Memperingati Hari Privasi Data Internasional yang bertepatan pada 28 Januari, potret perlindungan data pribadi Indonesia masih lemah. Berbagai kasus kebocoran data pribadi telah terjadi di Indonesia. Dalam kondisi tersebut, penegakan hukum dan perbaikan kebijakan perlindungan data masih belum memadai. Hal ini menyebabkan risiko kebocoran data pribadi masih tinggi sehingga merugikan masyarakat.
Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang telah melewati uji publik sebenarnya diharapkan mampu menjadi instrumen kebijakan menyeluruh meningkatkan perlindungan data pribadi. Sayangnya, tarik-ulur pembahasan membuat RUU PDP tak kunjung disahkan.
Saat ini, Peraturan Pemerintah (PP) No. 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/2019) mengatur kewajiban Penyelenggara Sistem Elektronik (PSE) untuk memberitahukan secara tertulis pada pemilik data pribadi apabila terjadi kegagalan dalam perlindungan terhadap data pribadi yang dikelolanya (data breach). Nantinya, RUU PDP yang sedang dibahas di DPR akan mengatur kebijakan lebih detail disamping definisi data dan hak pemilik data pribadi. Beberapa pengaturan tersebut yakni penegasan kewajiban dan tanggung jawab data controller dan data processor, pembentukan pejabat Data Protection Officer (DPO), sanksi administrasi hingga sanksi pidana.
Plt. Direktur Tata Kelola Aplikasi Informatika Direktorat Jenderal Aplikasi Informatika, Kementerian Komunikasi dan Informatika, Teguh Arifiyadi menjelaskanRUU PDP yang kini tengah dalam tahap finalisasi antara Pemerintah dan DPR diharapkan dapat meningkatkan tata kelola sistem elektronik di Indonesia. (Baca: BI Kena Serangan Siber, Perlindungan Data Startegis Negara Harus Ditingkatkan)
“Secara bersamaan, berbagai instrumen kebijakan dalam RUU PDP kami susun aturan implementasinya agar efektif dalam mengurangi insiden keamanan siber dan kebocoran data pribadi. Dalam prosesnya, Kominfo berkomitmen untuk menerapkan transparansi dalam sanksi administrasi berupa denda akibat data breach. Aturan denda atas pelanggaran prinsip PDP yang sedang kami susun ini diharapkan menjadi instrumen kebijakan yang ideal untuk pengendalian PDP di Indonesia,” jelas Teguh, Kamis (27/1).
Dalam pembahasan aturan implementasi terbaru, pelanggaran atas pemenuhan kewajiban perusahaan dalam pelaksanaan prinsip-prinsip PDP akan dikenai sanksi administratif. Berdasarkan PP 71/2019, terdapat beberapa prinsip dalam hal pengumpulan dan pemrosesan data pribadi, yakni dilakukan secara terbatas dan spesifik, sah secara hukum, adil, dengan sepengetahuan dan persetujuan dari pemilik Data Pribadi;
Kemudian dilakukan sesuai dengan tujuannya; dilakukan dengan menjamin hak pemilik Data Pribadi; Dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dapat dipertanggungjawabkan, dan memperhatikan tujuan pemrosesan Data Pribadi; dilakukan dengan melindungi keamanan Data Pribadi dari kehilangan, penyalahgunaan, Akses, dan pengungkapan yang tidak sah, serta pengubahan atau perusakan Data Pribadi; dilakukan dengan memberitahukan tujuan pengumpulan, aktivitas pemrosesan, dan kegagalan perlindungan Data Pribadi; Dimusnahkan dan/atau dihapus kecuali masih dalam masa retensi sesuai dengan kebutuhan berdasarkan ketentuan peraturan perundang-undangan.