Data pribadi milik seseorang adalah privasi yang harus dijaga dan tidak boleh disebarluaskan begitu saja. Maka dari itu bagi pebisnis yang memiliki database data pribadi dari karyawan atau pelanggan mereka merupakan sesuatu yang harus dijaga dengan baik.
Karena itu, pemerintah menerbitkan Undang-Undang pelindungan Data Pribadi (UU PDP) yang memainkan peran penting dalam pengelolaan data pribadi bagi pemilik bisnis.
Bagaimana implementasinya? Simak penjelasan berikut ini.
Apa itu UU PDP?
Indonesia telah mengesahkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) di mana dalam UU tersebut dijelaskan bahwa data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.
Menurut UU PDP, yang terdiri dari data pribadi adalah sebagai berikut:
- Data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang- undangan.
- Data pribadi yang bersifat umum, meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Sementara itu berdasarkan Pasal 1 angka 2 UU PDP, pelindungan data pribadi merupakan keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.
UU ini menjelaskan terdapat pengendali data pribadi serta prosesor data pribadi. Secara sederhana, pengendali data pribadi merupakan individu, badan, ataupun organisasi yang memiliki kendali atas data pribadi.
Sementara itu, prosesor data pribadi adalah setiap pihak yang memproses data pribadi atas nama pengendali data pribadi.
Regulasi Pemerintah Terkait UU PDP dalam Konteks Bisnis
Disahkannya UU PDP dianggap dapat memberikan keuntungan bagi pemilik bisnis.
Direktur Jenderal Aplikasi Informatika Semuel Abrijani Pangerapan pernah berpendapat bahwa UU PDP dapat memberi keuntungan bagi sektor bisnis, seperti meningkatkan kepercayaan konsumen, meningkatkan manajemen sistem keamanan data perusahaan, serta mendorong tumbuhnya inovasi terhadap pengelolaan bisnis.
Regulasi dalam UU PDP mewajibkan pihak yang memproses data bersikap transparan dalam hal pengelolaan data.
Mereka juga diharuskan untuk meningkatkan sistem keamanan data perusahaan agar dapat menjadi investasi jangka panjang di era digital sekaligus melindungi data konsumen.
“UU PDP ini nantinya juga akan mendorong tumbuhnya inovasi terhadap pengelolaan bisnis, karena regulasi PDP dapat memicu adanya persaingan inovasi antar perusahaan dalam membuktikan kapasitas perusahaan mengelola keamanan data,” tutur Semuel dalam webinar penyambutan UU PDP yang diadakan 2020 lalu.
Pengendali data pribadi kewajibannya sudah diatur dalam Pasal 20 sampai Pasal 50 UU PDP, seperti wajib menunjukkan bukti persetujuan yang telah diberikan subjek data pribadi saat melakukan pemrosesan data pribadi, wajib menjaga kerahasiaan data pribadi, dan wajib mencegah data pribadi diakses secara tidak sah atau ilegal.
Kemudian kewajiban prosesor data pribadi terdapat pada Pasal 51 dan Pasal 52 UU PDP yang berisi: wajib melakukan pemrosesan data pribadi berdasarkan perintah pengendali data pribadi, wajib mendapatkan persetujuan tertulis dari pengendali data pribadi sebelum melibatkan prosesor data pribadi lain.
Pengendali data pribadi dan prosesor data pribadi juga wajib menunjuk petugas yang melaksanakan fungsi pelindungan data pribadi untuk:
- pemrosesan data pribadi untuk kepentingan pelayanan publik;
- kegiatan inti pengendali data pribadi memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas data pribadi dengan skala besar; dan
- kegiatan inti pengendali data pribadi terdiri dari pemrosesan data pribadi dalam skala besar untuk data pribadi yang bersifat spesifik dan/atau data pribadi yang berkaitan dengan tindak pidana.
Petugas yang ditunjuk juga memiliki tanggung jawab untuk:
- menginformasikan dan memberikan saran kepada pengendali data pribadi atau prosesor data pribadi agar mematuhi ketentuan UU PDP;
- memantau dan memastikan kepatuhan UU PDP dan kebijakan pengendali data pribadi atau prosesor data pribadi;
- memberikan saran mengenai penilaian dampak pelindungan data pribadi dan memantau kinerja pengendali data pribadi dan prosesor data pribadi; dan
- berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan data pribadi.
Pengendali data pribadi juga berkewajiban untuk melindungi data pribadi dengan menerapkan beberapa hal, yakni:
- penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi; dan
- penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.
Ketika kewajiban ini gagal dilaksanakan, pengendali data pribadi wajib memberitahukan secara tertulis paling lambat 3 x 24 jam pada subjek pemilik data pribadi yang memuat:
- data pribadi yang terungkap;
- kapan dan bagaimana data pribadi terungkap; dan
- upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.
Namun perlu dicatat, kewajiban menyampaikan pemberitahuan secara tertulis kepada subjek data pribadi dikecualikan untuk hal-hal di bawah ini dalam rangka pelaksanaan ketentuan undang-undang:
- kepentingan pertahanan dan keamanan nasional;
- kepentingan proses penegakan hukum;
- kepentingan umum dalam rangka penyelenggaraan negara; atau
- kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.
