Open in app

Sign in

Write

Sign in

Perlindungan Data Pribadi: Pengenalan dan Tantangan

Eryk Budi Pratama
14 min readMay 5, 2020

--

[Update]

Tulisan ini selain berdasarkan dari pengamatan dan pengalaman pribadi, juga saya ambil dari materi presentasi saya bersama rekan KPMG pada event webinar KPMG Indonesia dan Sailpoint pada tanggal 28 April 2020 kemarin. Topik yang saya sampaikan adalah terkait Data Privacy. Artikel ini tidak akan membahas detil isi dari RUU Perlindungan Data Pribadi (RUU PDP) yang sampai saat ini belum segera disahkan, namun memberikan gambaran umum seperti apa sih perlindungan data pribadi berdasarkan RUU ini dan tentunya pengalaman saya sebagai praktisi di bidang ini juga.

Sebagai tambahan, saya melakukan pembaruan sedikit tulisan saya ini dengan menambahkan sedikit informasi terkait Peraturan Menteri Komunikasi dan Informatika (PerMen Kominfo) No 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Tambahan ini saya maksudkan untuk memberikan referensi tambahan atas hal-hal yang kurang detil dicakup oleh RUU PDP.

Untuk mengetahui RUU PDP, bisa download di sini.

Untuk mengetahui PerMen Kominfo No 20 Tahun 2016 bisa download di sini.

Personal Data Protection Law — Eryk Budi Pratama
RUU Perlindungan Data Pribadi. Sumber: https://www.hukumonline.com/pusatdata/detail/lt561f74edf3260/nprt/481/rancangan-undang-undang-tahun-2019/
Data Pribadi, Data Privacy, Data Security
PerMen Kominfo No 20 Tahun 2016. Sumber: https://jdih.kominfo.go.id/produk_hukum/view/id/553/t/peraturan+menteri+komunikasi+dan+informatika+nomor+20+tahun+2016+tanggal+1+desember+2016

Gambaran Umum Perlindungan Data Pribadi

Dalam memahami ruang lingkup sebuah Rancangan Undang-Undang (RUU) atau Undang-Undang (UU), apapun jenisnya, tentu kita harus memahami aspek Material (materiil) dan Teritorial dari RUU/UU tersebut. Mengingat RUU PDP ini masih DRAFT, masih ada kemungkinan perubahan isi dari RUU tersebut. Untuk aspek Formil tidak akan saya bahas ya karena saya bukan orang Hukum dan tidak perlu dibahas juga aspek formil dari RUU ini karena tulisan saya bukan untuk membahas hal tersebut.

Aspek Material, berarti berbicara perihal konten dan konteks dari RUU ini, yaitu:

  1. Definisi Data Pribadi beserta komponen sekitarnya, misalnya definisi dari Data Owner, Data Controller, Data Processor, dan lain-lain.
  2. Komponen dari Data Pribadi, baik yang bersifat umum maupun spesifik. Jika mengacu ke regulasi di luar, ada istilah “Personal Data” dan “Sensitive Personal Data”. Saya tidak akan bahas di sini karena bisa dilihat langsung di RUU PDP.
  3. Mekanisme perlindungan terhadap data pribadi.
  4. Hak dan Kewajiban Data Owner, Data Controller, dan Data Processor.
  5. Sanksi

Untuk aspek Teritorial, berarti kita berbicara perihal cakupan RUU terhadap jenis stakeholder yang menjadi obyek RUU (misalnya individu, organisasi, lembaga negara) dan konsekuensi legal atas yuridiksi yang berlaku dari RUU ini. Maksudnya gimana? Walaupun RUU ini dibuat di Indonesia, tapi cakupan wilayahnya tidak hanya terbatas di Indonesia saja. Selama sistem elektronik mengolah data warga Indonesia, RUU/UU ini tetap berlaku.

Pertanyaan yang pasti muncul:

Berarti kalau ada sistem elektronik yang memproses data warga Indonesia di laur negeri, harus patuh terhadap RUU PDP ini donk?

Jawabannya Ya dan Tidak. Ya, karena RUU ini berlaku lintas teritori. Tidak, karena tergantung peraturan Perlindungan Data Pribadi negara setempat. Selama komponen perlindungan data pribadi di negara tersebut lebih kuat/strict dari RUU PDP ini, maka peraturan di negara tersebut yang lebih berlaku. Kalau dibandingkan dengan GDPR di Eropa, atau PDPA Singapore, tentunya untuk saat ini lebih tinggi kedua regulasi tersebut dibandingkan RUU PDP sehingga perlindungan data pribadi warga Indonesia mengikuti aturan tersebut.

