Pelaku industri ekonomi digital di Indonesia menyambut rencana baik pengesahan Rancangan Undang-Undang (RUU) Pelindungan Data Pribadi (PDP).
Namun demikian, diperlukan pengkajian lebih dalam mengenai peraturan teknis mengingat mayoritas pelaku industri belum memiliki infrastruktur yang memadai.
Kepala Badan Pengembangan Ekosistem Ekonomi Digital Kamar Dagang dan Industri (KADIN) Indonesia, Andre Soelistyo mengatakan bahwa aturan perlindungan data pribadi bisa meningkatkan literasi konsumen mengenai privasi dan keamanan ekosistem ekonomi digital, sehingga akan semakin terjaga.
“Adanya standardisasi tata kelola pemrosesan data pribadi melalui UU PDP juga akan menjadi insentif yang baik bagi pengembangan industri ekonomi digital dengan meningkatkan kepercayaan dan keyakinan konsumen serta investor. Pemerintah diharapkan dapat terus mengedepankan diskusi dengan berbagai pemangku kepentingan, utamanya pelaku usaha, agar privasi ini implementatif dan mendorong keberlanjutan serta laju transformasi digital yang penting bagi pemulihan ekonomi pasca pandemi,” kata Andre.
Sementara itu, Executive Director Indonesia Services Dialogue (ISD) Council, Devi Ariyani menerangkan, Rancangan Undang-Undang Perlindungan Data Pribadi disusun dengan niat baik untuk melindungi pemilik data dan mendorong pengembangan industri pada ekosistem ekonomi digital.
Sehingga guna memastikan tingkat kepatuhan yang baik saat undang-undang ini disahkan butuh keterlibatan semua pihak di dalamnya.
“Namun demikian, kapasitas yang memadai untuk mematuhi UU PDP saat aturan tersebut disahkan masih menjadi tantangan tersendiri bagi industri,” cetus Devi.
Riset terbaru dari ISD Council bersama Badan Pengembangan Ekosistem Ekonomi Digital Kamar Dagang dan Industri (KADIN) terhadap hampir 65 perusahaan di bidang industri ekonomi digital menemukan, mayoritas perusahaan digital akan terdampak dengan ketentuan dalam aturan PDP, khususnya terkait dengan kewajiban pengendali data pribadi.
Namun demikian, perusahaan masih membutuhkan waktu untuk membangun kesiapan di internal, dibuktikan dengan mayoritas perusahaan digital (81,3%) belum memiliki Data Protection Officer (DPO).
DPO merupakan amanah RUU PDP kepada pengendali data untuk mengawasi tata kelola pemrosesan data pribadi dalam suatu instansi.
Selain itu, sebagian besar (67,2%) perusahaan merasa belum mampu memenuhi ketentuan jangka waktu pemenuhan hak pemilik data pribadi menurut RUU PDP apabila menerima volume permohonan yang sangat tinggi dalam satu waktu tertentu.
Maka, perusahaan, khususnya dengan skala menengah atau kecil, berpotensi tidak bisa menerapkannya dengan baik.
Guna memastikan kepatuhan dari pelaku industri, RUU PDP yang saat ini masih dalam kajian oleh Pemerintah dan DPR perlu turut mempertimbangkan potensi beban kepatuhan yang akan muncul dari kewajiban-kewajiban yang disebutkan dalam undang undang.
Mengingat banyak pelaku usaha tidak memiliki kapasitas yang memadai karena belum memiliki DPO dan sistem otomasi yang siap pakai, tentu akan diperlukan investasi tambahan dari pelaku usaha guna memastikan kepatuhan.
Berdasarkan draft RUU yang terakhir dipublikasikan, ada tujuh belas (17) hal yang menjadi kewajiban pengendali data seperti perusahaan digital atas pemenuhan hak dari pemilik data atau subjek data, mulai dari memastikan akurasi hingga penghapusan data.
Salah satu aturan teknis yang akan menjadi tantangan adalah terkait ketentuan pemenuhan hak pemilik data pribadi yang cukup restriktif dari segi waktu.
“Bila kita lihat pada berbagai regulasi internasional yang telah ada, pada umumnya ketentuan pemenuhan hak ini memiliki jangka waktu yang lebih lama dari aturan di RUU PDP. Riset kami juga menunjukkan bahwa pelaku industri berharap, RUU PDP bisa menciptakan aturan yang selaras dengan praktik internasional tersebut,” ungkap Devi.
Peraturan-peraturan teknis terkait perlindungan PDP yang akan mengatur standar industri sebaiknya dituangkan dalam peraturan pelaksanaan oleh Otoritas PDP yang akan segera dibentuk.
Menurut Devi, untuk pengaturan – pengaturan yang lebih teknis agar dapat diatur lebih lanjut pada aturan turunan dari Otoritas PDP dan bukan di tingkat undang-undang.
Sehingga undang-undang yang bermaksud baik dan sangat penting ini bisa tetap mendukung perkembangan ekonomi digital Indonesia serta tidak terjebak dengan pengaturan teknis.
Undang-undang sebaiknya mengatur ketentuan yang mengatur norma hukum dan prinsip umum sebagai payung hukum perlindungan data pribadi.
Baca Juga: Menyelisik Keandalan RUU PDP untuk Melindungi Data Pengguna Internet di Indonesia