13 September 2022
JAKARTA – Regulasi terencana yang ditujukan untuk memperkuat perlindungan data di Indonesia menimbulkan ancaman signifikan bagi perusahaan yang ditemukan tidak patuh.
RUU tentang perlindungan data pribadi (PDP), yang saat ini menunggu persetujuan akhir di Dewan Perwakilan Rakyat, menetapkan denda hingga 2 persen dari pendapatan tahunan bagi organisasi yang bersalah karena mengungkapkan informasi pribadi.
“Saya harus mengingatkan pengontrol dan pemroses data untuk menegakkan keamanan terenkripsi yang tepat yang dapat menahan serangan dunia maya, dan ingat bahwa jika terjadi pelanggaran, denda bagi perusahaan akan cukup tinggi. Itu berlebihan,” kata Johnny G. Plate, Menteri Komunikasi dan Informatika, Rabu.
Sanksi administratif dan hukuman pidana akan memaksa pengontrol dan pemroses data untuk membangun sistem manajemen data yang sama sekali baru untuk melindungi detail pribadi pengguna, sebuah kebijakan yang dianggap baru di negara yang telah mengalami beberapa pelanggaran data besar dalam beberapa tahun terakhir.
Kementerian mempertahankan bahwa denda hingga 2 persen dari pendapatan relatif memaafkan, karena Peraturan Perlindungan Data Umum Uni Eropa (EU GDPR) dapat mengenakan denda sebanyak 4 persen dari pendapatan tahunan global perusahaan.
“Di masa lalu, pelanggaran data lolos begitu saja. Sekali undang-undang ini disahkan, tidak akan terjadi (lagi) karena akan jelas siapa yang harus bertanggung jawab, sampai tahap mana dan apakah akan ada (proses) pidana atau sanksi administratif,” ujar Abdul Kharis Alamsyhari. , Wakil Ketua Komisi I DPR yang membidangi intelijen dan informasi.
Prinsip dan norma hukum dalam RUU tersebut – termasuk hukuman pidana – akan berlaku setelah undang-undang tersebut disetujui, tetapi selama periode dua tahun bagi perusahaan untuk beradaptasi, pemerintah dapat membatalkan sanksi administratif.
Setelah melihat transisi serupa di UE, Martin Kohoutek, wakil direktur eksekutif Kamar Dagang dan Industri Jerman-Indonesia (EKONID), mengatakan dua tahun adalah waktu yang cukup untuk mencapai kepatuhan.
“(Namun, saya berasumsi bahwa hal yang sama akan terjadi (di Indonesia) yang terjadi di Uni Eropa, yaitu (bahwa) perusahaan tidak bergerak sampai tenggat waktu sudah sangat dekat,” kata Kohoutek.
Selain itu, mayoritas pelaku bisnis skeptis tentang detail kepatuhan, seperti penghentian pemrosesan data pribadi, menurut survei yang dilakukan oleh Indonesia Services Dialogue (ISD) Council, sebuah asosiasi industri.
“(Perusahaan) bersedia untuk mematuhi, tetapi ketika benar-benar memenuhi persyaratan, di situlah mereka membutuhkan dukungan dan bimbingan. (…) Hanya sekitar 23 persen yang siap (untuk memenuhi) tenggat waktu penghentian pemrosesan data pribadi; sisanya belum siap,” kata Direktur Eksekutif Dewan ISD Devi Ariyani kepada perwakilan media, Jumat.
Betapapun sulitnya, Wahyudi Djafar mengatakan kepada The Jakarta Post bahwa undang-undang tersebut akan menetapkan norma dasar yang menentukan bagaimana industri dijalankan, karena undang-undang tersebut akan berubah menjadi ukuran daya saing berdasarkan kepercayaan konsumen.
“Hal ini akan menjadi acuan meskipun ada tantangan implementasi dan penilaian kepatuhan mengingat kapasitas dan sumber daya masing-masing perusahaan berbeda,” kata Wahyudi.
Indonesia telah dikecualikan dari banyak transfer data internasional karena tidak adanya undang-undang perlindungan data, dan RUU yang telah lama ditunggu ini dapat memungkinkan negara tersebut kembali ke masyarakat melalui kerja sama internasional dengan negara-negara yang memiliki peraturan perlindungan data serupa.
Pendukung RUU tersebut mengatakan akan mencapai apa yang telah dicapai GDPR di UE – yang terakhir menjadi acuan utama konsepsi RUU PDP Indonesia.
“Saya benar-benar percaya (bahwa ada korelasi langsung antara undang-undang semacam itu dan peningkatan perlindungan data), karena (pelanggaran data yang menyebabkan denda besar) melewati pers seperti api. Ini tidak hanya relevan untuk perusahaan besar (…), tetapi juga mempengaruhi perusahaan kecil,” kata Kohoutek.
“Mereka mulai merasakan tekanan untuk berbicara (ketika GDPR diberlakukan di UE). Banyak perusahaan kecil terguncang, dan mereka seperti, ‘Apa yang harus saya lakukan?’ Saya ingat dengan sangat jelas bahwa pada tahun 2018 banyak perusahaan bertanya kepada kamar dagang tentang apa yang harus mereka lakukan untuk mematuhi undang-undang tersebut,” tambahnya.
Singapura dikenal dengan aturan perlindungan data yang ketat yang tertuang dalam undang-undang bernama Personal Data Protection Act (PDPA).
“PDPA memberikan standar dasar perlindungan untuk data pribadi, yang melengkapi kerangka kerja legislatif dan peraturan khusus sektor, seperti Undang-Undang Perbankan dan Undang-Undang Asuransi. Ini melibatkan berbagai persyaratan yang mengatur pengumpulan, penggunaan, pengungkapan, dan pemeliharaan data pribadi di Singapura,” kata Pei Yuen Wong, chief technology officer di IBM Security Australia, Asia Tenggara, Selandia Baru, dan Korea.
“Selain diperlukan untuk memastikan remediasi, langkah-langkah dilakukan untuk memperbaiki akar penyebab pelanggaran, misalnya perbaikan dalam proses, implementasi pengamanan TI, dll. Sanksi keuangan biasanya juga dikenakan sebagai pencegah pelanggaran di masa mendatang,” dia menambahkan.
RUU PDP Indonesia juga mengamanatkan pembentukan badan pengawas, seperti halnya Komisi Perlindungan Data Pribadi (PDPC) Singapura. Wong menjelaskan bahwa pelanggaran dipublikasikan di situs web PDPC untuk berfungsi sebagai catatan yang tidak memihak serta untuk menunjukkan betapa seriusnya negara dalam melindungi data.
“Secara umum, telah diamati bahwa tingkat kesadaran di antara perusahaan-perusahaan yang berbasis di Singapura dan tingkat kematangan keseluruhan dalam langkah-langkah perlindungan data yang diambil oleh perusahaan-perusahaan ini telah meningkat dari waktu ke waktu sejak diperkenalkannya PDPA, terutama setelah pelanggaran yang signifikan dan penegakan yang sesuai. keputusan telah dilaporkan,” kata Wong kepada Post pada hari Jumat.
“Hanya menghukum pelanggaran dalam perlindungan data pribadi tidak akan bekerja dengan baik untuk mendorong perlindungan data yang lebih baik. Pendekatan multifaset yang juga mendorong berbagi praktik terbaik dan pelajaran yang dipetik dalam perlindungan data dengan perusahaan, bekerja dengan ekosistem yang lebih luas, mis. firma hukum dan penyedia layanan teknologi yang dapat membantu memberikan saran/menerapkan tindakan perlindungan data juga diperlukan untuk meningkatkan perlindungan data secara umum.”