Standardisasi dan Bukti Kepatuhan Hukum Pelindungan Data Pribadi

REGULASI pelindungan data pribadi tidak dimaksudkan untuk menghalangi bisnis korporasi. Karena bagaimana pun, data adalah aset korporasi yang bernilai sangat strategis dan kompetitif termasuk untuk bersaing di kancah global.

Di samping itu, data juga diperlukan untuk optimalisasi layanan terbaik bagi pelanggan dan siapapun yang berinteraksi dengan sistem bisnis korporasi.

Dirangkum dari European Commision 2023, data telah menjadi aset kunci bagi ekonomi dan masyarakat, serta menjadi kebutuhan bagi inovasi teknologi.

Kita juga memahami bahwa valuasi data menjadi bagian penting di pusat ekonomi dan masa depan sains serta teknologi.

Penggunaan data yang baik dapat membuka peluang sektor seperti transportasi, kesehatan atau manufaktur.

European Commison lebih lanjut mengintroduksi bahwa penggunaan data akan mengubah industri jasa dan peningkatan efisiensi di sektor publik.

Data pribadi tidak dapat dihindari menjadi bagian dari big data. Data dapat dibuat orang atau dihasilkan oleh mesin seperti sensor terkait informasi iklim, citra satelit, gambar dan video digital, catatan transaksi pembelian, sinyal GPS dll.

Oleh karena itu, keberadaan data pribadi dalam sistem big data merupakan keniscayaan. Logikanya, bagaimana mungkin pelayanan optimal dapat dilakukan jika individu yang akan dilayani tidak lengkap atau tidak tersedia datanya dalam sistem.

Lalu bagaimana hubungannya dengan pelindungan data pribadi? Pemrosesan dengan pemenuhan persyaratan keamanan, kerahasiaan, dan kepatuhan pada regulasi adalah kuncinya.

Untuk itulah, korporasi didorong membangun sistem pemrosesan data pribadi secara trustworthy dan memenuhi standar yang dapat dipertanggungjawabkan.

Standardisasi

Dalam praktik bisnis, standar dan/atau sertifikasi memegang peran penting. Dalam berbagai doktrin hukum bisnis internasional, standar diakui sebagai sumber kepastian hukum.

Sebagaimana dilansir Schweizerische Normen-Vereinigung (SNV) 2023 dalam publikasinya "Are standards laws?" bahwa meskipun “standar” bukan merupakan regulasi, namun berkontribusi terhadap kepastian hukum.

Standar dianggap sebagai aturan teknologi yang jelas dan diakui. Penerapan dan kepatuhan terhadap standar menunjukkan langkah “proper conduct”.

Dalam kondisi ini, dapat kita katakan bahwa regulasi yang lahir dari teknologi di bidang standar sebagai “lex standard” dan menjadi sumber hukum.

Sebagaimana dirilis European Union Agency for Cybersecurity (ENISA) 2023, mereka mendukung standardisasi melalui organisasi standardisasi Eropa (CEN, CENELEC dan ETSI) serta ISO.

Standardisasi yang jelas dan aman akan membangun kepercayaan produsen, pengembang, dan pembeli, terkait kecanggihan digital, produk dan layanan lain yang berdampak pada keamanan siber.

Menurut ENISA, standar juga bermanfaat meningkatkan pelindungan sistem dan infrastruktur teknologi, serta mendukung penerapan undang-undang privasi dan perlindungan data yang relevan.

Pemenuhan standar berdampak sangat signifikan pada proses bisnis dan memberikan keyakinan, keamanan dan ketenangan bagi korporasi dalam menjalankan bisnisnya di satu sisi dan bukti kepatuhan korporasi pada regulasi termasuk terkait PDP di sisi lainnya.

Pemahaman ini menjadi penting, mengingat dalam pemrosesan data risiko kebocoran data pribadi bisa terjadi karena teknologi terus berubah. Paralel dengan kecanggihan penjahat siber seperti hacker.

Dalam tulisan ini dibahas beberapa standar internasional. Tentunya dengan tanpa mengabaikan organisasi standar lainnya yang juga bereputasi global dan terpercaya, termasuk Badan standardisasi level nasional.

Seperti dirilis National Institute of Standards and Technology US Department of Commerce (NIST), bahwa standar teknis membuat korporasi menjadi tetap aman, memungkinkan kemajuan teknologi, membantu kesuksesan bisnis, dan mencegah masalah teknologi yang bisa terjadi tanpa disadari.

NIST yang telah berkiprah tidak kurang selama 120 tahun di bidang ini, mengintroduksi, bahwa semua data pribadi dan keuangan di internet menghadapi ancaman besar terekspos, akibat lahirnya komputer kuantum yang sangat canggih dan bisa merusak skema enkripsi saat ini.

Dengan menggunakan fungsi matematika, NIST bekerja sama dengan komunitas akademik, dan industri dalam mengembangkan standar “kriptografi pasca-kuantum”.

NIST SP 800-53: Security and Privacy Controls for Information Systems and Organizations merupakan salah satu standar terkait pengembangan sistem informasi yang mereka sebut aman dan tangguh.

Mencakup standar operasional dan teknis, untuk menjaga kerahasiaan, integritas, dan ketersediaan secara aman. Standar NIST diperuntukan pengendali data pribadi baik di AS maupun di luar AS.