Data Owner, Data Controller, Data Processor

Secara umum, peraturan PDP dimana pun, setidaknya akan mencakup 3 peran utama.

  1. Data Owner: Pemilik data pribadi / individu yang menjadi subyek dari RUU PDP ini. Saya, sebagai individu, melekat identitas saya (nama, tanggal lahir, riwayat kesehatan, agama, dll.) baik sebagai warga negara Indonesia maupun karyawan dari perusahaan tempat saya bekerja.
  2. Data Controller: Pihak/Organisasi/Lembaga yang dengan tujuan tertentu melakukan pengendalian atas pemrosesan data pribadi. Mudahnya, Data Controller ini adalah organisasi yang mengolah data si Data Owner karena keterkaitan tertentu, misalnya karyawan dari perusahaan tertentu.
  3. Data Processor: Pihak/Organisasi/Lembaga yang memproses data pribadi atas nama Data Controller. Misalnya pihak ketiga yang mengolah data karyawan perusahaan untuk tujuan tertentu, atau berbagi data untuk keperluan kerja sama bisnis. Pihak lain tersebut akan berlaku sebagai Data Processor, Perusahaan saya berlaku sebagai Data Controller, dan saya sendiri sebagai Data Owner.

Ada satu peran tambahan yang berfungsi sebagai kustodian / protector/ guardian dari data pribadi, yaitu Data Protection Office (DPO). DPO yang dapat berupa individu atau tim/fungsi tertentu ini dapat ditunjuk oleh Data Controller dan Data Processor untuk melakukan perlindungan terhadap data pribadi.

Poin-Poin Utama RUU PDP

Berikut adalah beberapa hal utama yang perlu diperhatikan dalam RUU PDP.

  1. Pihak-pihak terkait yang menjadi cakupan dari RUU PDP ini harus dapat menyesuaikan kebutuhan-kebutuhan yang diatur dalam RUU ini setidaknya dua tahun sejak RUU ini disahkan (udah jadi UU).
  2. Persetujuan secara eksplisit. Data Controller harus secara eksplisit mendapatkan persetujuan dari Data Owner untuk melakukan pemrosesan data, baik secara umum maupun spesifik tergantung informasi apa yang ingin dikumpulkan.
  3. Permintaan Subyek Data. Data Controller memiliki batasan waktu dalam merespon permintaan data dari Data Owner untuk mengakses data, membatalkan persetujuan akses data, pembaruan data, dan pembatasan pemrosesan sesuai dengan yang diatur dalam RUU PDP.
  4. Notifikasi ketika terjadi breach. Data Controller WAJIB memberikan notifikasi kepada Data Owner dan Kementerian terkait dalam kurun waktu yang telah ditentukan RUU PDP. Sejauh ini dalam RUU PDP disebutkan maksimal 72 jam. Untuk kementerian terkait, belum didefinisikan.

Data Pribadi dalam Konteks PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

PP 71 Tahun 2019 sejatinya mengatur masalah PSTE, namun Data Pribadi dan juga Data Residency (penempatan data) juga diatur dalam PP ini. Terkait Data Pribadi, PP 71 Tahun 2019 mengatur perihal proses pengumpulan data (persetujuan/consent dari data owner), mekanisme pemrosesan data, dan kewajiban dari data controller terkait permintaan penghapusan data pribadi dari sistem elektronik.

Terkait dengan Data Residency, sayangnya PP 71 Tahun 2019 (yang menggantikan PP 82 Tahun 2012) ini cukup longgar untuk sistem elektronik privat. Sistem elektronik private intinya adalah sistem elektronik yang dimiliki oleh organisasi non-Publik (lembaga pemerintah/negara), biasanya sektor swasta. Untuk sektor publik, data wajib di Indonesia. Untuk sektor privat, ternyata boleh di luar wilayah Indonesia. (Apa kabar kedaulatan data #ups).

Sebenarnya, Kominfo sudah punya aturan yang mengatur perlindungan data pribadi pada sistem elektronik, yaitu Peraturan Kominfo No 20 Tahun 2016. Namun untuk dapat diterapkan secara nasional, saya yakin butuh level UU sebagai aturan yang cukup tinggi untuk dapat memaksa segenap warga Indonesia untuk dapat memenuhi aturan yang ada. Tentunya tetap ada pengecualian-pengecualian khususnya untuk tujuan tertentu yang dilakukan lembaga negara, misalnya untuk penegakan hukum.

