Managemen Risiko Data Pribadi pada Korporasi dan UU PDP

SALAH satu isu penting terkait risiko operasional korporasi adalah pelanggaran data pribadi. Jika di Eropa dan AS hal ini sudah berjalan sejak 2018, saat General Data Protection (GDPR) diberlakukan oleh Uni Eropa, maka bagi korporasi di Indonesia hal ini merupakan bentuk risiko operasional baru.

Indonesia belum lama ini telah mengundangkan UU 27/2022 tentang PDP dan memberikan masa transisi 2 tahun bagi korporasi sebagai pengendali data untuk penyesuaian pemrosesan datanya.

Sebagaimana dikemukakan oleh Kirenn Raizenberg dalam tulisan berjudul "Operational Risk Management in the Context of Data Privacy" (16/8/2023), bahwa data merupakan perhatian utama bagi individu, bisnis, dan pemerintah.

Hal ini seiring dengan meningkatnya volume data pribadi dan sensitif secara eksponensial, maka risiko pelanggaran data, serangan siber, dan akses tidak sah juga meningkat.

Menurut Kirenn, insiden-insiden ini tidak hanya membahayakan privasi dan keamanan individu, namun juga bisa mendorong organisasi pada risiko hukum, finansial, dan reputasi yang signifikan.

DPO dan manajemen risiko operasional

Andrea Tang, dalam tulisannya “Privacy Risk Management” (2020) menyatakan, bahwa mitigasi risiko data pribadi, dilakukan dengan mengadopsi pendekatan teknis atau administratif yang sesuai dalam sistem, produk, atau layanan untuk meminimalkan risiko hingga tingkat toleransi risiko yang dapat diterima tercapai.

Pendekatan teknis meliputi teknologi enkripsi, teknologi minimalisasi data, teknologi sekuriti, dan teknologi rekayasa privasi.

Untuk mengatasi tantangan ini, saya mengingatkan bahwa peran Data Protection Officer (DPO) sangat signifikan terutama terkait manajemen risiko operasional data pribadi pada organisasi.

Peran DPO dalam manajemen risiko operasional memainkan peran penting untuk menghindari potensi pelanggaran data pribadi.

Hal ini dilakukan melalui pendekatan komprehensif dalam bentuk mengidentifikasi, menilai, dan memitigasi risiko yang timbul dari proses operasional korporasi.

Kembali ke Kirenn Raizenberg, Ia menekankan, meskipun selama ini operational Risk Manajemen (ORM) secara tradisional selalu dikaitkan dengan pengelolaan risiko finansial dan fisik, maka cakupannya telah diperluas secara signifikan dalam beberapa tahun terakhir, dengan memasukkan risiko data pribadi sebagai prioritas utama.

Tujuan inti dari mengintegrasikan ORM dengan inisiatif data pribadi, adalah untuk menciptakan kerangka kerja yang kuat. Hal ini memungkinkan organisasi melindungi informasi pribadi dari akses tidak sah, pengungkapan, atau penyalahgunaan.

Perkembangan teknologi digital, komputasi awan, Internet of Things (IoT) dan Artificial Intelligence atau AI telah menyebabkan sejumlah besar data dikumpulkan, disimpan, dan diproses oleh organisasi.

Informasi pengidentifikasi data pribadi, catatan keuangan, data medis, dan informasi sensitif lainnya, semuanya rentan terhadap eksploitasi oleh pelaku kejahatan jika tidak dilindungi secara memadai.

Kirenn juga nengingatkan konsekuensi dari pelanggaran dapat berupa denda, hingga kerusakan reputasi yang parah, serta potensi hilangnya kepercayaan pelanggan.

Lebih lanjut diperlukan rencana respons atas insiden secara komprehensif. Langkah ini harus menguraikan tindakan apa yang harus diambil jika terjadi pelanggaran data pribadi. Rencana ini pun harus mencakup peran, tanggung jawab, dan protokol komunikasi.

Ketika data menjadi semakin berharga dan rentan, manajemen risiko operasional merupakan praktik yang sangat diperlukan untuk melindunginya. Di sinilah peran aktif DPO diperlukan untuk secara proaktif mengidentifikasi, menilai, dan memitigasi risiko tersebut.

Melalui langkah sistemik ini, maka korporasi dapat membangun reputasi yang baik, dan kepercayaan dari pelanggannya. Di samping itu kepatuhan regulasi juga akan berdampak positif terhindar dari pelanggaran dan ancaman sanksi hukum yang berat.

Ketentuan GDPR

Berdasarkan Artikel 39 GDPR atau dalam UU kita identik dengan materi muatan pasal 53-54 UU PDP diatur keberadaan entitas organisasi berupa Data Protection Officer (DPO), atau yang disebut Pejabat atau Petugas yang melaksanakan pelindungan data pribadi.

DPO memiliki tugas sebagai berikut:

Pertama, memberi tahu dan memberi saran kepada pengendali atau prosesor data pribadi, dan staf yang melaksanakan pemrosesan terkait kewajiban mereka sesuai dengan regulasi PDP.

Kedua, memantau kepatuhan terhadap regulasi dan terhadap kebijakan pengendali atau prosesor data pribadi, termasuk pelaksanaan tanggung jawab, peningkatan kesadaran dan pelatihan staf yang terlibat dalam pemrosesan operasi, dan audit terkait.

Ketiga, memberikan saran jika diminta, sehubungan dengan penilaian dampak dan memantau kinerja. Selain itu melakukan kerja sama dan menjadi narahubung dengan otoritas pengawas data pribadi atau lebih luas.

UU PDP

Ketentuan tentang DPO atau pejabat petugas pelindungan data pribadi terdapat pada pasal 53 jo. pasal 54 UU PDP. Dalam rangka mitigasi risiko, maka DPO harus ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi.

Di samping itu, DPO juga harus memiliki kemampuan untuk memenuhi tugas-tugasnya. DPO dapat berasal dari dalam dan/atau luar korporasi sebagai Pengendali Data Pribadi atau Prosesor Data Pribadi.

Dalam UU PDP, DPO bertugas menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi dan memantau serta memastikan kepatuhan terhadap regulasi PDP.

DPO juga memberikan saran mengenai penilaian dampak dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi.

Terkait dengan manajemen risiko, DPO dalam melaksanakan tugasnya memperhatikan risiko terkait pemrosesan Data Pribadi, dengan mempertimbangkan sifat, ruang lingkup, konteks, dan tujuan pemrosesan.

Sudah saatnya korporasi memasukan risiko data pribadi ke dalam prioritas risiko operasional. Hal ini perlu dilakukan mengingat dalam waktu dekat masa transisi UU PDP akan berakhir.

Pimpinan korporasi juga harus wanti-wanti, mengingat ancaman sanksi denda administratif UU PDP terbilang tinggi. Selain itu pelanggaran data pribadi juga berdampak sangat signifikan terhadap reputasi korporasi dan kepercayaan pelanggan.