nantikan. Mengapa saya sebut demikian? Karena memang dokumen ini telah mangkrak lama di meja parlemen sejak 17 Desember 2019, dan baru dibahas maraton sejak Maret 2022.
Lebih ngebut lagi karena banyaknya kasus pembobolan data, terutama data pribadi yang marak dalam beberapa bulan ini. Seolah menjadi pemacu para anggota parlemen untuk mempercepat proses ini. Dan hari ini tiba, semoga benar disahkan.
Bila kita melihat progress ini, maka kita selaku pelaku usaha harus memperhatikan beberapa hal :
Pertama, penggunaan data pribadi milik orang lain dalam usaha kita. UU PDP nanti mengatur banyak hal terkait ini. UU PDP sendiri mengadopsi dari GDPR yang lebih dulu diterapkan di Eropa dan global, dan beberapa hal disesuaikan dengan kondisi kita di Indonesia.
Kenali dulu apa itu DATA PRIBADI sebagai data tentang orang perseorangan yangteridentifikasi atau dapat diidentifikasi secara tersendiri ataudikombinasi dengan informasi lainnya baik secara langsung maupuntidak langsung melalui sistem elektronik atau nonelektronik. Data pribadi ini adalah data pribadi spesifik dan umum. Data spesifik seperti yang kita lihat di kasus buka data Bjorka dimana ada data umum (nama hingga alamat) sedangkan data spesifiknya adalah data vaksin.
Kedua, dalam UU PDP banyak menyebutkan SUBJEK DATA PRIBADI, yang merupakan orang perseorangan yang pada dirinyamelekat Data Pribadi tadi diatas. Selain itu, bila kita mengumpulkan data pribadi orang lain, maka disebut sebagai PENGENDALI DATA PRIBADI, dan yang memproses data pribadi itu disebut sebagai PROSESOR DATA PRIBADI.
Ketiga, dalam setiap pengumpulan data pribadi, PENGENDALI harus mendapatkan persetujuan dari SUBJEK (baca: dari orang) yang punya data pribadi. Maka mulai sekarang jangan mengisi FORM sembarangan, terutama menggunakan form umum seperti google form, bila tidak ada pernyataan dari pengumpul atau pengendali data pribadinya.
Selain persetujuan juga harus ada terkait pemenuhan KEWAJIBAN atas subjek data pribadi. Jadi pastikan ada informasi akan digunakan untuk apa data pribadi kita, dan harus tercantum dalam form yang kita isi.
Apakah kita sudah punya landasan hukum terkait hal diatas, sejujurnya belum. Selain harapan kita di UU PDP yang menjadi pondasi untuk turunan landasan hukum lainnya, mungkin sektoral. Terutama finansial yang telah sangat siap terkait PDP ini.
Keempat, Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi. Apakah sudah ada aturannya? Saat ini juga belum, sehingga bisa terjadi kelalaian dalam pertanggungjawaban ini.
Data yang diambil, diproses lalu keluar ke publik tanpa sepengetahuan pengendali data pribadi. Maka perlu aturan pendukung terkait ini. Bagaimana seharusnya mereka bertanggung jawab.
Kelima, tingkat keamanan (maturity) yang masih rendah. Pemahaman ‘melindungi data pribadi’ ini juga harus dilengkapi dengan assessment atas kondisi keamanan masing-masing pengendali dan pemproses data pribadi. Dengan adanya assessment ini maka kita bisa memaksa agar perusahaan / instansi mencapai level keamanan tertentu, barulah layak dianggap baik untuk mengelola data pribadi.
Keenam, data pribadi kita untuk apa. Rights to be inform, ini menjadi salah satu hal penting, tapi di UU PDP kita belum jelas mengatur bagaimana kita diberitahu soal data pribadi kita untuk apa.
Ketujuh, apa yang bisa kita lakukan? Lengkapi diri kita tentang pemahaman mengenai pentingnya data pribadi, termasuk data pribadi konsumen atau pelanggan kita. Banyak pelatihan dan akreditasi terkait privasi data telah tersedia di Indonesia.
Data Protection Officer (DPO) / Pejabat Perlindungan Data Pribadi (PPDP) dan Lembaga Pengawas Perlindungan Data Pribadi / Data Protection Authority (DPA) sedang dipersiapkan Kominfo, dan mungkin juga nantinya instansi lainnya, seperti BSSN atau mungkin lembaga baru bentukan Pengawas PDP.
Pastikan kita mengerti benar pemahaman dasar dalam UU PDP ini, karena kita nanti bisa menantikan peraturan turunan lainnya dari PDP ini, dan mungkin saja berdampak ke bisnis kita. Tapi mulai dari sekarang, mari waspada. Lihat setiap pengumpulan data yang ada, serta pastikan ini tidak melanggar UU PDP yang disahkan.
Semoga kondisi keamanan data pribadi di negara kita semakin baik dari waktu ke waktu. Mari dukung bersama.
Halo Sobat Siber..
Webinar Road To National Cybersecurity Connect (NCC) 2022 dengan tema “Protecting the Data, Protecting the Future” merupakan salah satu agenda penting dalam rangkaian kegiatan menuju National Cybersecurity Connect 2022.
Berikut surat undangan dan rundown acara yang dapat diunduh
Sehubungan dengan hal tersebut, kami bermaksud mengundang Bapak/Ibu untuk hadir pada:
Hari & Tanggal : Rabu, 21 September 2022
Waktu : 09.00 – 12.00 WIB
Platform : Zoom Live Streaming
Informasi lebih lengkap dapat Bapak/Ibu temukan pada surat undangan resmi yang kami lampirkan.
Untuk konfirmasi kehadiran, silakan melakukan registrasi pada link berikut
Besar harapan kami atas kehadiran Bapak/Ibu pada acara tersebut. Demikian undangan ini kami sampaikan, kami ucapkan terima kasih.
Salam,
National Cybersecurity Connect 2022