Hukum Data Pribadi Absen, Tanggung Jawab Bisnis Sangat Penting

Indonesia belum mempunyai hukum spesifik terkait data pribadi. RUU Perlindungan Data Pribadi (RUU PDP) masih dalam tahap pembahasan. Saat ini, isu perlindungan data pribadi diatur oleh 32 Undang-Undang dan beberapa regulasi turunannya. 

"Padahal perlindungan data pribadi merupakan bagian yang tidak terpisahkan dari perlindungan konsumen. Hal ini dikarenakan peran data sebagai bagian dari transaksi antara konsumen dan pelaku usaha atau penyedia jasa," jelas Peneliti Center for Indonesian Policy Studies (CIPS) Ira Aprilianti, Selasa (21/7/2020).

Akibatnya, pelaksanaan dan pengawasan terkait isu ini tersebar di berbagai kementerian/lembaga.

Baca Juga: Waspada! Pakar Temukan Trojan Baru yang Curi Data Aplikasi Bank

Baca Juga: Soal Kasus Denny Siregar Hina Santri, Polisi Bocorkan Progresnya

Sebagai contoh, penyalahgunaan data pribadi di e-commerce setidaknya diatur oleh UU Telekomunikasi, UU Informasi dan Transaksi Elektronik (ITE), UU Perlindungan Konsumen dan UU Perdagangan.

Secara tidak langsung, urusan perlindungan data pribadi merupakan kewenangan Kementerian Perdagangan dan Kementerian Komunikasi dan Informatika. Tanpa koordinasi yang kuat dari kementerian tersebut, implementasi dan pengawasan perlindungan konsumen akan sulit dipastikan.

"Lemahnya kerangka kebijakan dan implementasi perlindungan data pribadi membuat konsumen Indonesia sangat bergantung pada tindakan bisnis bertanggung jawab yang dilakukan secara mandiri (self-regulatory)," ungkap Ira.

Ia mencontohkan, penandatanganan kode etik bersama oleh tiga asosiasi fintech (Aftech, AFPI, dan AFSI) pada September 2019 terkait perlindungan konsumen, perlindungan privasi, dan data pribadi, mitigasi risiko siber, dan mekanisme minimal penanganan aduan konsumen dan lain-lain.

Ira memaparkan, banyak perangkat digital merekam data konsumen, seperti nama lengkap, alamat, bahkan hingga informasi KTP. Di satu sisi, data ini dapat membantu perangkat digital mengoptimalkan pelayanannya untuk konsumen.

Namun di sisi lain, data ini juga bisa dieksploitasi oleh oknum tidak bertanggung jawab. Berdasarkan laporan Global Data Protection Index 2020 oleh Dell Technologies, sebanyak 82% organisasi teknologi informasi (TI) mengalami kejadian disruptif pada 2019, seperti downtime, kehilangan data, serangan siber dan lain-lain. Angka ini naik dari 76% pada 2018.

Melihat urgensi melindungi data pribadi, pengesahan RUU PDP sebaiknya segera dilakukan. Jika RUU PDP disahkan, pengendali data wajib menyampaikan pemberitahuan secara tertulis paling lambat 72 jam kepada pemilik data dan instansi pengawas jika terjadi data breach atau kegagalan perlindungan data pribadi.

Konsep transparansi pada pelaporan sangat penting. Saat ini, kerangka kebijakan yang berlaku memberikan tenggang waktu 14 hari. Selain itu, sangat penting bagi perusahaan untuk transparan, memberitahukan penggunanya, serta menjelaskan langkah-langkah yang akan perusahaan lakukan untuk memitigasi risiko dan langkah-langkah yang harus pengguna lakukan kalau terjadi kebocoran data.