Kepatuhan Pelaku Usaha dari Berbagai Skala Bisnis jadi Tantangan
Ada kemungkinan PSE skala kecil ingin mematuhi prinsip perlindungan data pribadi, tetapi tidak memiliki kecukupan sumber daya. Dana yang mereka punya diprioritaskan untuk kebutuhan lain, seperti permodalan usaha.
Oleh
MEDIANA
·5 menit baca
JAKARTA, KOMPAS — Rancangan Undang-Undang Pelindungan Data Pribadi disetujui disahkan menjadi undang-undang. Hal ini mendapat sambutan positif pelaku usaha. Tantangannya kemudian adalah memastikan agar pelaku usaha penyelenggara sistem elektronik, terutama skala rintisan dan kecil menengah, bisa lekas menyesuaikan dan patuh dengan ketentuan undang-undang.
Wakil Kepala Badan Ekosistem Ekonomi Digital Bidang Kebijakan Publik Kamar Dagang dan Industri (Kadin) Indonesia Zacky Zainal Husein mengatakan, pelaku usaha sebenarnya sudah lama meminta Undang-Undang Perlindungan Data Pribadi (UU PDP) sebagai kepastian hukum perlindungan data di ranah bisnis digital. Konsekuensinya, mereka siap menyesuaikan ketentuan-ketentuan yang ada dalam UU PDP.
“UU PDP melahirkan ekosistem baru, yaitu hak warga sebagai subyek data, pengendali, dan pemroses data. Pelaku usaha yang menyimpan dan menggunakan data secara masif harus mempunyai sistem kantor perlindungan data pribadi atau data protection officer (DPO). Dua tahun ini memang masa transisi yang ‘sibuk’ bagi pelaku usaha,” ujar Zacky saat dihubungi Selasa (20/9/2022), di Jakarta.
Selama masa transisi itu, lanjut Zacky, Kadin Indonesia akan melakukan edukasi dan sosialisasi kepada para pelaku usaha lain. Kadin Indonesia juga akan membantu asistensi pelaku usaha untuk meningkatkan kapasitas mereka agar bisa patuh terhadap UU PDP.
Dia menambahkan, Kadin Indonesia menilai pelaku usaha termasuk pemangku kepentingan paling besar yang terdampak UU PDP. Oleh karena itu, Kadin Indonesia berharap pemerintah melibatkan mereka saat proses penyusunan dan pembahasan peraturan turunan UU PDP.
Wakil Ketua Umum Asosiasi Praktisi Perlindungan Data Pribadi Danny Kobrata saat dihubungi terpisah, berpendapat, isu perlindungan data pribadi baru mengemuka beberapa tahun terakhir di Indonesia. Sementara di negara lain, seperti Uni Eropa, regulasi perlindungan data pribadi telah muncul sejak 1990-an.
“Wajar jika masih banyak pelaku usaha di Indonesia belum familiar dengan prinsip-prinsip perlindungan data pribadi. Ada perusahaan teknologi berskala besar cenderung lebih sadar, punya sumber daya, dan mereka berani membayar pengacara untuk proses kepatuhan prinsip-prinsip perlindungan data pribadi,” ujar dia.
Situasi berbeda dengan perusahaan penyelenggara sistem elektronik (PSE) berskala lebih kecil atau usaha mikro, kecil, dan menengah (UMKM), serta usaha rintisan. Ada kemungkinan mereka ingin berkomitmen mematuhi prinsip-prinsip perlindungan data pribadi, tetapi mereka tidak memiliki kecukupan sumber daya. Dana yang mereka punya diprioritaskan untuk kebutuhan lain, seperti permodalan usaha.
Oleh karena itu, Danny menilai bahwa peran pemerintah penting. Pemerintah harus aktif memberikan sosialisasi dan edukasi kepada pengusaha PSE berskala UMKM dan usaha rintisan.
