Managemen Risiko Data Pribadi pada Korporasi dan UU PDP

SALAH satu isu penting terkait risiko operasional korporasi adalah pelanggaran data pribadi. Jika di Eropa dan AS hal ini sudah berjalan sejak 2018, saat General Data Protection (GDPR) diberlakukan oleh Uni Eropa, maka bagi korporasi di Indonesia hal ini merupakan bentuk risiko operasional baru.

Indonesia belum lama ini telah mengundangkan UU 27/2022 tentang PDP dan memberikan masa transisi 2 tahun bagi korporasi sebagai pengendali data untuk penyesuaian pemrosesan datanya.

Sebagaimana dikemukakan oleh Kirenn Raizenberg dalam tulisan berjudul "Operational Risk Management in the Context of Data Privacy" (16/8/2023), bahwa data merupakan perhatian utama bagi individu, bisnis, dan pemerintah.

Hal ini seiring dengan meningkatnya volume data pribadi dan sensitif secara eksponensial, maka risiko pelanggaran data, serangan siber, dan akses tidak sah juga meningkat.

Menurut Kirenn, insiden-insiden ini tidak hanya membahayakan privasi dan keamanan individu, namun juga bisa mendorong organisasi pada risiko hukum, finansial, dan reputasi yang signifikan.

DPO dan manajemen risiko operasional

Andrea Tang, dalam tulisannya “Privacy Risk Management” (2020) menyatakan, bahwa mitigasi risiko data pribadi, dilakukan dengan mengadopsi pendekatan teknis atau administratif yang sesuai dalam sistem, produk, atau layanan untuk meminimalkan risiko hingga tingkat toleransi risiko yang dapat diterima tercapai.

Pendekatan teknis meliputi teknologi enkripsi, teknologi minimalisasi data, teknologi sekuriti, dan teknologi rekayasa privasi.

Untuk mengatasi tantangan ini, saya mengingatkan bahwa peran Data Protection Officer (DPO) sangat signifikan terutama terkait manajemen risiko operasional data pribadi pada organisasi.

Peran DPO dalam manajemen risiko operasional memainkan peran penting untuk menghindari potensi pelanggaran data pribadi.

Hal ini dilakukan melalui pendekatan komprehensif dalam bentuk mengidentifikasi, menilai, dan memitigasi risiko yang timbul dari proses operasional korporasi.

Kembali ke Kirenn Raizenberg, Ia menekankan, meskipun selama ini operational Risk Manajemen (ORM) secara tradisional selalu dikaitkan dengan pengelolaan risiko finansial dan fisik, maka cakupannya telah diperluas secara signifikan dalam beberapa tahun terakhir, dengan memasukkan risiko data pribadi sebagai prioritas utama.

Tujuan inti dari mengintegrasikan ORM dengan inisiatif data pribadi, adalah untuk menciptakan kerangka kerja yang kuat. Hal ini memungkinkan organisasi melindungi informasi pribadi dari akses tidak sah, pengungkapan, atau penyalahgunaan.

Perkembangan teknologi digital, komputasi awan, Internet of Things (IoT) dan Artificial Intelligence atau AI telah menyebabkan sejumlah besar data dikumpulkan, disimpan, dan diproses oleh organisasi.

Informasi pengidentifikasi data pribadi, catatan keuangan, data medis, dan informasi sensitif lainnya, semuanya rentan terhadap eksploitasi oleh pelaku kejahatan jika tidak dilindungi secara memadai.

Kirenn juga nengingatkan konsekuensi dari pelanggaran dapat berupa denda, hingga kerusakan reputasi yang parah, serta potensi hilangnya kepercayaan pelanggan.