UU PDP dan Apa yang Perlu Dilakukan Korporasi

Maraknya ketersediaan aplikasi digital untuk memudahkan pelayanan terhadap konsumen menjadi salah satu tanda pesatnya kemajuan teknologi digital di berbagai sektor industri di Indonesia. Saat ini, hampir semua sektor industri (bukan hanya perbankan dan e-commerce) berlomba-lomba membuat aplikasi teknologi untuk memenangkan persaingan di era industri 4.0. Bahkan beberapa perusahaan di sektor pemerintahan yang dikenal sangat kaku mampu bertransformasi ke arah digitalisasi.

Namun di sisi lain, perubahan ke arah digitalisasi ini tidak serta merta diimbangi dengan upaya peningkatan keamanan pemilik data sebagai pemilik data sebagai pengguna aplikasi. Di mana mereka kerap kali menjadi korban dari kebocoran data baik akibat lemahnya sistem keamanan dan ketahanan siber perusahaan maupun tidak adanya perlindungan hukum yang jelas yang dapat melindungi pemilik data.

Dari sisi risiko, era digital ini tentunya mengubah tatanan risiko sektor korporasi yang sebelumnya hanya bersifat physical risk (seperti kebencanaan) menjadi digital risk (seperti kebocoran data). Dalam hal ini, data dan informasi menjadi sangat bernilai dan berharga terutama bagi sebuah korporasi karena dengan data tersebut mereka mampu membuat analisa dan strategi bisnis.

Mengganggu Kenyamanan

Tingginya kebocoran data dan penyalahgunaan data pribadi di Indonesia menjadi hal yang sangat mengganggu kenyamanan warga negara. Berdasarkan data, di Indonesia lebih dari 20 perusahaan besar seperti Tokopedia, Bukalapak, BPJS Kesehatan, PLN, IndiHome pernah mengalami insiden kebocoran data. Rentannya kebocoran data yang sangat masif menjadi momok yang menakutkan baik bagi korporasi dan juga pemilik data dalam hal ini warga negara.

Salah satu insiden terbesar mengenai kebocoran data di Indonesia terjadi pada Mei 2021, lebih dari 270 juta data warga negara bocor dan data tersebut diperjualbelikan dalam situs online dengan nilai 0.15 bitcoin atau senilai Rp 87.6 juta. Tentunya kejadian kebocoran data pribadi ini pada hakikatnya telah melanggar hak asasi manusia dan sangat merugikan masyarakat baik secara materiil dan imateriil. Kebocoran data terus terjadi dan seakan tidak ada solusinya.

Implementasi UU PDP

Implementasi Undang Undang Perlindungan Data Pribadi (UU PDP) yang baru saja disahkan per 20 September 2022 diharapkan memberikan dampak yang positif dan menjadi solusi terhadap tingginya kebocoran data di Indonesia. Di sisi lain, aplikasi UU PDP tentunya akan memberikan peringatan keras dan tegas terhadap semua korporasi di semua sektor untuk berbenah dan memperbaiki sistem keamanan sibernya sehingga mereka dapat melindungi data nasabahnya dari kebocoran data seoptimal mungkin.

Secara umum regulasi UU PDP mengadopsi UU Perlindungan Data di Uni Eropa atau dikenal dengan General Data Protection Regulation (GDPR) di mana implementasinya telah terbukti sangat efektif untuk memberikan kenyamanan bagi subjek pemilik data. Sedangkan bagi korporasi, GDPR menjadi momok yang sangat menakutkan karena semua korporasi memiliki kewajiban yang sangat ketat dan sanksi yang tegas bagi yang lalai dalam melindungi data pribadi nasabahnya.

Dari segi dampak, aplikasi UU PDP ini berdampak positif pada masyarakat umumnya terutama dalam hal kenyamanan terhadap data pribadinya, selain itu kepedulian masyarakat untuk menjaga data pribadi juga akan terus meningkat. Di sisi lain bagi korporasi, dengan diberlakukannya UU PDD ini akan meningkatkan potensi tuntutan dari pemilik data untuk menuntut pihak yang menyalahgunakan data pribadinya serta upaya korporasi untuk dapat memenuhi semua kewajiban dalam UU PDP termasuk dalam meningkatkan keamanan sibernya.

