Undang-Undang Pelindungan Data Pribadi (“UU PDP”) akan secara efektif menerapkan semua kewajiban dan sanksi administratif pada bulan Oktober 2024, kurang lebih 7 bulan lagi. Pertanyaan untuk semua Pengendali Data dan Prosesor Data, apakah sudah siap untuk comply? Penerapan UU PDP tidak hanya sebatas melihat substansi dari pasal per pasal di dalamnya.

Namun, penafsiran kontrol / pengendalian atas pasal per pasal yang efektif sangat dibutuhkan untuk memastikan bahwa pengendalian tersebut relevan dengan organisasi, mudah diterapkan, dan dapat memitigasi risiko dari seluruh pemrosesan data pribadi yang sesuai dengan prinsip-prinsip pelindungan data pribadi dalam UU PDP.

Sumber: Analisis Penulis

Berkaca pada risiko-risiko PDP yang timbul dari pelanggaran PDP di Eropa, hal tersebut akan berpotensi relevan dengan kondisi di Indonesia setelah UU PDP efektif diberlakukan pada Oktober 2024 nanti. Saat ini, kasus pelanggaran PDP di Indonesia masih didominasi oleh pelanggaran keamanan (security breach) yang disebabkan oleh kerentanan praktik keamanan informasi/siber. Setelah Oktober 2024 nanti, ada potensi bahwa jumlah pelanggaran PDP yang disebabkan oleh ketidakpatuhan terhadap prinsip-prinsip PDP dan ketidakcukupan dalam penerapan dasar pemrosesan akan meningkat. Prediksi penulis bahwa di tahun 2025 nanti, minimal 5% dari total pelanggaran PDP disebabkan oleh kedua faktor tersebut, dengan catatan Lembaga Pengawas PDP sudah terbentuk.

Terdapat beberapa jenis pelanggaran PDP lainnya yang terjadi di Eropa. Dari hal tersebut, penulis mengidentifikasi beberapa tantangan bagi organisasi yang muncul akibat dari potensi pelanggaran PDP.

1. Dibutuhkan waktu yang lama untuk dapat melakukan identifikasi dan merekam semua aktivitas pemrosesan data pribadi (namun hal ini tergantung dari ukuran dan kompleksitas proses bisnis organisasi)
2. Pemahaman yang baik dalam menentukan secara tepat dasar pemrosesan (legal basis) mana yang dapat digunakan untuk pemrosesan data pribadi tertentu
3. Belum terdapatnya panduan teknis implementasi PDP oleh Lembaga Pengawas PDP, membuat organisasi masih ragu dan/atau bingung untuk menafsirkan prinsip-prinsip PDP ke dalam pengendalian berbasis risiko yang tepat
4. Masih banyak yang menganggap bahwa PDP adalah hal yang sama dengan Keamanan Informasi, meskipun keduanya memiliki irisan
5. Peningkatan biaya untuk peningkatan kapabilitas keamanan Informasi/siber
6. Menerapkan mekanisme yang jelas dan efektif dalam pemenuhan hak subjek data
7. Peningkatan kapabilitas dalam penanganan insiden pelanggaran PDP/span>
8. Kompetensi dan pengalaman tim internal yang akan bertindak sebagai Data Protection Officer (DPO) atau Petugas/Pejabat Pelindungan Data Pribadi (PPDP)

Dari daftar tantangan di atas, umumnya yang menjadi fokus awal dari organisasi adalah terkait penunjukan DPO. Sesuai dengan Pasal 53 ayat 3 dari UU PDP, DPO dapat berasal dari dalam dan/atau luar organisasi. Atas dasar hal inilah, PRIVASIMU memiliki layanan kepada organisasi di Indonesia sebagai External DPO / DPO as a Service (DPOaaS) yang dapat membantu dan melakukan asistensi terhadap penerapan UU PDP secara end-to-end. Jika merujuk pada salah satu pelanggaran PDP di Eropa, yaitu lemahnya hubungan dan koordinasi dengan Lembaga Pengawas PDP, hal inilah yang menjadi salah satu risiko yang dapat dimitigasi oleh DPOaaS dari PRIVASIMU dengan adanya koordinasi dan hubungan yang sangat baik antara PRIVASIMU dengan lembaga-lembaga yang berkaitan dengan Pelindungan Data Pribadi.

Perjalanan Untuk Comply terhadap UU PDP

Saat ini tidak ada panduan yang baku terhadap rencana dan strategi implementasi PDP untuk minimal bisa comply dengan UU PDP. Namun, dari pengalaman penulis sebagai praktisi dan konsultan global yang memiliki pengalaman dan jam terbang tinggi di bidang Tata Kelola IT, Keamanan Siber dan Pelindungan Data Pribadi, terdapat 4 (empat) perjalanan utama dalam menerapkan inisiatif / program PDP yang sesuai dengan UU PDP.

Sumber: Analisis Penulis

Tahap 1 – Tata Kelola PDP

Mendapatkan dukungan dari Manajemen Puncak (Top Management) adalah kunci sukses awal dalam menerapkan program PDP di organisasi. Jika dukungan sudah didapatkan, maka disarankan untuk dapat membentuk tim kerja / task force yang nantinya dapat bertransisi menjadi tim khusus / permanen yang menangani implementasi dan pemantauan PDP di organisasi. Pembentukan tim kerja ini banyak dilakukan oleh organisasi untuk mempersiapkan fondasi awal dari penerapan UU PDP sambil mengembangkan kompetensi tim kerja melalui pelatihan teknis PDP dan/atau sertifikasi PDP. Pada tahap ini, tim kerja akan melakukan sosialisasi dan awareness secara berkala kepada seluruh pemangku kepentingan, khususnya pegawai/karyawan. Penulis secara pribadi dan PRIVASIMU telah membantu organisasi-organisasi di Indonesia dalam menyusun fondasi awal dari penerapan UU PDP melalui mekanisme tata kelola PDP yang tepat sesuai dengan postur dari organisasi tersebut.

Tahap 2 – Identifikasi Postur Risiko PDP

Untuk mengidentifikasi sejauh mana organisasi telah comply terhadap UU PDP, salah satu aktivitas utama yang harus dilakukan adalah penilaian kesenjangan (gap assessment). Hal-hal yang belum efektif dari praktik PDP di organisasi, perlu diidentifikasi dan tim kerja perlu menyusun rekomendasi yang dapat diimplementasikan secara efektif dan efisien. Dalam hal ini, melakukan prioritisasi inisiatif PDP harus dilakukan untuk memudahkan tim kerja dalam mencapai compliance level yang terukur.

Mengingat UU PDP bersifat normatif yang notabene tidak akan menjelaskan aspek teknis dari pengendalian yang tepat, maka PRIVASIMU telah membuat sebuah PDP Framework yang dibuat berdasarkan UU PDP yang aspek pengendalian teknisnya telah dikembangkan lebih lanjut dan detil, serta telah disesuaikan dengan tools untuk Gap Assessment yang dimiliki oleh PRIVASIMU. Jika Anda ingin melihat tingkat kepatuhan secara umum, PRIVASIMU telah menyediakan UU PDP Pre-Check (https://privasimu.com/pre-checkup) yang dapat dicoba secara gratis.

Selain melakukan penilaian kesenjangan, sesuai dengan mandat UU PDP Pasal 31 bahwa Pengendali Data harus melakukan perekaman aktivitas pemrosesan data pribadi / Record of Processing Activities (ROPA) dan Pasal 34 terkait penilaian dampak PDP / Data Protection Impact Assessment (DPIA) untuk pemrosesan yang masuk kategori risiko tinggi. Saat ini belum terdapat panduan khusus yang formal terkait standar dan mekanisme pelaksanaan ROPA dan DPIA, meskipun dalam RPP PDP sudah disebutkan informasi minimal apa saja yang harus ada di dalam ROPA, namun khususnya untuk DPIA belum ada mekanisme yang lebih detil.

Untuk mengatasi permasalah tersebut, bagi organisasi yang menginginkan proses perekaman dan penilaian risiko bisa dilakukan secara otomatis dan terintegrasi, PRIVASIMU membuat tools untuk ROPA dan DPIA yang saling terintegrasi dan memenuhi standar minimal UU PDP. Khusus untuk DPIA, terdapat kemampuan untuk menghasilkan daftar dan mitigasi risiko PDP secara otomatis berdasarkan jawaban dari organisasi terhadap pertanyaan-pertanyaan yang disajikan dalam aktivitas DPIA.

Tahap 3 – Pengembangan Dokumentasi PDP

Sebagai bentuk implementasi dari tata kelola PDP, berikut adalah beberapa dokumentasi yang dapat dikembangkan oleh organisasi.

1. Privacy Policy
2. Privacy Notice
3. Consent Management Procedure
4. Data Subject Rights (DSR) Procedure
5. Incident Management & Complaint Handling procedure
6. Retention Policy
7. Cross Border Data Transfer (CBDT) Guideline (jika berlaku)
8. Data Processing Agreement standard for contractual review

Untuk poin 8, penulis menyarankan agar organisasi menentukan template kontrak perjanjian dengan pihak ketiga yang telah selaras dengan prinsip-prinsip PDP. Selain itu, perlu dilakukan review terhadap seluruh kontrak perjanjian untuk kemudian dapat dilakukan pembaruan isi kontrak.

Tahap 4 – Peningkatan yang Berkelanjutan

Sebuah program harus terukur, berkelanjutan, dan selalu ditingkatkan agar menjadi lebih baik. Pada tahap ini, penulis menyarankan agar organisasi memiliki standar kinerja (KPI/metrics) yang jelas untuk program PDP. Penilaian dan audit secara rutin harus dilakukan untuk memastikan bahwa organisasi selalu comply terhadap perubahan dan dinamika dari regulasi dan peraturan terkait Pelindungan Data Pribadi. Jika diperlukan, beberapa aspek penerapan PDP dapat dilakukan secara efektif menggunakan teknologi yang berkaitan dengan Manajemen PDP.

Writer:

Eryk B.Pratama, M.Kom, M.M, CIPM, CIPP/E, FIP

Source:

https://www.enforcementtracker.com/ (diakses pada 29 Maret 2024)

https://privasimu.com/blogs/tantangan-implementasi-pelindungan-data-pribadi (diakses pada 29 Maret 2024)