Rezim perlindungan data baru yang dimotori oleh GDPR (Global Data Protection Regulation) dengan ancaman dendanya mengguncang dunia bisnis Eropa dan Amerika. Tercatat sejak Mei 2018 lalu, beberapa perusahaan raksasa telah kena imbasnya. Google misalnya, terkena denda 50 juta Euro oleh otoritas Perancis, sementara kasus Cambridge Analytica menyeret Facebook dengan denda raksasa sebesar 70 trilliun Rupiah.
GDPR juga menjadi basis bagi RUU Perlindungan Data Pribadi yang draftnya sedang disirkulasi pada kementerian dan lembaga terkait setelah dibahas bertahun-tahun oleh Kominfo. RUU PDP versi April 2019 dapat dengan bebas diunduh di sini dan isinya tidak jauh berbeda dengan draft terakhir.
Terdapat pengembangan definisi mengenai Data Pribadi di sini. Data Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik. Artinya, cakupan perlindungannya lebih luas tidak seperti pengertian Data Perseorangan di dalam UU Administrasi Kependudukan dimana hanya ada lima data pribadi yang harus dilindungi (Pasal 84 ayat (1)): cacat fisik/mental, sidik jari, iris mata, tanda tangan, dan aib.
RUU PDP ini juga memperkenal dua istilah baru: pengendali dan pemroses data. Hak dan kewajiban keduanya berbeda. Akuntabilitas perlindungan data pribadi sepenuhnya berada pada pengendali data sementara pemroses data hanyalah berfungsi seperti Namanya, pemroses data atas nama pengendali data.
Bagian selanjutnya adalah hak pemilik data pribadi antara lain: meminta informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi; melengkapi Data Pribadi miliknya sebelum diproses oleh Pengendali Data Pribadi; mengakses dan memperoleh Salinan; memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data; mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data; menarik kembali persetujuan; mengajukan keberatan atas tindakan pengintaian dan/atau pemrofilan secara otomatis;
Selain itu, Pemilik Data Pribadi berhak memilih atau tidak memilih pemrosesan Data Pribadi melalui mekanisme pseudonim untuk tujuan tertentu; menunda atau membatasi pemrosesan data; menuntut dan menerima ganti rugi atas pelanggaran Data Pribadi miliknya; mendapatkan Data Pribadi miliknya dalam bentuk yang sesuai dengan struktur dan/atau format penyimpanan yang lazim digunakan atau dapat dibaca oleh mesin atau perangkat keras yang digunakan dalam interoperabilitas antar sistem elektronik; menggunakan dan mengirimkan Data Pribadi miliknya ke Pengendali Data Pribadi lainnya, sepanjang sistem tersebut dapat saling berkomunikasi secara aman sesuai dengan prinsip pelindungan Data Pribadi.
Hak-hak ini hendaknya dituangkan di dalam Klausula Baku untuk disetujui oleh pelanggan. Selain itu, posisi sebagai pengendali atau prosesor haruslah ditegaskan karena ada perbedaan hak dan tanggung jawab di dalamnya. Terdapat prinsip-prinsip perlindungan yang harus ditegakkan. Pemrosesan data harus dengan sepengetahuan dan sepertujuan, sesuai dengan tujuan, data yang diproses haruslah akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan, adanya sistem keamanan data, transparansi terhadap tujuan pengumpulan, aktivitas pemrosesan, dan kegagalan perlindungan, serta mengikuti ketentuan pemusnahan data.
Mungkin yang akan menjadi polemik sampai RUU tersebut diundangkan adalah bagian denda. RUU ini menganut konsepsi seperti GDPR dengan subyek hukum yang dituju adalah badan hukum, bukan orang perseorangan. Karena itu model sanksinya adalah perdata dalam bentuk denda. Dasar konsepsi sanksi perdata adalah pemikiran bahwa non-compliance and fail to protect are not criminal. Badan hukum dapat saja karena ukuran, anggaran, dan kemampuan, tidak sanggup atau gagal melakukan perlindungan. Berbeda jika nanti di pengadilan ternyata dibuktikan adanya bad intention yang menjurus pada tindak kriminal, akan dijerat menggunakan pasal lain di UU yang berbeda, seperti UU Administrasi Kependudukan misalnya.
Ketentuan pidana termaktub dalam Bab XIII yang meliputi pasal 63 sampai 71 dengan denda paling banyak sebesar 100 Milyar rupiah pada pelanggaran persetujuan pemilik Data Pribadi akan pemrosesan dan pemrofilan datanya. Pidana tambahan juga dapat dijatuhkan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana. Menariknya, pidana denda ini dapat pula dijatuhkan kepada pengurus, personel pengendali, dan/atau korporasi, artinya perseorangan terpapar risiko pidana dari RUU ini.
RUU Perlindungan Data Pribadi saat ini masih dalam tahapan sirkulasi di seluruh Kementerian dan Lembaga. Prosesnya yang panjang dan akan bertambah panjang karena pada bulan Oktober DPR baru dilantik dan proses legislatifnya baru akan berjalan sesudahnya. Namun demikian, RUU PDP harus mulai dipertimbangkan sebagai external legal context dalam manajemen risiko perusahaan kita mengingat risiko denda yang mengiringinya.
Asesmen risiko lebih lanjut perlu disiapkan. Perusahaan harus mulai mengidentifikasi semua risiko operasi yang berhubungan dengan pengolahan data pribadi pelanggan saat ini. Risiko-risiko ini kemudian di analisa dan dievaluasi lebih lanjut. Masih ada waktu untuk melakukan treatment terhadap risiko-risiko pengolahan data pribadi pelanggan sampai nanti RUU Perlindungan Data Pribadi disahkan. Namun jika terdapat pelanggan Anda yang menjadi warga negara di Uni Eropa, perusahaan Anda bisa jadi telah terpapar risiko GDPR.
Ir. Satriyo Wibowo, MBA, M.H., IPM, CERG, CCISO adalah anggota Komite Manajemen Risiko di suatu anak perusahaan BUMN yang aktif dalam diskusi tata kelola keamanan siber dengan fokus kajian mengenai IoT, Blockchain, SKKNI, serta jurisdiksi siber