Berdasarkan analisis saya, berikut gambaran deskriptif implementasi UU PDP:

--UU PDP berlaku untuk semua sektor; mengharuskan semua perusahaan apapun sektor industrinya memenuhi ketentuan UU PDP tanpa terkecuali atau tidak hanya untuk sektor finansial seperti bank, fintek, ataupun perusahaan berbasis perdagangan dengan sistem elektronik (e-commerce) yang diatur dalam UU No. 71 Tahun 2019 tentang Penyelenggara Sistem dan Transaksi Elektronik.

--Jenis data pribadi secara ekplisit ditentukan dalam UU PDP yakni data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum. Dalam hal ini sensitivitas data menjadi sangat jelas terdefinisikan sehingga berdampak pada tingginya risiko tuntutan bagi perusahaan yang gagal dalam melakukan perlindungan data pribadi nasabahnya.

--Hak Pemilik Data Pribadi tertuang sangat jelas dalam UU PDP. Pada Bab IV mengenai Hak Subjek Data Pribadi Pasal 12, dalam hal ini subjek data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadinya sesuai dengan ketentuan Peraturan Undang-Undang. Dalam hal ini proteksi UU PDP terhadap subjek pemilik data pribadi sangat jelas sehingga Perusahaan perlu menjalankan pemrosesan data pribadi dengan penuh kehati-hatian sesuai dengan ketentuan yang berlaku.

--Kewajiban terhadap pihak pengendali data pribadi berlaku dalam UU PDP berlaku untuk seluruh sektor Industri dengan mengikuti standar keamanan siber internasional. Dalam standar keamanan informasi internasional seperti ISO 27001, perusahaan perlu mengelola dan mengendalikan serta menjaga risiko keamanan informasi perusahaan yang meliputi kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability). Prinsip tersebut juga tertuang dalam UU PDP di Bab VI mengenai kewajiban pengendali data pribadi dan prosesor data pribadi dalam pemrosesan data pribadi. Oleh karena itu, secara tidak langsung perusahaan perlu memenuhi prinsip keamanan siber internasional yang terstandar seperti ISO 270001, NIST, dan sebagainya untuk dapat memenuhi UU PDP.

--Sanksi berupa denda sebesar 2% dari pendapatan tahunan di UU PDP. Aturan ini tidak terdapat pada PP No. 71 Th. 2019 tentang Penyedia Sistem and Transaksi Elektronik dan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Tentunya aturan ini secara langsung membuat semua perusahaan perlu memenuhi UU PDP sebaiknya-baiknya.

--Ketentuan pidana selama 4 s.d 5 tahun penjara dan/atau denda sebanyak Rp 4.000.000.000 s.d Rp. 5.000.000.000. Dalam UU PDP aturan ini disempurnakan untuk memberikan efek yang positif untuk melindungi Data Pribadi Warga Negara Indonesia sebagaimana ketentuan di UU PDP Bab XIV mengenai Ketentuan Pidana, Pasal 67 dan Pasal 68.

Manajemen Risiko

Dari implementasi UU PDP yang sangat ketat tersebut diperlukan manajemen risiko yang tepat dalam menangani risiko siber dalam untuk sebuah korporasi. Berikut di antaranya manajemen risiko yang dapat dilakukan sebagai upaya pemenuhan UU PDD dan meminimalisasi kebocoran data:

--Mengukur tingkat ketahanan (maturity) dan keamanan risiko siber dengan standar internasional seperti NIST CSF, CIS CSC-20, dan ISO 27001
--Mengkuantifikasi risiko dan dampak finansial yang terjadi akibat kebocoran data
--Membuat insiden response playbook bilamana terjadi kebocoran data
--Melakukan pelatihan terhadap karyawan

--Membuat IT road map (peta jalan) untuk mencapai ketahanan siber yang memadai
--Membuat strategi manajemen risiko termasuk upaya melakukan transfer risiko.

Bagi korporasi untuk dalam melakukan manajemen risiko di atas, mereka dapat menggunakan jasa konsultan yang memiliki kapabilitas, tim yang berpengalaman, serta dan teknologi yang terpercaya. Tentunya dengan upaya tersebut akan memudahkan korporasi dalam membuat strategi dan road map yang tepat dalam upaya peningkatan sistem keamanan siber perusahaannya dalam rangka memenuhi UU PDP.

Damy Nugraha konsultan risiko korporasi dan risiko siber