Bagaimana dengan negara lain?

Sayangnya dibandingkan negara tetangga, kita ini cukup tertinggal. Berikut adalah beberapa contoh regulasi dari negara tetangga.

  1. Malaysia, Personal Data Protection Act, tahun 2010.
  2. Philippines, Data Privacy Act, tahun 2012.
  3. Singapore, Personal Data Protection Act, tahun 2012.
  4. Thailand, Personal Data Protection Act, tahun 2019.

Semoga bapak-ibu yang membuat undang-undang bisa termotivasi ya karena kita cukup ketinggalan.

Best Practice / Framework / Standar untuk Data Privacy

Sebenarnya ada beberapa best practice, framework, atau standar untuk data privacy. Dalam presentasi sebelumnya, saya memaparkan 3 acuan yang dapat dipertimbangkan untuk dapat membangun kapabilitas organisasi dalam melakukan pengelolaan dan tata kelola terkait Data Privacy atau perlindungan data pribadi.

Sumber: KPMG Presentation about Data Privacy

Untuk menerapkan standar berbasis ISO, maka dapat mengacu pada ISO 27701, yang merupakan ekstensi dari ISO 27001 dan ISO 27002 untuk Data Privacy. Untuk yang familiar dengan NIST Cybersecurity Framework, NIST Privacy juga dapat menjadi framework yang dapat membantu organisasi dalam menyusun program perlindungan data pribadi / data privacy.

Mengingat saya bekerja di global consulting company yang memiliki pengalaman dalam menyusun Data Privacy Program, maka dalam melakukan delivery dan assessment terkait Data Privacy Program ini, saya menggunakan KPMG Privacy Framework, dimana komponen-komponen di dalamnya align dengan ISO 27701 dan NIST Privacy Framework. Selain itu, untuk rekan-rekan di Eropa, juga sudah terdapat mapping terhadap GDPR, sehingga dengan satu framework, dapat mencakup semua komponen yang diperlukan dalam membangun kapabilitas dan program Data Privacy.

Sumber: https://assets.kpmg/content/dam/kpmg/pdf/2016/04/ch-privacy-and-data-protection-compliance-en.pdf

Beberapa hal yang perlu diperhatikan dalam ISO 27701 tentang 27701 Privacy Information Management System (PIMS):

a. Privacy by design and privacy by default

b. Basis for personal data transfer between jurisdictions/third parties

c. Limit data collection and data processing

d. Identify lawful basis of processing

e. Maintain record of processing activities

f. Data disposal including the temporary files created while processing activity

g. Conduct Privacy Impact Assessment

Untuk NIST Privacy Framework, yang harus diperhatikan adalah:

a. Inventory and mapping

b. Data Processing Ecosystem Risk Management

c. Privacy by design

d. Rights of individuals

e. Data security

f. Data minimization

Dari ketiga framework tersebut, menurut saya hal yang paling penting untuk diperhatikan dalam implementasi Data Privacy Program adalah:

  1. Privacy by Design. “Privacy by Design” adalah konsep dimana dalam proses pengembangan sistem informasi harus mempertimbangkan aspek-prinsip-prinsip Data Privacy. Hal ini mirip dengan istilah “Security by Design”.
  2. Privacy by Default. Mirip dengan Privacy by Design, bedanya adalah ini merupakan output / hasil dari sistem informasi yang sudah menerapkan prinsip-prinsip Data Privacy. Hal ini mirip dengan “Minimum Viable Product (MVP)”, namun dalam konteks pemenuhan kriteria dan prinsip Data Privacy.
  3. Privacy Impact Assessment (PIA). Merupakan suatu proses untuk mengidentifikasi risiko-risiko terkait data privacy dalam proses pengembangan sistem informasi. Bisa dibilang, PIA adalah aktivitas risk assessment untuk Data Privacy.
  4. Record of Processing. Kalau di GDPR, ini jadi kewajiban data controller dan process dimana mereka harus melakukan pencatatan atas setiap proses dan aktivitas pengolahan atau pemrosesan data pribadi. Bentuk recordnya bebas. Bisa pakai excel atau aplikasi khusus yang dibuat untuk membantu pencatatan pemrosesan data pribadi.

Tantangan dalam Menjalankan Data Privacy Program

Menjalankan sebuah program, dalam hal ini Data Privacy Program, tentunya akan menghadapi beberapa tantangan.

