Pada Oktober 2022, Pemerintah RI resmi mengesahkan UU No.27 tahun 2022 atau lebih dikenal sebagai UU Perlindungan Pribadi.
Selain mengatur asas, hak, dan kewajiban terkait data pribadi, aturan ini juga memberi waktu dua tahun bagi pemangku kepentingan untuk mempersiapkan diri.
Secara paralel, transisi waktu tersebut seharusnya digunakan pemerintah untuk menyusun aturan pelaksana dari UU tersebut.
Namun Sub Koordinator Bidang Regulasi PDP Direktorat Tata Kelola Aptika Kementerian Komunikasi dan Digital RI Tuaman Manurung menyebut, aturan turunan tersebut justru masih digodok.
“Saat ini, Pemerintah sedang melakukan harmonisasi aturan pelaksanaan bersama kementerian dan lembaga terkait,” ungkap Tuaman.
Pemerintah juga masih memiliki pekerjaan rumah untuk membentuk otoritas pengawas PDP.
Meski belum ada aturan pelaksanaan, Tuaman mendorong organisasi atau perusahaan untuk bersiap menjalani regulasi tersebut.
“Karena di UU ITE (UU 11/20008, Red), aturan keamanan data sudah ada dan masih berlaku,” tambah Tuaman.
Artinya kelalaian terkait perlindungan data pribadi mengakibatkan konsekuensi hukum bagi pihak terkait.
Alasan lain yang mendasar adalah, data pribadi pada dasarnya adalah hak asasi manusia.
“Karena itu untuk menghargai HAM sekaligus menjaga kepercayaan publik, penting bagi setiap organisasi untuk menjalankan regulasi ini,” tambah Tuaman.
Tuaman mengungkapkan hal tersebut pada acara NTT DATA Indonesia Executive Luncheon bertajuk “Navigating the Indonesian PDP Regulation in 2025 & Beyond”.
Acara yang berlangsung Kamis (13/2/2025) tersebut dihadiri puluhan IT leaders dan menjadi ajang diskusi seputar UU Perlindungan Data Pribadi, termasuk best practice dalam memenuhi regulasi tersebut.
Baca Juga: NTT DATA Ignite 2024: Pentingnya Implementasi Generative AI yang Bertanggung Jawab
Aturan yang harus dijalani
Sesuai UU Perlindungan Data Pribadi, organisasi atau perusahaan yang mengumpulkan data pribadi disebut Pengendali Data Pribadi maupun Pemroses Data Pribadi.
Pada posisi tersebut, perusahaan harus mematuhi sekitar 38 kewajiban. Tuaman menggarisbawahi, UU PDP tidak cuma mengatur pengamanan data yang selama ini sering menjadi fokus pembicaraan.
“Namun juga menyangkut penyampaian informasi, transparansi, akuntabilitas, sampai pemenuhan permintaan penghapusan,” tambah Tuaman.
Hal lain yang perlu dipahami adalah UU PDP Indonesia lebih luas dibanding regulasi sejenis di negara lain.
Selain mengatur data pribadi dalam konteks transaksional (pengumpulan data terkait kegiatan bisnis) seperti negara lain, UU PDP di Indonesia juga mencakup aspek hak pemilik data dan perlindungan dari tindak kejahatan.
“Karena itu, sanksi hukum dari UU PDP di Indonesia meliputi sanksi pidana, administratif, maupun perdata,” tambah Tuaman.
Sanksi pidana dapat dijatuhkan pada empat bentuk kejahatan terkait data, yaitu mengumpulkan data pribadi secara ilegal, mengungkapkan data pribadi, menggunakan data pribadi yang bukan miliknya, serta membuat data pribadi palsu.
Hukumannya berbentuk pidana penjara maksimal 4-6 tahun serta denda maksimal Rp 4-6 miliar.
Untuk sanksi administratif, terdapat empat jenis sanksi. Pertama adalah peringatan tertulis, kedua penghentian sementara kegiatan pemrosesan data pribadi, ketiga pemusnahan data pribadi, dan keempat adalah denda administratif dengan nilai maksimal 2 persen dari pendapatan global.
Berat atau ringannya sanksi administrasi ini sendiri ditentukan dari banyak faktor.
“Mulai dari dampak pelanggaran, riwayat kepatuhan, sampai durasi waktu terjadinya pelanggaran,” tambah Tuaman.
Sementara sanksi perdata dapat terjadi karena pemilik data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan perundangundangan.
Baca Juga: Akuisisi Niveus Solutions, NTT DATA Bakal Dominasi Solusi AI dan Cloud
Tantangan di industri
Ketika regulasi PDP hampir lengkap, tantangan berikutnya adalah di sisi implementasi. Terkait hal ini, kesiapan pelaku industri memang beragam.
Security Advisor Bank BNI Kirby Chong yang hadir sebagai narasumber di diskusi panel, menyebut pihaknya sudah melakukan langkah antisipasi untuk mematuhi aturan ini.
“Sebenarnya di industri keuangan, regulasi terkait keamanan data sudah sangat ketat. Namun ada beberapa langkah ekstra yang kami lakukan untuk memenuhi aturan ini,” ungkap Kirby.
Bank BNI sendiri memiliki tim Data Protection Officer (DPO) tersendiri yang bertugas memastikan kepatuhan akan aturan yang berlaku.
“Kami di tim security berfungsi menyediakan technology tools yang membantu tim DPO ini,” tambah Kirby.
Saat menyiapkan sistem perlindungan data pribadi ini, Kirby menyebut ada banyak tantangan yang muncul. Salah satunya terkait consent dan cookies management.
“Karena seperti bank pada umumnya, Bank BNI memiliki ratusan aplikasi, baik yang legacy maupun baru,” ungkap Kirby.
Konsolidasi menjadi tantangan terbesar. Misal si A memakai aplikasi B dan besok aplikasi C dengan consent yang berbeda-beda, tambahnya.
Sementara di industri pelayanan kesehatan, aturan tentang keamanan data sebenarnya juga bukan hal baru.
“Karena aturan terkait keamanan data di industri kesehatan sudah banyak, baik dalam bentuk UU maupun aturan Menteri Kesehatan,” ungkap Tony Seno Hartono (Technology Advisor Perhimpunan Digital Medis Indonesia).
Suasana diskusi panel yang melibatkan regulator dan pelaku industri
Namun terkait UU PDP ini, ia melihat pelaku pelaku industri pelayanan kesehatan masih dalam status menunggu aturan turunannya.
“Apalagi pelaku industri pelayanan kesehatan belum melihat relevansi regulasi ini dengan bisnis,” ujar Tony.
Kalaupun aturan turunan itu sudah ada, Tony melihat banyak kendala yang harus diantisipasi. Salah satunya adalah kemampuan sumber daya manusia (SDM) IT di rumah sakit sangatlah terbatas.
"Tim IT di rumah sakit sangat kecil. Biasanya ada satu orang tim IT yang menjadi 'Superman' karena harus melakukan semuanya," katanya.
Selain itu, rumah sakit di Indonesia belum banyak mengenal konsep Data Privacy Officer (DPO).
Kewajiban memiliki DPO di setiap organisasi, termasuk rumah sakit, akan menciptakan pos sumber daya baru.
"Secara struktural juga berpotensi menemui kendala karena jabatannya harus tinggi sehingga bisa langsung melapor ke direktur RS," ujarnya.
Baca Juga: Ini Ragam Solusi dari HPE Aruba Network untuk Mengamankan Data
Menjawab tantangan lewat teknologi
Untuk menjawab tantangan tersebut, memang banyak hal yang harus dilakukan.
Seperti diungkap Rino Miraz Director of Solution Architecture, PT NTT Indonesia Technology, implementasi UU PDP memerlukan pendekatan holistik dan kolaborasi antar-pemangku kepentingan.
Organisasi harus memastikan aspek teknis dan operasional sesuai dengan aturan yang berlaku.
Langkah awal yang bisa dilakukan adalah memahami risiko yang mereka hadapi. Sebab, tidak semua aplikasi atau sistem memiliki tingkat risiko yang sama.
Misalnya, aplikasi A yang diakses oleh banyak nasabah memiliki risiko lebih tinggi dibandingkan aplikasi B yang hanya diakses secara internal.
“Kita perlu mengidentifikasi aset mana yang memiliki risiko tinggi dan fokus pada perlindungannya," paparnya.
Ia juga menekankan pentingnya pendekatan berbeda dalam mengelola risiko.
"Kita harus merombak berbagai macam teknologi dan aplikasi yang ada. Misalnya, dengan melakukan re-arsitektur aplikasi menggunakan teknologi terbaru untuk meningkatkan pertahanan sistem," tambah Rino.
Baca Juga: Inilah Saran NTT DATA untuk Menjalankan UU Perlindungan Data Pribadi
Teknologi juga dapat dimanfaatkan untuk menjawab sebagian tantangan tersebut. Seperti diungkap Hendro Suyanto SASE Sales Specialist, PT HPE Indonesia, solusi teknologi dapat memastikan jaringan data perusahaan aman dan bisa mencegah kasus kebocoran data.
Menurutnya, solusi HPE Aruba dapat memberikan visibilitas di semua jaringan sehingga bisa memastikan data Anda aman.
"Solusi kami bisa membatasi akses dan hanya orang tertentu yang bisa mengakses data. Tak hanya itu, solusi kami juga bisa merekam orang yang mengakses dan mengambil data sehingga kita bisa tahu data forensiknya," ujarnya.
Secara keseluruhan, perlindungan data pribadi di Indonesia membutuhkan upaya berkelanjutan dari semua pemangku kepentingan.
UU PDP memberikan kerangka hukum yang kuat, tetapi keberhasilannya bergantung pada implementasi yang efektif, kesadaran publik, dan kolaborasi lintas sektor.