Mengingat adanya risiko hukum atau sanksi bagi perusahaan yang tidak menjaga keamanan dan kerahasiaan data yang dimiliki. ke depannya, kontrol dan alat keamanan siber yang kuat perlu diperhatikan lebih untuk memastikan pemenuhan perusahaan atas upaya menjaga data pribadi.
Sebagai bagian dari salah satu hak asasi manusia yang harus dilindungi, pelindungan data pribadi menjadi aspek yang tidak dapat dikesampingkan begitu saja. Mengingat teknologi yang semakin masif berkembang hingga membuat berbagai transaksi dan kegiatan dapat dilakukan secara online dengan memerlukan data pribadi pengguna. Karena itu, perlindungan data pribadi menjadi isu yang makin hangat dibincangkan.
“Kalau bicara pelindungan data pribadi dengan cyber security (keamanan siber) sebetulnya dua hal berbeda. Tapi tujuannya sama, untuk melindungi data pribadi, melindungi sistem. Nah, UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) memuat kewajiban terkait keamanan data, termasuk langkah mitigasinya apa saja,” terang Partner K&K Advocates Danny Kobrata dalam diskusi bertajuk “Corporate Insight: Strengthening PDP Law Governance Through Cybersecurity” yang diselenggarakan oleh Telkomsigma, di Jakarta, Rabu (15/5/2024).
Perihal kewajiban pemrosesan data pribadi termuat dalam BAB VI UU PDP yang ditujukan kepada pengendali data pribadi dan prosesor data pribadi. Di antara kewajiban pengendali data pribadi, misalnya termasuk mencegah data pribadi diakses secara tidak sah. Pasal 39 ayat (2) UU PDP berbunyi, “Pencegahan sebagaimana dimaksud pada ayat (1) dilakukan dengan menggunakan sistem keamanan terhadap Data Pribadi yang diproses dan/atau memproses Data Pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab”.
Danny melanjutkan hadirnya UU PDP yang akan mulai berlaku pada Oktober 2024 mendatang ini seyogyanya diperhatikan seksama oleh perusahaan. Pasalnya, terdapat risiko hukum bagi perusahaan yang tidak menjaga keamanan dan kerahasiaan data yang dimiliki. Kontrol dan alat keamanan siber yang kuat perlu diberikan atensi lebih ke depannya untuk memastikan pemenuhan perusahaan atas upaya menjaga data pribadi.
“Supaya tidak gampang dibobol, kalau begitu artinya salah satu aspek penting UU PDP sudah dapat terpenuhi perusahaan. Ada kewajiban perusahaan harus secara umum menjaga keamanan dan kerahasiaan data pribadi, tapi tidak terlalu teknis (mengenai alat keamanan siber). Di Peraturan BSSN ada aturan mengenai harus sertifikasi dan sebagainya, itu salah satu cara memastikan comply dengan aturan keamanan siber. Kalau technical itu di serahkan ke perusahaan masing-masing.”
Dalam hal terjadi kegagalan Pelindungan Data Pribadi, UU PDP telah mengatur langkah demi langkah yang harus dilakukan perusahaan. Bagi Pengendali Data Pribadi, wajib menyampaikan pemberitahuan secara tertulis selambat-lambatnya 3 x 24 jam kepada Subjek Data Pribadi dan lembaga sebagaimana tertuang dalam Pasal 46 ayat (1) UU PDP. Dalam hal tertentu, pengendali data pribadi diharuskan memberitahu masyarakat mengenai kegagalan perlindungan data pribadi.
Selanjutnya pengendali data pribadi wajib bertanggung jawab terhadap pemrosesan data pribadi dengan menunjukkan pertanggungjawaban terhadap pemenuhan kewajiban pelaksanaan prinsip perlindungan data pribadi tersebut. Perlu diketahui, kegagalan pelindungan data pribadi dimaknai sebagai kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, yang mengarah pada kerusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi.
“Sanksinya apa? Itu ada administratif, perdata, atau bahkan pidana kalau memang masuk dalam ranah pidana. Yang sering ditanyakan, bagaimana kalau perusahaan sudah berupaya sebaik mungkin mencegah kegagalan dalam perlindungan data pribadi, tapi tetap terjadi kebocoran? Ini isu hukum yang cukup menarik. Kapan perusahaan bisa salah? Kalau perusahaan itu tidak melakukan upaya apapun untuk comply dengan UU PDP, tidak punya SOP, tidak melakukan kewajiban, wajar kalau bocor,” ujarnya.
Akan tetapi, bila perusahaan sudah melaksanakan segala kewajiban yang disyaratkan oleh UU PDP dalam rangka menjaga keamanan data pribadi pengguna. Hal tersebut akan diketahui dalam investigasi dari pihak berwajib. “Ketika diperiksa akan bisa kita lihat, mereka sudah berupaya melindungi data (atau belum sesuai UU PDP, red). Saya kira ini pentingnya cyber security di situ, dari sisi hukum untuk menjaga kepatuhan terhadap aturan dan mendemonstrasikan ke pihak yang melakukan pemeriksaan (kalau perusahaan sudah berupaya).”
Dalam seminar yang dimoderatori oleh General Counsel/VP Legal & Compliance Telkomsigma, Reza Topobroto itu juga menghadirkan salah satu pengurus Indonesian Corporate Counsel Association (ICCA) Wahyu Setiawan sebagai pembicara. Iwan ikut mengamini esensialitas bagi perusahaan patuh terhadap ketentuan-ketentuan yang termuat dalam UU PDP. Sehubungan dengan itu, In-House Counsel sebagai pemberi nasihat hukum bagi perusahaan kini tak lagi sebatas berkutat dengan UU No. 40 Tahun 2007 tentang Perseroan Terbatas (UU PT) semata, tetapi juga mau tak mau menggali UU PDP.
“Dengan adannya UU PDP ini memunculkan kepastian hukum bahwa cara main pelindungan data pribadi di Indonesia itu begini. Ini juga membuka peluang dan kesempatan baru di dunia industri. Biasanya In-House Counsel heavy di UU PT, sekarang juga masuk UU PDP. Mau tak mau, apalagi kalau industrinya berkaitan dengan teknologi atau pemrosesan data publik.”
Wahyu juga mengungkapkan bahwa ICCA sendiri tengah membawa misi untuk mendorong posisi In-House Counsel agar dapat duduk dalam diskusi pengambilan keputusan di perusahaan. Termasuk dalam kaitannya dengan pemrosesan data pribadi dalam hal ini, untuk itu akan dihadirkan sejumlah program yang diharapkan dapat semakin membekali para lawyer internal perusahaan pada pemahaman lingkup PDP.
Sependapat dengan Danny, ia pun menilai penting bagi perusahaan agar menunjukkan kesungguhannya menjaga data pribadi yang dimiliki. Seperti dengan membuat kebijakan (berupa SOP atau semacamnya) terkait dengan pelindungan data pribadi, pengadaan alat untuk melindungi data pribadi dari kebocoran, dan lain sebagainya.
Sumber:
No comments:
Post a Comment