  1. Identifikasi Landasan atas Pemrosesan Data Pribadi. Biasanya bos akan tanya, buat apa sih ribet-ribet bikin data privacy program? Harus invest resources lagi, baik itu orang, jasa external, maupun teknologi (untuk memudahkan pengelolaan). Menentukan landasan untuk eksekusi pemrosesan data pribadi akan lebih mudah jika ada regulasi yang mengatur, baik regulasi yang sifatnya UU (seperti RUU PDP atau GPDR di Eropa), maupun peraturan sektoral yang mendukung untuk enforcement penerapan UU.
  2. Menanggapi Permintaan Akses Data Pribadi. Tantangan kedua adalah bagaimana melakukan verifikasi terhadap pemilik data pribadi, verifikasi orang yang melakukan permintaan terkait data tersebut, kemampuan organisasi dalam memenuhi permintaan pemrosesan data pribadi, dan bagaimana memberikan akses yang sah untuk orang yang tepat dalam kurun waktu yang telah diatur oleh regulasi terkait.
  3. Menerapkan Privacy by Design. Selayaknya menerapkan Security dalam SDLC (SSDLC), menjadi tantangan bagi kita juga untuk menerapkan prinsip-prinsip data privacy dalam siklus pengembangan aplikasi organisasi. Sama dengan Security, Data Privacy juga harus di-”Shift Left” dan diterapkan di seluruh tahapan dari SDLC.
  4. Menerapkan Kultur Privacy. Tantangan ini juga sama ketika organisasi menerapkan “risk culture” atau “security culture”. Akan menjadi tantangan tersendiri untuk dapat memberikan awareness terkait data privacy karena pada dasarnya Privacy itu berbeda dengan Security.
  5. Pengetahuan tentang Data Pribadi. Jika mengacu ke RUU PDP dan regulasi lain, setidaknya dalam Data Privacy ada dua jenis data pribadi, yaitu Data Pribadi dan Data Pribadi Sensitif. Ketidaktahuan atas perbedaan dua jenis data ini meningkatkan risiko adanya kesalahan penerapan kontrol untuk jenis data tertentu yang harus diproteksi dengan mekanisme keamanan informasi tertentu. Misalnya bagaimana penerapan encryption, tokenization, data masking, anonymization, pseudonomization dalam konteks perlindungan terhadap data yang tersimpan dalam sistem elektronik.

Dalam presentasi sebenarnya ada pembahasan juga bagaimana melakukan pengelolaan identitas dan peninjaun akses terhadap data pribadi. Namun dalam artikel ini tidak saya bahas. Semoga di lain kesempatan, saya bisa berbagai pengalaman tentang user access management dan bagaimana melakukan user access review atau SOD review. Jika pembaca ingin tahu tentang Manajemen Identitas dan Akses / Identity & Access Management (IAM), dapat lihat salah satu presentasi saya di sini.

Bagaimana Saya Membantu Pengembangan dan Implementasi Data Privacy Program

Identifikasi dan mitigasi risiko terhadap pemrosesan data pribadi menjadi hal dasar yang sangat penting untuk mengurangi potensi penyalahgunaan dan kebocoran data. Oleh sebab itu, sebagai konsultan IT, berikut adalah hal-hal yang dapat saya berikan kepada klien-klien saya dalam membantu mengurangi risiko terkait Data Privacy.

  1. Melakukan pendampingan untuk menyusun dan mengelola Data Privacy Program.
  2. Melakukan assessment untuk mengukur sejauh mana pemenuhan internal perusahaan terhadap regulasi Data Privacy yang berlaku.
  3. Melakukan assessment, pengembangan business case, review, dan implementasi teknologi yang dapat mendukung perlindungan terhadap data pribadi. Untuk aspek teknologi, misalnya implementasi Data Loss Prevention (DLP), Identity Management, Access Management, dan solusi lain yang terkait.
  4. Melakukan privacy risk and impact assessment.

Kekuatan RUU PDP untuk Kasus Data Breach

Disclaimer: Analisis RUU PDP ini saya lakukan terhadap RUU PDP versi Desember 2019. Jika ada dokumen yang lebih baru, tidak menjadi cakupan dalam hasil analisis ini.

Dalam 2 tahun ini, terdapat dua e-commerce besar yang mengalami kebocoran data (data breach) dalam jumlah yang sangat besar (belasan juta data user). Khusus untuk RUU PDP, bagaimana sih sanksi yang dapat diberikan?

