Data pribadi mencakup informasi yang dapat mengidentifikasi individu secara langsung atau tidak langsung. Contohnya meliputi nama, alamat, nomor telepon, alamat email, dan nomor identitas. Keamanan data pribadi sangat penting untuk melindungi privasi individu. Di era industri 4.0, perusahaan sering mengumpulkan dan menyimpan data pribadi. Misalnya, ketika Anda mendaftar layanan, Anda akan diminta NIK, alamat, dan nomor telepon. Penyedia layanan memiliki kewajiban menjaga data pribadi ini dengan baik, tidak menggunakannya untuk kepentingan lain, dan tidak menyebarkannya kepada pihak lain.

Bagaimana jika perusahaan atau organisasi menggunakan data pribadi tanpa persetujuan pemiliknya? Biasanya, ketika Anda mendaftar atau menggunakan layanan online, Anda melihat “Syarat & Ketentuan.” Di dalamnya, terdapat ketentuan tentang penggunaan data pribadi yang Anda berikan. Dengan menyetujui “Syarat & Ketentuan,” Anda mengizinkan perusahaan menggunakan data pribadi Anda sesuai dengan yang disebutkan di sana. Namun, jika data pribadi Anda digunakan untuk tujuan yang tidak kita izinkan dan tidak tercantum dalam “Syarat & Ketentuan,” Anda berhak menuntut perusahaan tersebut.

Tapi bagaimana kalau perusahaan/organisasi tersebut diretas oleh penjahat siber dan data pribadi Anda dicuri dan disebarluaskan? Apakah Anda memiliki hak untuk menuntut perusahaan/organisasi tersebut?

Undang-Undang Pelindungan Data Pribadi (UU PDP)

Pada tahun 2022, pemerintah mengeluarkan Undang-Undang Nomor 27 tentang Pelindungan Data Pribadi (UU PDP). UU ini mengatur tentang jenis data pribadi, pemrosesan, pengendalian, sanksi, dan sengketa. Tujuannya adalah melindungi data pribadi agar tidak jatuh ke tangan yang salah. Sayangnya, kesadaran masyarakat tentang privasi masih rendah, dan kasus penyalahgunaan data jarang terungkap. Oleh karena itu, pemerintah mengeluarkan payung hukum untuk memastikan perusahaan dan organisasi lebih peduli dalam mengamankan data pribadi.

Isi pasal-pasal dalam UU PDP terkadang ambigu, sehingga memerlukan penafsiran yang tepat agar perusahaan atau organisasi memenuhi kewajiban perlindungan data pribadi. Meskipun saat ini belum ada panduan resmi, berikut beberapa hal yang perlu diperhatikan oleh pemegang data pribadi:

  1. Miliki Standard Operating Procedure (SOP), dokumentasi, dan tata kelola yang jelas saat memproses data pribadi, serta lakukan tinjauan rutin. Standarisasi operasional penting agar kualitas pekerjaan tetap konsisten.
  2. Kontrol akses ke data pribadi dan awasi pihak yang terlibat dalam pemrosesan.
  3. Rekam setiap langkah pemrosesan dan akses data sebagai bukti, baik dalam bentuk log maupun tangkapan layar.
  4. Terapkan sistem keamanan untuk mencegah peretasan data pribadi selama pemrosesan, seperti perlindungan siber pada endpoint dan jaringan.
  5. Kelola risiko saat memproses data yang berisiko tinggi dan gunakan teknologi pendukung.
  6. Lakukan audit berkala untuk memastikan semua pihak mematuhi dan menjalankan kelima poin di atas.

Perlu dipahami maksud dari kegiatan pemrosesan data pribadi meliputi:

  • Pengumpulan
  • Pengolahan/penganalisisan
  • Penyimpanan
  • Perbaikan
  • Pengumuman/penampilan/penyebarluasan
  • Penghapusan
Salinan halaman pertama UU PDP

Sanksi Yang Dikenakan

Apa akibatnya kalau perusahaan/organisasi pemroses data pribadi tidak mematuhi aturan hingga menyebabkan data yang tersimpan bocor ke publik? Pada UU PDP terdapat pasal yang mengatur "hukuman" sanksi administratif terhadap pelanggaran yang dilakukan perusahaan/organisasi pemroses data pribadi. Sanksi administratif berupa peringatan tertulis, penghentian kegiatan pemrosesan, penghapusan data pribadi hingga denda administratif sebesar dua persen dari pendapatan tahunan atau penerimaan tahunan dari variabel pelanggaran.

Sanksi akan diberikan kepada perusahaan/organisasi yang tidak menerapkan  UU PDP baik itu dengan tidak mengimplementasikan solusi, ketidakpatuhan terhadap persyaratan, atau kealpaan dalam menjalankan solusi yang telah diterapkan.

Itu sebabnya, setelah menerapkan UU PDP, penting untuk melakukan pelatihan secara berkala kepada setiap individu yang terlibat dalam pemrosesan data agar tidak terjadi kelalaian karena tidak mengikuti SOP.

Kendala Yang Dihadapi

Hingga saat ini, belum ada lembaga pemerintah yang mengawasi pelaksanaan UU PDP. Keterlambatan pembentukan lembaga pengawas ini mengakibatkan belum ada panduan resmi untuk mematuhi UU PDP. Perusahaan besar dengan staf keamanan IT mungkin memiliki pengetahuan yang cukup dan mampu menerapkan UU PDP secara mandiri. Tetapi bagi yang tidak memiliki staf keamanan IT akan mengalami kesulitan menafsirkan pasal-pasal untuk mematuhi UU PDP dan dalam mencari solusi yang tepat.

Dengan waktu yang semakin pendek, bagi perusahaan/organisasi yang melakukan pemrosesan data, ada baiknya untuk mempercepat proses penerapan UU PDP. Menghubungi konsultan eksternal yang kompeten adalah langkah yang baik untuk pendampingan, memastikan solusi yang diterapkan sesuai dengan peraturan. Solusi dan aplikasi yang sesuai dengan kebutuhan dan ramah anggaran bagi perusahaan kecil dan menengah pun telah banyak tersedia sehingga anggaran perusahaan tidak bisa dijadikan alasan.

Semakin cepat Anda mematuhi UU PDP maka dapat memberikan reputasi yang baik di mata pelanggan Anda. Apalagi jika kompetitor Anda belum memenuhi persyaratan dalam penerapan UU PDP.