Masa Transisi UU PDP, Kepastian Hukum Tetap Diperlukan

Regulasi lama yang dia maksud adalah Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Dia mencontohkan ketentuan notifikasi ketika terjadi dugaan pelanggaran perlindungan data pribadi. Sesuai Peraturan Menkominfo No 20/2016, notifikasi paling lambat 14 hari setelah kejadian. Sementara sesuai dengan UU PDP, notifikasi dilakukan dalam 3 x 24 jam.

”Pemerintah seharusnya membuat komparasi substansi. Materi ketentuan di regulasi lama seharusnya tidak boleh bertentangan dengan UU PDP. Dengan demikian, warga menjadi punya kepastian hukum,” kata Wahyudi.

Karena mekanisme sanksi atas pelanggaran data pribadi masih akan mengikuti PP No 71/2019 dan Peraturan Menkominfo No 20/2016, Wahyudi menilai daya jera atas perusahaan yang melanggar relatif kurang. Di sisi lain, dia menilai, masa transisi dua tahun jadi tantangan bagi Kemenkominfo untuk membuktikan konsistensinya menegakkan hukum.

Sejak 2019 hingga November 2022, Kemenkominfo menangani 77 kasus dugaan pelanggaran perlindungan data pribadi. Dari jumlah itu, 39 kasus terbukti pelanggaran. Menkominfo Johnny G Plate saat rapat kerja bersama Komisi I DPR di Jakarta, Rabu (23/11/2022), menegaskan, pihaknya tak berdiam diri menyikapi kasus-kasus pelanggaran yang terjadi. Banyak penyelenggara sistem elektronik telah dijatuhi sanksi (Kompas, 24/11/2022).

Dari sisi pengusaha, Executive Vice President Information Technology Security PT BCA Tbk, Lily Wongso, yang ditemui di sela Cybersecurity Masterclass Microsoft Indonesia, mengatakan, sejak awal beroperasi, BCA berkomitmen memproteksi data nasabah. BCA juga telah lama memiliki tim teknologi keamanan siber yang menyerupai dengan data protection officer (DPO), yang diamanatkan oleh UU PDP.

Menurut dia, Otoritas Jasa Keuangan (OJK) juga terus mendorong perbankan meningkatan perlindungan konsumen. Tahun lalu, OJK telah mengeluarkan Peraturan OJK Nomor 6 Tahun 2022 tentang Perlindungan Konsumen dan Masyarakat di Sektor Jasa Keuangan. POJK ini merupakan penyempurnaan terkait market conduct yang mengikat para pelaku jasa keuangan, seperti kewajiban perancangan/pengujian produk dan layanan keuangan untuk menilai potensi risiko kepada konsumen.

”Kami masih mengkaji ketentuan perlindungan data pribadi dari regulasi sektor (dari OJK) dan dari UU PDP. Apalagi ketentuan yang harus kami penuhi atau gap assessment. Terkait amanat DPO, kami juga masih akan lihat isi UU PDP dan apakah tim teknologi keamanan siber yang sudah kami miliki sudah sesuai dengan spesifikasi DPO atau belum,” ujar Lily.

Dia menambahkan, beberapa tahun terakhir, nasabah bank sering mengeluhkan maraknya praktik social engineering atau rekayasa sosial untuk memanipulasi korban guna memperoleh akses informasi pribadi dan data pribadi. Praktik seperti itu umumnya lebih banyak terjadi di media sosial.

”Ribuan kasus per tahun, terutama lewat media sosial. Apabila sasarannya menyasar sistem layanan kami juga, kami sudah terapkan berbagai mekanisme keamanan. Salah satunya melalui biometrik,” imbuh Lily.

Baca juga : UU Pelindungan Data Pribadi Akhirnya Disahkan, Asa Baru Mencegah Kebocoran Data

Senior Vice President Data Protection and Privacy Office GoTo, Leny Suwardi, mengatakan, setahun terakhir, GoTo berupaya memenuhi persyaratan perlindungan data pribadi sesuai yang diamanatkan oleh UU PDP. GoTo bahkan telah membentuk DPO.

Dia menyampaikan pula, setiap usaha GoTo kini memiliki standar keamanan, antara lain sertifikasi ISO 27001 untuk manajemen keamanan informasi, ISO 27701 untuk sistem manajemen informasi privasi, dan Payment Card Industry Data Security Standard untuk standar keamanan data industri kartu pembayaran. GoTo menyelenggarakan pelatihan keamanan data bagi seluruh karyawan, termasuk karyawan baru.

”Jumlah mitra kami telah mencapai 15,1 juta. Bisnis yang kami jalankan pun kompleks karena terdiri dari berbagai jenis layanan yang melibatkan mitra. Kami mengupayakan agar semua ekosistem ini patuh terhadap prinsip-prinsip perlindungan data pribadi,” kata Leny.

Direktur Jenderal Aplikasi Informatika Kemenkominfo Semuel Abrijani Pangerapan mengklaim sudah banyak perusahaan skala besar memenuhi persyaratan DPO. Saat ini, rancangan peraturan pemerintah dan peraturan presiden, turunan dari UU PDP, sedang disusun.

”Panitia antarlembaga penyusun dua regulasi turunan itu sedang dibuat. Kendati demikian, kami mengamati sudah banyak perusahaan sedang merumuskan pembentukan DPO. Apabila dalam dua tahun masa transisi implementasi UU PDP terjadi dugaan pelanggaran perlindungan data pribadi, kami tetap akan terima serta memproses pelaporannya,” paparnya.

Semuel juga menegaskan, pelanggaran perlindungan pribadi akan tetap dikenai sanksi sesuai regulasi yang sudah ada selama dua tahun masa transisi UU PDP. Bentuk sanksinya meliputi peringatan lisan, tertulis, penghentian sementara kegiatan, dan/atau pengumuman di laman.

”Sanksi denda administratif baru berlaku setelah masa transisi selesai. Ada waktu dua tahun bagi perusahaan untuk ’belajar’. Kalaupun ada pelanggaran sekarang, lalu dapat teguran, hal itu juga jadi cara agar mereka memahami pentingnya perlindungan data pribadi,” katanya.

Baca juga : UU PDP: Salah Gunakan Data Pribadi, Korporasi Bisa Dibubarkan