Jika mengacu ke GDPR, sudah banyak kasus data breach yang terjadi dan perusahaan dikenakan dengan yang sangat besar. Silakan googling sudah banyak kasus yang terjadi di luar sana. Jika mengacu ke RUU PDP, bagaimana nih?

Berdasarkan hasil analisis singkat terhadap RUU PDP bulan Desember 2019, ternyata RUU PDP ini tidak mencakup pengenaan denda/pinalti untuk kasus kebocoran data. Kok bisa? Mari kita lihat.

Bab XIII KETENTUAN PIDANA Pasal 61-Pasal 64 berisi beberapa kata kunci berikut.

  1. Pasal 61 (1): “sengaja memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian
  2. Pasal 61 (2): “sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya”
  3. Pasal 61 (3): “sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya”
  4. Pasal 62: “sengaja dan melawan hukum memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual”
  5. Pasal 63: “sengaja dan melawan hukum menggunakan alat pemroses atau pengolah data visual yang dipasang di tempat umum dan/atau fasilitas pelayanan publik”
  6. Pasal 64 (1): “sengaja memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain”
  7. Pasal 64 (2): “sengaja menjual atau membeli Data Pribadi

Jika melihat 7 poin di atas, apa yang dapat kita simpulkan? Pihak e-Commerce dalam hal ini tidak mendapatkan sanksi!! Kenapa? Kebocoran data tersebut adalah hal yang TIDAK disengaja, TIDAK dimaksudkan untuk melawan hukum, TIDAK untuk memalsukan data pribadi, dan TIDAK untuk menjual atau membeli data pribadi.

Justru dalam hal ini yang dapat kena sanksi adalah pihak/personal yang MENJUAL dan MEMBELI data tersebut. Hayoo hati-hati ya buat yang kemarin beli data dump users e-commerce tersebut yang dijual di sebuah website, atau mungkin yang jadi reselller. Kalau RUU ini udah disahkan, kalian bisa kena sanksi pidana !!

Terus e-Commercenya gimana? Dalam hal ini kan ada kelalaian dalam melakukan perlindungan terhadap data pelanggan. Silakan koreksi saya jika ada kesalahan atau ada yang kelewat, tapi RUU ini belum mencakup kasus kelalaian atas perlindungan data pribadi. Ayo donk bapak-ibu di sana, bikin RUU ini biar lebih ketat. Kalau bisa seperti GDPR, sebagai bentuk keseriusan dalam melindungi data pribadi warga negara Indonesia.

Terus Konsumen Gimana?

Pasal 13 sudah mengatur hal ini.

Sumber: RUU Perlindungan Data Pribadi

Para users dari e-commerce sebenarnya berhak menuntut dan menerima ganti rugi atas pelanggaran terkait Data Pribadi, sesuai dengan ketentuan peraturan perundang-undangan. Masalahnya, peraturan perundang-undangan yang mana?? Di RUU PDP ini gak ada loh :)

[Update] Untuk melengkapi informasi dari RUU PDP, saya coba sajikan sedikit informasi dari PerMen Kominfo No 20 Tahun 2016.

Perspektif PerMen Kominfo No 20 Tahun 2016 untuk Kasus Data Breach

Pada bagian ini, perspektif untuk kasus data breach datang dari PerMen Kominfo No 20 Tahun 2016. Kenapa saya harus bahas peraturan menteri? Karena pada umumnya UU bersifat umum, banyak hal detail yang tidak tercakup. Oleh sebab itu diperlukan peraturan turunan baik di level PP, Peraturan Menteri, maupun peratura sektoral (misalnya POJK dan PBI untuk financial service company).

Merujuk pada Pasal 2 poin 1, sudah jelas bahwa penyelenggara sistem elektronik (dalam hal ini e-commerce) harus memperhatikan aspek-aspek perlindungan data pribadi dalam proses perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi.

Pada poin 2 (f), jelas juga bahwa penyelenggara sistem elektronik harus memiliki iktikad baik untuk segera memberitahukan secara tertulis kepada Pemilik Data Pribadi atas setiap kegagalan perlindungan Data Pribadi. Dalam kasus ini, apakah pemilik sistem elektronik sudah memberitahukan secara eksplisit bahwa terjadi kegagalan perlindungan data pribadi? Silakan dinilai sendiri dari statemen yang dikirimkan melalui email maupun media online yang lainnya :)

Pertanyaan yang sama, hak konsumen bagaimana?

Jika merujuk pada Pasal 26 (b), konsumen berhak mengajukan pengaduan dalam rangka penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri.

Jika kita melihat berita yang ada saat ini, terdapat informasi adanya legal standing dan class action terkait kasus kebocoran data salah satu ecommerce. Hal ini didukung oleh pendapat dari salah satu pakar hukum UI tentang hak masyarakat untuk mengajukan class action atas kasus ini. Saya tidak akan menjelaskan apa itu legal standing dan class action pada artikel ini. Selain itu, terkait dengan tuntutan perdata, perwakilan konsumen juga menggunakan UU lain, yaitu UU Perlindungan Konsumen, sebagai landasan hukum pengajuan gugatan perdata. Apakah kasus ini bisa masuk ke ranah pidana? Untuk pelaku peretasan, sangat bisa. Untuk penyedia layanan ecommerce bagaimana? Silakan pakar hukum yang bisa menjawabnya :)

Terkait dengan penyelesaian sengketa yang diatur dalam Bab VI Pasal 29, poin (1) menyebutkan bahwa setiap Pemilik Data Pribadi dan Penyelenggara Sistem Elektronik dapat mengajukan pengaduan kepada Menteri atas kegagalan perlindungan kerahasiaan Data Pribadi. Poin (2) dan (3) juga mengatur mekanisme pengaduan baik dari Pemiliki Data Pribadi dan PSE ini seperti apa. Poin (2) menyebutkan bahwa pengaduan dapat dilakukan secara musyawarah atau alternatif yang lainnya. Jadi, kalau musyawarah tidak terjadi, masing-masing pihak berhak untuk melakukan pengaduan dalam bentuk yang lainnya.

Bagaimana respon Kominfo dan PSE terkait atas hal ini? Untuk hal ini saya no comment karena sudah ada berita lain yang membahasnya. Silakan googling ya :)

Praktik Komunikasi Pasca Insiden yang Sesuai Dengan Peraturan

Pada Pasal 28 terkait dengan kewajiban Penyelenggara Sistem Elektronik (PSE), terdapat beberapa kewajiban PSE. Jika mengutip dari poin C, PSE wajib memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:

  1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi;
  2. dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya;
  3. harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
  4. pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut;

Untuk poin 4, rasanya PerMen Kominfo sangat longgar jika dibandingkan dengan RUU PDP, dimana RUU PDP mensyaratkan 3 hari. Semoga ada update dari PerMen Kominfo ini agar bisa lebih ketat masalah batasan waktu pelaporan.

Untuk poin 3, ini yang jadi tantangan, bagaimana cara PSE memastikan pemberitahuan telah diterima oleh Pemilik Data Pribadi?Silakan jika ada saran.

Untuk poin 2, no issue karena memang dilakukan secara elektronik.

Untuk poin 1, apakah pada kasus ini PSE sudah memberitahukan alasan atau penyebab terjadinya kebocoran data? Mengingat pengguna layanan elektronik sebagian besar adalah orang yang mungkin awam terhadap keamanan informasi, rasanya sudah kewajiban dari PSE untuk dapat memberikan penjelasan yang transparan ke publik.

Penutup

Perlu kita sadari bahwa mungkin masyarakat Indonesia belum terlalu aware tentang konsep Data Pribadi dan isi dari RUU PDP ini. Tanpa adanya UU pun, sudah menjadi kewajiban kita, baik sebagai Data Owner, Data Controller, dan Data Processor untuk dapat melakukan pemrosesan dan perlindungan data pribadi secara aman semaksimal mungkin sesuai dengan kapabilitas dan resource yang kita miliki. Tulisan ini tidak akan cukup untuk membahas (bahkan) konsep dasar dari Data Privacy. Namun setidaknya saya ingin memberikan sedikit awareness kepada pembaca atas pentingnya melakukan perlindungan dan pemrosesan yang aman untuk Data Pribadi.

Jika ada kesalahan dalam penulisan, mohon saya diingatkan agar dapat saya update. Harapan saya, semoga RUU ini segera disahkan, tentunya dengan isi yang lebih “keras” agar perlindungan terhadap data pribadi warga negara Indonesia ini dapat berjalan dengan efektif.

Semoga bermanfaat, terima kasih :)

Salam,

Eryk Budi Pratama

(Slideshare) (Linkedin)

Data Privacy
Data Protection
Personal Data
Gdpr

--

--

Eryk Budi Pratama

Written by Eryk Budi Pratama

254 Followers

Global IT & Cybersecurity Advisor | Global CIO & CISO Advisory | IT GRC | Cloud | Cyber Resilience | Data Privacy & Governance

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams