Quick Win Perusahaan anda dalam Mematuhi UU PDP

Oktober 2024 ini menjadi waktu yang sakral bagi seluruh perusahaan dan pengelola sistem elektronik di Indonesia. Pasalnya pada bulan Oktober 2024 merupakan habisnya masa transisi Undang-undang Perlindungan Data Pribadi atau yang lebih dikenal dengan UU PDP bagi seluruh pengelola sistem elektronik di Indonesia. Hal ini mengikat bagi seluruh instansi Pemerintahan, Perusahaan, dan Organisasi tanpa terkecuali. Yang membuat para pengelola sistem elektronik ketakukan dari berlakunya undang-undang ini yaitu adanya ketentuan denda sebesar 2 persen dari pendapatan tahunan pengelola sistem elektronik jika terbukti terdapat kebocoran data pribadi yang merugikan pelanggan. Lebih mengerikannya lagi, dikarenakan belum adanya peraturan pelaksana yang mengatur tata kelola ini membuka interpretasi yang beragam salah satunya denda berlipat pada kebocoran data pribadi yang berulang. Meskipun undang-undang ini memberikan tengkat 2 tahun masa transisi untuk para pengelola sistem elektronik dapat mematuhi ketentuannya, beberapa perusahaan besar dengan skala nasional tidak memiliki cukup waktu untuk mematuhinya. Lantas aktivitas cepat (quick win) apa yang perlu dilakukan perusahaan dalam waktu genting ini ?

Mengenal Data Pribadi

Undang-undang Perlindungan Data Pribadi dimaktubkan dalam UU No 27 Tahun 2022 yang berisi perlindungan data pribadi di Indonesia. Dalam undang-undang ini didefinisikan bahwa data pribadi dibagi menjadi dua:

1. Data Pribadi Bersifat Umum : Nama, Jenis Kelamin, Kewarganegaraan, Agama, dan Status Perkawinan

2. Data Pribadi Bersifat Spesifik : Informasi Kesehatan, Biometrik, Genetik, Catatan kriminal, Data anak, dan Data Keuangan / Finansial

Beberapa ahli hukum dan regulator berpendapat bahwa data-data pendukung selain dari kedua jenis data pribadi di atas yang jika dapat digunakan untuk mencirikan (memprofil) seseorang juga perlu dilindungi meskipun tidak dihitung sebagai data pribadi (contoh: ID pelanggan, email, atau nomor telepon).

Quick Win UU PDP

UU PDP dalam penyusunannya banyak menadopsi undang-undang privasi di belahan dunia lainnya khususnya undang-undang perlindungan data pribadi Uni Eropa yang lebih dikenal dengan GDPR. Tak ayal bahwa UU PDP ini mengatur berbagai macam hal meliputi pengelolaan consent, organisasi Data Protection Officer (DPO), Data Privacy Impact Assessment (DPIA), Record of Processing Activity (ROPA), hingga denda pelanggaran. Dengan luasnya hal-hal yang diatur dalam undang-undang tersebut tidak aneh jika perusahaan berskala besar mengalami kesulitan dalam mematuhi segala ketentuannya dalam kurun waktu dua tahun masa transisi. Meskipun demikian hasil pembelajaran dan penelusuran saya, setidaknya terdapat beberapa aktivitas cepat (quick win) yang dapat dilakukan perusahaan dalam upaya mematuhi UU PDP :

1. Mencatat seluruh aktivitas keluar masuk data

ROPA dalam UU PDP mewajibkan perusahaan mencatat seluruh pemrosesan yang dilakukan terhadap data pribadi oleh pengelola sistem elektronik. Sayangnya waktu yang dibutuhkan untuk memetakan proses tersebut tidaklah cepat. Apalagi perusahaan besar dengan banyak cabang di Indonesia, atau yang masih mengkombinasikan pemrosesan data secara manual. Oleh karena itu anda perlu memulai dengan mencatat seluruh aktivitas keluar masuk data secara sistematis. Minimal dengan adanya pencatatan data masuk dan data keluar secara akuntabel, dapat memberikan anda gambaran untuk proses pencatatan-pencatatan berikutnya. Anda dapat memulai dengan memasangkan perangkat firewall dan log collector pada perimeter-perimeter sistem anda untuk mengetahui IP Address pengakses dan data yang dimintanya.

2. Network Data Loss Prevention (Network DLP)

Setelah firewall, anda perlu melengkapi network Data Loss Prevention (Network DLP). Network DLP dapat dipasangkan dalam bentuk perangkat keras maupun lunak yang dapat anda masukkan kata-kata kunci, dan pola yang bilamana kata kunci atau pola tersebut terlihat beredar di jaringan perusahaan anda, maka sistem Network DLP akan memberikan peringatan dan bahkan membatalkan peredaran tersebut. Sebagai contoh Nomor Induk Kependudukan (NIK), atau Nomor Pokok Wajib Pajak (NPWP). Beberapa solusi Network DLP juga telah dilengkapi dengan Artificial Intelligence, sehingga semakin “pintar” seiring dengan berjalannya waktu.

3. Endpoint Data Loss Prevention (Endpoint DLP)

Endpoint dalam hal ini perangkat-perangkat yang digunakan oleh pekerja merupakan tempat yang rawan terjadinya kebocoran data. Baik yang dilakukan secara sengaja oleh pekerja itu sendiri, maupun yang dilakukan secara tidak diketahui seperti perangkat pekerja yang sudah terjangkit dengan malware. Dengan memasangkan perangkat lunak Endpoint DLP, sistem ini akan memberikan peringatan, dan juga menggagalkan usaha kebocoran data melalui perangkat yang digunakan oleh pekerja.

4. Enkripsi Database

UU PDP menuntut pengelola sistem elektronik memberikan perlindungan data pada saat data digunakan, dikirim, dan disimpan. Setiap tahap tersebut memiliki cara perlindungan masing-masing yang tentunya tidak mudah dan murah. Lantas usaha yang paling efektif dalam memberikan perlindungan data dapat dilakukan melalui enkripsi database. Khususnya Enkripsi database hingga ke bagian kolom (Column level encryption) memastikan data yang tersimpan dalam keadaan “sampah”. Sehingga bilamana berhasil dicuri maka sang pencuri juga tidak dapat menggunakan data tersebut.

5. Menunjuk Data Protection Officer (DPO)

Terakhir selain dari sisi teknologi, anda juga perlu mempekerjakan atau menunjuk seorang Data Protection Officer (DPO) dalam organisasi anda yang bertanggung jawab dalam memastikan usaha-usaha perlindungan data pribadi, sekaligus menjadi kontak jika terjadi suatu insiden data pribadi.