Hal senada disampaikan oleh Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat Wahyudi Djafar. Untuk memastikan kepatuhan PSE berskala UMKM dan usaha rintisan, pemerintah yang juga pengendali dan pemroses data harus memberikan asistensi kepada mereka.
“Perbankan dan jasa keuangan lainnya mungkin lebih dulu menegakkan standar perlindungan data pribadi karena Otoritas Jasa Keuangan lebih awal mendorong kepatuhan. Nah, bagaimana dengan sektor usaha lain? Kementerian Koperasi dan UKM bisa membantu mereka melaksanakan UU PDP,” ujar Wahyudi.
Menurut Wahyudi, dalam konteks kewajiban pengendali dan pemroses data, dia menilai ada ketimpangan antara PSE publik dan PSE privat. UU PDP cenderung lebih berat porsinya mengatur PSE privat.
Lalu, UU PDP tidak memberikan gradasi kepatuhan kepada pelaku usaha. Dengan kata lain, kewajiban pengendali dan pemroses data di semua tingkatan/skala usaha adalah sama. Tantangannya adalah memastikan kepatuhan PSE privat di setiap skala usaha melaksanakan UU PDP.
“Kami harap, saat menyusun peraturan pelaksana UU PDP, pemerintah mencermati hal itu sehingga akhirnya mau membagi gradasi kepatuhan antara PSE privat skala UMKM, rintisan, dan besar terhadap kewajiban pengendali ataupun pemroses data. Hal ini akan membantu saat penyusunan peraturan turunan khusus sanksi pelanggaran UU PDP,” ujar dia.
Ketentuan mengenai sanksi denda atas pelanggaran pemrosesan data pribadi disarankan juga perlu diukur dengan memperhatikan keluasan spektrum valuasi dan omset industri di Indonesia. Adapun salah satu peraturan perundang-undangan yang bisa dirujuk pemerintah dalam situasi ini adalah UU No 20/2008 tentang UMKM. UU ini telah menetapkan batas kriteria terhadap empat jenis usaha yang terbagi atas usaha mikro (omzet maksimal Rp 300 juta), usaha kecil (omzet maksimal Rp 2,5 miliar), usaha menengah (omzet maksimal Rp. 50 miliar), dan usaha besar (omzet di atas Rp 50 miliar).
Kesetaraan
Terkait keputusan kesetaraan hukum dengan negara lain, Wahyudi berpendapat setiap negara memiliki regulasi berbeda. Sebagai contoh, Uni Eropa melalui General Data Protection Regulation (GDPR) meminta otoritas independen pengawas perlindungan data pribadi. Sementara di Indonesia, UU PDP mengamanatkan otoritas pengawas perlindungan data pribadi di bawah presiden.
“Apabila pemerintah Indonesia memiliki perjanjian dengan pemerintah negara lain, ini bisa dipakai mendorong kesetaraan transfer data internasional. ASEAN telah memiliki ASEAN Data Management System yang mengacu pada klausul standar kontraktual GDPR Uni Eropa. Indonesia bisa menggunakan itu,” kata Wahyudi.
Sementara Danny menyampaikan, setiap negara yang sudah mempunyai peraturan perundang-undangan perlindungan data pribadi memiliki tim yang memeriksa aturan tiap negara. Di Uni Eropa juga. Apabila Indonesia memiliki level yang dianggap setara, Uni Eropa akan memasukkan Indonesia dalam white list.
“Perusahaan teknologi multinasional yang memiliki pasar di Indonesia harus patuh dengan UU PDP dan regulasi perlindungan data pribadi dari negara asalnya. Dengan adanya UU PDP ini, seluruh peraturan perlindungan pribadi yang sudah ada sebelumnya dan bersifat sektoral akan mengikuti UU PDP. Artinya, perusahaan multinasional harus siap kerja keras melakukan penyesuaian-penyesuaian mengikuti ketetapan di UU PDP,” ujar dia.