Standar lainnya yang dikenal luas untuk sistem manajemen data pribadi adalah ISO 27701: Privacy Information Management System yang merupakan kelanjutan dari ISO 27001, ISO 27002, dan ISO 29100:2011 yang mencakup standar Pivacy Management.

ISO 27701 menggunakan pendekatan sistem manajemen modern, Struktur Tingkat Tinggi (High Level Structure/HLS). Hal ini merupakan standar internasional pertama dan merupakan perkembangan penting perlindungan data di Eropa dan internasional.

Bagaimana dengan korporasi yang sudah memiliki sertifikasi ISO 27001:2013?

Sebagaimana dilansir IT Governance UK, bahwa semua sertifikat ISO 27001:2013 akan berakhir atau ditarik pada 31 Oktober 2025. Sebagaimana diketahui, saat ini sudah ada ISO 27001:2022 sebagai revisi dari edisi 2013.

Saat ini terdapat pula ISO 27018 yang mengatur tentang perlindungan data pribadi pada public cloud.

Standar lainnya, yang tidak spesifik tentang PDP, tetapi terkait langsung dengan manajemen risko, adalah ISO 31000:2018: Risk Management Guidelines.

Bagi BUMN, ISO 31000:2018 ini penting. khususnya dalam kaitan dengan Peraturan Menteri BUMN No. 2 Tahun 2023 yang mengatur keberadaan direksi yang menangani manajemen risiko. ISO 31000:2018 sendiri menempatkan penciptaan nilai sebagai pusat manajemen risiko.

Pilihan standar mana yang akan dipilih, tergantung dari preferensi korporasi. Jika sudah familiar dengan NIST bisa menggunakannya, agar penyelarasan pemrosesan data pribadinya lebih adaptif.

Namun jika selama ini lebih familiar dengan ISO, apalagi sebelumnya sudah memperoleh ISO 27001, maka akan lebih adaptif jika mengadopsi ISO 27701 ini.

Hal yang perlu dipastikan adalah, standar atau sertifikasi manapun yang dipilih adalah terpercaya, bereputasi, dan selaras serta comply dengan regulasi PDP, misalnya General Data Protection Regulation (GDPR) Uni Eropa atau UU PDP.

Untuk saat ini, baik Standar NIST, maupun ISO rata-rata menyatakan bahwa mereka telah selaras dengan GDPR Uni Eropa.

UU PDP Indonesia

UU No. 27 tahun 2022 tentang Pelindungan Data Pribadi adalah regulasi yang disusun dengan berpedoman pada GDPR dan international best practices, yang tentu saja disesuaikan dengan konstitusi kita.

Oleh karena itu, standar dan sertifikasi yang selaras dengan GDPR dapat kita jadikan tolok ukurnya.

Cary Coglianese, dalam artikel berjudul Standards and the Law yang dipublikasikan Standardization Journal of Research and Innovation (2023) intinya mengatakan bahwa standar berfungsi sebagai tolok ukur untuk menentukan tanggung jawab.

Standar juga sebagai kerangka acuan untuk memfasilitasi transaksi domestik dan internasional.

"Standar" itu penting untuk proses pembuktian dalam sistem peradilan. Sehingga memengaruhi keputusan pengadilan terkait pertanggungjawaban pidana.

Standar dan hukum saling berkorelasi, apalagi dalam proses pembuktian kepatuhan korporasi di pengadilan di mana kasus dipicu teknologi dan modus kejahatan yang terus berubah.

Cary Coglianese mencontohkan dalam kasus M&R Investment Co v. Anzalotti, hakim di AS menyatakan bahwa pelanggaran “standar sukarela” untuk keamanan produk, dianggap sebagai bukti kelalaian.

Sementara itu, dalam Washington Revised Code 1981, juri dalam kasus pertanggungjawaban produk dibolehkan untuk mempertimbangkan kesesuaian terhadap standar, dalam menentukan apakah produsen telah lalai.

Cary Coglianese lebih lanjut menyatakan bahwa standar juga berfungsi untuk melindungi produsen. Standar digunakan oleh beberapa pengadilan untuk menilai apakah suatu produk memenuhi uji keamanan yang wajar.

Pengadilan California dalam kasus Kim v. Toyota Motor Corp menyatakan, bahwa kesesuaian atau ketidaksesuaian dengan standar relevan dijadikan unsur penilai risiko dan manfaat suatu desain produk.

Mengutip pendapat Dr. Andrea Barrios Villarreal, Head International Organization for Standardization (ISO) dalam tulisannya II-International Standards as Part of International Law, Cambridge University Press: 21/9/2018, bahwa standar internasional mempunyai efek mengikat.

Dr. Andrea mengintroduksi teori-teori baru hukum internasional. Berdasarkan teori-teori baru ini, standar-standar internasional dapat dianggap sebagai bagian dari hukum internasional dan berada di antara hard law dan soft law.

Standar dan sertifikasi adalah unsur penting dalam praktik bisnis, termasuk dalam pelindungan data pribadi.

Selain berperan meningkatkan performa dan kepercayaan terhadap korporasi, standar juga dapat berfungsi sebagai alat bukti kepatuhan pada kasus-kasus hukum.

Dipenuhinya standar yang ditetapkan institusi standardisasi terpercaya, menjadi bukti bahwa korporasi telah melakukan upaya keamanan produk, termasuk pelindungan data pribadi secara semestinya berdasarkan hukum.