UU Data Pribadi Berlaku Hari ini, Perusahaan Harus Tunjuk Pejabat Data

Kamis, 17/10/2024 | 21:56 WIB | NEWS

Reporter: Getar Merdeka Red IT: Firman Wage Prasetyo

□Oleh: Intan Rakhmayanti, CNBC Indonesia

■Foto: Panji Wasmana National Technology Officer Microsoft Indonesia saat diskusi dengan media yang membahas implikasi UU PDP, di Jakarta, Kamis (17/10/2024). (CNBC Indonesia/Intan Rakhmayanti Dewi) Getty Images © 2024 GetarMerdeka.com

Jakarta, GetarMerdeka.com — Undang-undang Perlindungan Data Pribadi (UU PDP) sudah berlaku hari ini, Kamis (17/10/2024), sejak disahkan dua tahun lalu.

Latar belakang peraturan ini berakar pada meningkatnya insiden pelanggaran dan penyalahgunaan data, yang menyoroti perlunya struktur hukum formal untuk melindungi data pribadi.

UU PDP No. 27 Tahun 2022 di Indonesia menetapkan kerangka kerja untuk privasi data yang selaras dengan standar internasional yang ditetapkan seperti Peraturan Perlindungan Data Umum (GDPR).

Peraturan ini menguraikan hak dan kewajiban individu, entitas, dan menetapkan sanksi atas ketidakpatuhan. UU PDP peraturan dan undang-undang Indonesia lainnya yang terkait dengan privasi dan perlindungan data, termasuk kewajiban pengendali dan pemroses data.

Fungsi Petugas Perlindungan Data (DPO)

Adapun pengendali dan pemroses data memiliki kewajiban khusus, salah satunya menunjuk Petugas Perlindungan Data (DPO).

DPO adalah orang yang ditunjuk jika operasi pemrosesan memerlukan pemantauan rutin dan sistematis terhadap subjek data dalam skala besar, atau melibatkan pemrosesan data sensitif dalam skala besar.

Microsoft dan EY, sudah mempersiapkan guidance atau panduan bagi industri mengenai DPO dan seluk-beluk terkait dengan UU PDP yang dirangkum dalam white paper bertajuk "Indonesia's Personal Data Protection Law".

Dalam white paper tersebut, tertulis bahwa DPO harus memiliki pengetahuan ahli tentang hukum dan praktik perlindungan data.

DPO juga bertanggung jawab untuk mengawasi strategi perlindungan data organisasi dan penerapannya untuk memastikan kepatuhan terhadap UU PDP.

Mereka juga berfungsi sebagai titik kontak bagi otoritas pengawas dan subjek data.

Petugas yang ditunjuk harus bisa menjalankan tugas dan kewajibannya secara independen, tanpa menerima instruksi apapun terkait pelaksanaan fungsinya dari pengontrol atau pemroses.

"Jadi kita lihat bahwa sangat penting untuk mencari sosok DPO yang sesuai dengan SKKNI dan mencoba melakukan pre-train proses di dalam diri kita untuk being ready," ujar Panji Wasmana National Technology Officer Microsoft Indonesia saat diskusi dengan media yang membahas implikasi UU PDP, di Jakarta, Kamis (17/10/2024).

DPO as a Service

Pejabat atau staf yang melaksanakan fungsi perlindungan data pribadi dapat berasal dari dalam dan/atau luar pengendali data atau pemroses data (DPO as a Service).

DPO as a Service berperan untuk menginformasikan dan memberi saran kepada pengendali data atau pemroses data agar mematuhi ketentuan undang-undang ini.

Mereka juga memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan pengendali data atau pemroses data.

Serta memberikan saran tentang penilaian dampak perlindungan data pribadi dan memantau kinerja pengendali data dan pemroses data.

Tak lupa mengkoordinasi an bertindak sebagai narahubung untuk masalah yang terkait dengan pemrosesan data pribadi. Dalam white paper-nya, Microsoft menulis bahwa DPO as a Service merupakan solusi fleksibel dan hemat biaya untuk kewajiban perlindungan data melalui pakar subjek yang direkrut secara eksternal.

Pilihan ini memungkinkan organisasi untuk fokus pada bisnis inti, sambil memastikan kepatuhan terhadap aturan yang berlaku.

Dampak Jika Perusahaan Tak Menunjuk DPO

Berdasarkan UU PDP, kegagalan menunjuk DPO dapat mengakibatkan setidaknya 4 kerugian bagi organisasi. Pertama adanya sanksi hukum. Jika gagal menunjuk DPO, organisasi bisa dikenai denda hingga Rp10 miliar atau 2% dari pendapatan tahunan tergantung dari angka yang lebih tinggi.

Kedua, meningkatnya risiko pelanggaran data. Tanpa DPO, risiko kesalahan penanganan data pribadi dan pelanggaran data akan lebih tinggi. Ketiga, kerusakan reputasi. Dengan tidak adanya DPO dapat merusak kepercayaan dan merusak citra publik pada organisasi terkait.

Terakhir, akan terhadi ketidakefisienan operasional. Organisasi dapat mengalami manajemen praktik perlindungan data yang buruk dan kesenjangan kepatuhan. (fab/desk*)

Sumber: CNBC Indonesia

[gmc/fab/ro1/adv]

SHARE