Jika kewajiban pelindungan data ini dilanggar, akan dikenai sanksi berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif.
Baca juga: Pemahaman Lengkap tentang Fraud: Pengertian, Jenis, Penyebab, Deteksi, dan Pencegahan
Pentingnya Memahami UU PDP bagi Bisnis
Para pemegang kepentingan penting untuk memahami UU PDP karena data pribadi yang sifatnya sensitif dan agar terhindar dari risiko pelanggaran hukum.
Untuk itu, pemilik bisnis harus mempersiapkan beberapa hal untuk mematuhi UU PDP ini. Di antaranya adalah sebagai berikut:
- Membangun sistem pengaman data agar tidak terjadi kebocoran.
- Meningkatkan kapasitas SDM perusahaan terkait PDP terutama dalam hal keamanan data
- Memetakan jenis data yang dikumpulkan oleh perusahaan
- Membuat SOP pengelolaan data pribadi
Kemudian, berikut adalah beberapa manfaat adanya UU PDP.
1. Menjamin Kepercayaan Pelanggan
Setiap perusahaan menghargai kehadiran pelanggan sebagai salah satu elemen penting dalam operasinya. UU PDP memberikan jaminan kepada pelanggan bahwa informasi pribadi mereka akan dijaga dengan baik dan dikelola sesuai dengan ketentuan hukum yang berlaku.
Oleh karena itu, peraturan ini berperan penting dalam membangun kepercayaan pelanggan, karena mereka yakin bahwa informasi pribadi mereka akan dijaga kerahasiaannya dan tidak disalahgunakan.
2. Mengurangi Dampak Hukum dan Reputasi Negatif
Peraturan pelindungan data memberlakukan sanksi yang signifikan bagi pelaku bisnis yang melanggar ketentuan privasi. Selain itu, berita mengenai pelanggaran privasi dapat merusak reputasi perusahaan, yang pada gilirannya menurunkan kepercayaan pelanggan dan kredibilitas di mata mitra bisnis.
3. Peningkatan Keamanan Data
Peraturan pelindungan data mendorong perusahaan untuk meningkatkan tingkat keamanan data. Perusahaan harus menerapkan langkah-langkah keamanan seperti enkripsi, pelindungan kata sandi, dan kontrol akses untuk mencegah akses yang tidak sah terhadap informasi pribadi.
Dengan demikian, risiko pelanggaran data dapat diminimalkan, dan keamanan informasi sensitif dapat terjaga dari ancaman pencurian atau penyalahgunaan.
4. Meningkatkan Efisiensi Operasional
Meskipun mematuhi peraturan pelindungan data memerlukan investasi awal dalam infrastruktur keamanan dan penyesuaian prosedur, manfaat jangka panjangnya dapat meningkatkan efisiensi operasional.
Data yang terkelola dengan baik memungkinkan perusahaan untuk melakukan analisis yang lebih mendalam, mengenali tren pasar, dan membuat keputusan berdasarkan data yang akurat. Hal ini membantu meningkatkan kualitas produk atau layanan serta mengoptimalkan strategi pemasaran.
Perusahaan yang beroperasi di pasar global harus mematuhi berbagai regulasi pelindungan data yang berlaku di berbagai negara. Dengan menerapkan standar tinggi dalam pelindungan data, perusahaan dapat lebih mudah memenuhi persyaratan hukum yang berlaku di berbagai yurisdiksi dan menjaga kepatuhan yang juga berlaku di internasional.
Baca juga: Pemahaman Dasar Tentang Penyedia Jasa Elektronik (PSE)
Implementasi UU PDP di Ranah Bisnis: Studi Kasus
Dalam UU PDP, perusahaan disarankan untuk mengimplementasi data privacy management (DPM) yang sangat baik dan terintegrasi untuk menghindari kesalahan dalam pengelolaan data.
Kemudian agar implementasi UU PDP dapat sukses bagi perusahaan, ada empat kunci yang harus diperhatikan.
Persetujuan subyek data pribadi
Perusahaan harus mendapatkan persetujuan secara sah dari subjek pemilik data pribadi sebagai bukti bahwa pemilik data secara konsen memberikan datanya untuk dikelola.
Menghormati hak subyek data
Pemilik data atau subyek data pribadi haknya telah dilindungi oleh UU PDP, misalnya untuk melakukan pembetulan data, penghapusan, pemusnahan, serta pencabutan persetujuan atas pengelolaan data pribadi milik mereka.
Memperhatikan kewajiban pengontrol data
Pengontrol data pribadi wajib menunjukan bukti persetujuan subjek data pribadi untuk merekam semua aktivitas pemrosesan data pribadi, melindungi dan memastikan keamanan data pribadi, serta menyampaikan legalitas, tujuan, dan relevansi pemrosesan data.
Memperhatikan sanksi UU PDP
Jika perusahaan lalai dalam pengelolaan data pribadi, terdapat sanksi mulai dari denda hingga hukum pidana yang harus dipenuhi perusahaan.
Itulah tadi beberapa hal mengenai UU PDP dan implementasinya di perusahaan. Penting bagi perusahaan untuk memahami hal ini agar meningkatkan kepercayaan dari pelanggan bahwa data pribadi milik mereka aman untuk dikelola dan dipayungi oleh hukum yang sah.
Referensi: