Open in app

Sign in

Write

Sign in

Q&A Seputar Data Privacy

Eryk Budi Pratama
9 min readAug 28, 2021

--

Disclaimer: Tulisan ini adalah opini dan hasil analisis penulis pribadi tanpa mewakili pihak/institusi mana pun. Artikel ini ditulis pada saat RUU PDP masih belum disahkan. Jika RUU PDP sudah disahkan, saya akan membuat artikel Q&A yang berbeda. Jika ada kekeliruan atas jawaban di bawah, akan saya perbaiki.

[Update 20 Oct 2021]

Artikel ini akan selalu saya perbarui jika nanti saya mendapatkan pertanyaan terkait perlindungan data atau data privacy. Dalam beberapa kesempatan webinar, training, dan sharing session, saya mendapatkan banyak pertanyaan yang kadang tidak bisa saya jawab saat itu juga. Untuk selanjutnya, saya akan sempatkan untuk mendokumentasikan pertanyaan dan jawaban menurut opini saya tanpa mewakili institusi mana pun.

Sumber: Hasil Analisis Penulis

Menurut RUU PDP, aturan teknis pemrosesan data diatur dalam Perkominfo. Menurut bapak, apa saja aturan teknis yang nanti perlu dimuat pada Perkominfo bersangkutan?

Terdapat beberapa aktivitas utama dalam pemrosesan data yang diatur oleh RUU PDP dan juga terdapat pada GDPR, yang menurut saya nantinya Kominfo dapat membuat aturan turunan, petunjuk umum, standar, atau petunjuk teknisnya.

  1. Inventarisasi pemrosesan data pribadi. Di GDPR istilahnya “Record of Processing Activities (ROPA)” (Pasal 30), kalau di RUU PDP ini ada di Pasal 31. Menurut saya, Kominfo perlu menentukan standar minimal parameter pencatatan pemrosesan data ini seperti apa. Selain itu, perlu ditentukan apakah inventarisasi pemrosesan data pribadi ini perlu diserahkan ke Kominfo atau tidak. Jika iya, mekanismenya seperti apa. Kewajiban dan mekanisme inventarisasi pemrosesan data pribadi ini perlu diatur, namun tetap dengan memerhatikan keseimbangan antara risiko pemrosesan data, aspek kepatuhan hukum, dan bisnis.
  2. Analisis dampak/risiko pemrosesan data pribadi. Di GDPR istilahnya “Data Protection Impact Assessment (DPIA)” (Pasal 35) atau “Privacy Impact Assessment (PIA)”. Hal ini wajib dilakukan jika organisasi memroses data pribadi berisiko tinggi. RUU PDP tidak menyebutkan secara spesifik, sehingga bisa dikatakan ini sifatnya opsional. Sebenarnya Pasal 27 (b) menyebutkan bahwa “penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.”. Untuk memahami risiko dari Data Pribadi, tentunya kita harus melaksanakan analisis risiko terhadap pemrosesan data pribadi, dimana aktivitas DPIA/PIA ini adalah salah satu mekanismenya. Kalau di GDPR, ini wajib dengan kriteria tertentu, salah satunya dengan melakukan Threshold Analysis. Analisis ini akan menentukan apakah DPIA/PIA perlu dilakukan untuk pemrosesan data pribadi tertentu, sistem, dan/atau layanan tertentu. Jika memang nanti Kominfo ingin mewajibkan aktivitas ini, maka perlu disusun kriteria, standar minimal, dan mekanisme dalam melakukan analisis dampak/risiko pemrosesan data pribadi ini.
  3. Manajemen akses permintaan subyek data. Salah satu hak dari subyek data/ Pemilik Data adalah Right to Access (GDPR Pasal 15) atau Hak untuk Mengakses (RUU PDP Pasal 6). Berdasarkan Pasal 32 RUU PDP, Pengendali Data harus memberikan akses kepada subyek data paling lambat 3x24 jam terhitung sejak Pengendali Data Pribadi menerima permintaan akses. Untuk hal ini, menurut saya Kominfo dapat memberikan petunjuk umum dalam melakukan manajemen akses permintaan data agar seluruh industri memiliki acuan dalam memberikan informasi akses kepada Pemilik Data
  4. Pejabat pelindungan data pribadi. GDPR Pasal 37 mengatur perihal penunjukan Data Protection Officer (DPO) atau Pejabat Pelindungan Data Pribadi yang diatur dalam RUU PDP Pasal 45. Tugas dan fungsi DPO ini sudah dijelaskan secara umum di RUU PDP. Nantinya, Kominfo perlu membuat standar kompetensi DPO dan mekanisme bagaimana peran dan tanggung jawab DPO dalam ekosistem perlindungan data di Indonesia.
  5. Manajemen persetujuan. GDPR Pasal 6 terkait Lawfulness of processing menyebutkan terdapat beberapa landasarn hukum yang dapat digunakan untuk memroses data pribadi, salah satunya explisit consent/persetujuan secara eksplisit. Pasal 18 dan Pasal 19 RUU PDP juga mengatur hal yang sama. Memang pada Pasal 18 (2) disebutkan bahwa persetujuan eksplisit tidak diperlukan untuk beberapa aspek pemenuhan kewajiban terhadap perjanjian (agreement), hukum, kepentingan yang sah (vital interest), pelayanan publik (public interest), dan kepentingan sah yang lainnya (legitimate interest). Menurut saya, Kominfo perlu memberikan petunjuk umum terkait jenis dan tujuan aktivitas pemrosesan data pribadi apa saja yang membutuhkan explisit consent (misalnya untuk kebutuhan direct marketing). Selain itu, perlu adanya standar/kriteria dalam penggunaan legitimate interest sebagai landasan hukum permosesan data pribadi. Jika mengacu pada praktik GDPR di Eropa, mengutip dari saran ICO UK (Lembaga pengawasan perlindungan data di UK), organisasi dapat menggunakan three-part test untuk menilai legitimate interest. Three-part test merupakan analisis terhadap tiga aspek kepentingan yang sah, yaitu Tujuan (Purpose), Kebutuhan (Necessity), dan Keseimbangan (Balancing).
  6. Mekanisme pelaporan insiden data pribadi (data breach). GDPR Pasal 33 dan RUU PDP Pasal 39 mengatur perihal pelaporan terhadap otoritas perlindungan data jika terjadi data breach. Data breach tidak hanya diartikan dalam konteks insiden keamanan informasi yang melibatkan data pribadi saja, namun pelanggaran terhadap prinsip-prinsip perlindungan data (Privacy) dan Hak-Hak Pemilik Data dapat dikatakan sebagai data breach. Jika melihat kasus-kasus pelanggaran data di Eropa, organisasi tidak hanya dikenakan sanksi karena kebocoran data akibat peretasan saja, namun juga karena kelalaian dalam memenuhi hak-hak pemilik data.

Bagaimana kekurangan atau kelebihan aspek data privacy dan data protection yang dimuat RUU PDP, jika dibandingkan dengan yang dimuat GDPR?

Salah satu kelebihan RUU PDP adalah hak subyek yang lebih banyak dari GDPR.

Beberapa kekurangan RUU PDP dibandingkan GDPR:

  1. Kalau dari regulasinya, mengingat RUU PDP mengadopsi GDPR, maka kurang lebihnya pengaturan Data Protection Officer (DPO) sama. Namun di RUU PDP tidak mensyaratkan bahwa DPO harus independen atau bebas dari konflik kepentingan.
  2. Hal yang mengatur bahwa persetujuan/consent harus diberikan secara bebas (freely given). Dalam hal ini Pengendali Data tidak boleh memaksa atau mempersulit Pemilik Data dalam memberikan dan mencabut persetujuannya.
  3. RUU PDP tidak mengatur Privacy by Design dan Privacy by Default (PbD). PbD merupakan mekanisme untuk mengintegrasikan prinsip-prinsip Privasi dalam kegiatan operasional bisnis, terutama dalam pengembangan sistem aplikasi dan layanan.
  4. RUU PDP tidak mengatur perihal subyek data yang rentan (Vulnerable person), yang mencakup lansia, anak dibawah umur, dan orang berkebutuhan khusus.

Dengan belum adanya UU PDP, apa ancaman bagi pelaku usaha dan juga pemilik data pribadi?

Kurangnya kesadaran untuk dapat menjalankan praktik-praktik pemrosesan data yang sah dan beretika karena belum cukupnya regulasi yang tegas mengatur dan mewajibkan hal tersebut kepada para pelaku usaha. Memang Perkominfo sudah memiliki Perkominfo No 20 Tahun 2016 yang mengatur perihal Perlindungan Data Pribadi pada Sistem Elektronik. Namun dengan adanya regulasi di tingkat Undang-Undang, diharapkan seluruh organisasi dan instansi pemerintah akan lebih sadar dalam meningkatkan menjalankan praktik-praktik pemrosesan data yang sah dan beretika serta penerapan kontrol keamanan informasi yang efektif.

DPO diperkirakan akan menjadi profesi yang banyak peminatannya, maka dari itu sudah banyak badan sertifikasi yang menyediakan pelatihan bersertifikat untuk DPO, menurut Bapak bagaimana seharusnya RUU PDP mengatur badan sertifikasi yang mengadakan dan pelatihan sertifikat DPO?

Pasal 46 Ayat 3 RUU PDP menyatakan bahwa Ketentuan lebih lanjut mengenai pejabat atau petugas yang melaksanakan fungsi pelindungan Data Pribadi diatur dalam Peraturan Pemerintah. Berdasarkan hal tersebut, maka detil dari pelatihan dan sertifikasi DPO akan dijelaskan di Peraturan Pemerintah. Menurut saya, sangat penting Pemerintah dan/atau Lembaga Pengawas Perlindungan Data Pribadi mengatur kompetensi dasar yang harus dimiliki oleh DPO dan mengatur mekanisme sertifikasi DPO. Menurut saya, Lembaga Pengawas Perlindungan Data Pribadi dapat bekerja sama dengan embaga Sertifikasi Profesi (LSP) yang resmi terdaftar.

Saat ini RUU PDP sedang berada dalam pembahasan terkait Lembaga Pengawas, apakah menurut Bapak Lembaga Pengawas lah yang harusnya mengeluarkan sertifikasi DPO agar seluruh DPO memiliki standar yang sama atau Lembaga Pengawas dapat juga mengawasi badan sertifikasi DPO? Sejauh apa wewenang atau tugas dari lembaga pengawas terhadap badan sertifikasi?

Jika mengacu pada GDPR, Pasal 42 menjelaskan tentang GDPR certification. Namun perlu digarisbawahi bahwa sertifikasi yang dimaksud adalah sertifikasi kepatuhan (compliance sertification) oleh Data Controller/Data Processor terhadap GDPR. Mengingat di RUU PDP tidak ada pasal yang menjelaskan secara eksplisit terkait hal tersebut. maka menurut opini saya pribadi Lembaga Pengawas dapat mengeluarkan sertifikasi DPO. Dalam impementasinya, Lembaga Pengawas dapat bekerja sama dengan Lembaga Sertifikasi Profesi (LSP) yang resmi terdaftar. Lembaga Pengawas bersama Lembaga Sertifikasi Profesi dapat melakukan FGD untuk menentukan kompetensi dasar / minimal yang harus dimiliki DPO dan mekanisme sertifikasinya. misalnya persyaratan pengajuan DPO, uji kompetensi, dan perpanjangan tanda daftar DPO di Lembaga Pengawas.

Badan sertifikasi seperti apakah yang ideal dan berwenang untuk mengeluarkan sertifikasi DPO?

Lembaga Sertifikasi Profesi yang terdaftar secara resmi di Badan Nasional Sertifikasi Profesi (BNSP — https://bnsp.go.id/)

RUU PDP mengatur bahwa DPO harus ditunjuk berdasarkan kualitas profesional, kriteria apa yang harusnya masuk terhadap kualitas profesional yang dimaksud?

Dalam RUU PDP tidak dijelaskan secara detil seperti apa kualitas profesional yang diharapkan. Banyak referensi yang menyebutkan bahwa DPO harus memiliki pengetahuan yang mumpuni terhadap aspek hukum. Namun, untuk meningkatkan kualitas profesional, tidak cukup hanya memahami regulasi. Mengutip dari Article 29 Data Protection Working Party, DPO harus memiliki kemampuan profesional sebagai berikut.
1. Memahami kultur organisasi, khususnya jika berada di organisasi global.
2. Memiliki leadership dan eksposur ke Top Management yang baik
3. Self-starter alias tahu harus ngapain tanpa harus menunggu asupan instruksi dari yang lain.
4. Memiliki kemampuan komunikasi yang baik ke stakeholder terkait, khususnya ke citizen atau masyarakat awam dengan bahasa yang mudah dimengerti.
5. Memiliki kredibilitas dan tidak conflict of interest

Dari berbagai sumber, berikut adalah kompetensi yang menurut saya perlu dimiliki oleh DPO:
1. Dapat melalukan pemetaan kebutuhan regulasi-regulasi yang terkait perlindungan data pribadi
2. Dapat mengidentifikasi legal basis dari sebuah aktivitas pemrosesan data pribadi
3. Dapat melakukan penilaian legitimate interest jika organisasi menggunakan itu sebagai landasan hukum untuk aktivitas pemrosesan tertentu
4. Dapat menyusun prosedur dalam menangani permintaan akses subyek data / data subject access request (DSAR)
Dapat menilai dan menentukan akses terhadap permintaan data dalam konteks untuk menjawab hak-hak subyek data yang diatur dalam regulasi 5. perlindungan data /privacy
6. Dapat menyusun kebijakan perlindungan data / privacy
7. Dapat melakukan audit terhadap implementasi perlindungan data / privacy
8. Dapat melakukan penilaian risiko terhadap aktivitas pemrosesan data pribadi
9. Dapat menyusun prosedur privacy by design and default
10. Dapat menentukan kriterian dan melakukan data protection impact assessment (DPIA)
11. Dapat melakukan komunikasi yang baik dengan lembaga pengawas
12. Dapat menyusun dan memberikan materi training dan awareness

Dalam kondisi belum disahkannya RUU PDP, dan tidak ada aturan yang mengatur secara jelas terkait hal ini, bagaimana praktik transfer data pribadi lintas batas negara yang dapat diterapkan oleh organisasi saat ini?

Saat ini, sektor industri yang diatur cukup ketat adalah keuangan melalui OJK dan BI, khususnya terkait data residency. OJK dan BI mewajibkan sistem yang menyimpan data nasabah harus berada di Indonesia. Perusahaan dapat meletakkan data di luar Indonesia atas seizin OJK dan BI. Hal ini secara tidak langsung membatasi pertukaran data di sektor Keuangan. Bagaimana dengan sektor lain? Di luar sektor keuangan, kita dapat mengacu pada PP 71 Tahun 2019 (PP 82 Tahun 2012) tentang Penyelenggaraan Sistem dan Transaksi Elektronik, dimana Penyelenggara Sistem Elektronik Lingkup Privat dapat melakukan pengelolaan, pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik di wilayah Indonesia dan/atau di luar wilayah Indonesia. Memang perlu kita sadari bahwa PP 71/2019 ini lebih longgar dari PP 82/2012. Hal ini menjadi tantangan bagi penerapan perlindungan data pribadi ketika RUU PDP disahkan karena belum ada aturan dan petunjuk teknis yang jelas dari pemerintah terkait transfer data (khususnya data pribadi) lintas batas negara.

Namun jika kita mengacu pada praktik yang terjadi di Eropa, Article 46 GDPR menyatakan bahwa organisasi harus menerapkan “appropriate safeguards” atau perlindungan data yang memadai ketika melakukan transfer data. Sebelum melalukan transfer, organiasi perlu melakukan Transfer Impact Assessment (TIA) untuk melihat apakah dari risiko-risiko yang ada, pengiriman data ke negara tertentu diizinkan atau tidak. GDPR telah menentukan beberapa legal safeguards seperti adanya Standard Contractual Clauses (SCC), Binding Corporate Rules (BCR), Adhoc Contractual Clauses, International Agreements, Approved codes of conduct and certification mechanisms, dan legall binding instruments antara otoritas publik, namun belum tentu hal tersebut secara keseluruhan dapat diterapkan di Indonesia. Nantinya pemerintah perlu melakukan kajian lebih lanjut untuk menetapkan mekanisme TIA yang cocok digunakan oleh Indonesia.

Jadi, untuk saat ini untuk organisasi selain sektor keuangan, masih dapat melakukan transfer data pribadi dengan tanpa menggunakan legal safeguards seperti yang saya sebutkan sebelumnya.

Apa saja kendala yang mungkin dihadapi dalam mentransfer maupun menerima data pribadi lintas batas negara?

Bagi organisasi di Indonesia, tantangan terbesar adalah jika melakukan transfer data warga Eropa dari dan ke Indonesia (dalam hal ini kantor pusat atau cabang ada di Eropa). Saat ini Indonesia belum masuk ke daftar negara yang telah mendapatkan status kecukupan (adequacy) dari European Commission, sehingga jika legal safeguards yang digunakan tidak memadai, maka transfer data pribadi tidak boleh dilakukan. Jika transfer tetap dilakukan, maka organisasi dapat dikenakan sanksi jika ketahuan oleh Lembaga Pengawas PDP.

Dengan asumsi yang saya sebutkan, maka organisasi masih dapat melakukan transfer data dengan menggunakan dasar hukum/legal basis seperti persetujuan (consent), pemenuhan kontrak, kepentingan publik, perlindungan terhadap kepentingan vital, dan legitimate interest.

Profil Penulis

Eryk merupakan praktisi dan konsultan di bidang Cybersecurity, IT Advisory, dan Privacy yang memiliki pengalaman di tiga area tersebut di berbagai industri, baik organisasi di Indonesia maupun luar negeri. Eryk merupakan member dari International Association of Privacy Professionals (IAPP), satu-satunya asosiasi terbesar untuk praktisi privacy di seluruh dunia. Eryk memiliki beberapa sertifikasi terkait Data Privacy: Certified Information Privacy Manager (CIPM), Certified Data Protection Officer (CDPO), OneTrust Privacy Professional, OneTrust Privacy Expert, dan OneTrust Fellow of Privacy Technology.

Channel berita Telegram seputar Data Privacy & Protection: https://t.me/dataprivid

Komunitas Data Privacy & Protection Indonesia: https://t.me/dataprotectionid

Privacy
Data Privacy
Data Protection
Gdpr

--

--

Eryk Budi Pratama

Written by Eryk Budi Pratama

254 Followers

Global IT & Cybersecurity Advisor | Global CIO & CISO Advisory | IT GRC | Cloud | Cyber Resilience | Data Privacy & Governance

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams