Akhirnya kabar baik berhembus dari gedung parlemen. DPR berencana akan mensahkan Rancangan Undang-undang Perlindungan Data Pribadi (PDP) yang telah lama kita nantikan. Mengapa saya sebut demikian? Karena memang dokumen ini telah mangkrak lama di meja parlemen sejak 17 Desember 2019, dan baru dibahas maraton sejak Maret 2022.
Lebih ngebut lagi karena banyaknya kasus pembobolan data, terutama data pribadi yang marak dalam beberapa bulan ini. Seolah menjadi pemacu para anggota parlemen untuk mempercepat proses ini. Dan hari ini tiba, semoga benar disahkan.
Bila kita melihat progress ini, maka kita selaku pelaku usaha harus memperhatikan beberapa hal :
Pertama, penggunaan data pribadi milik orang lain dalam usaha kita. UU PDP nanti mengatur banyak hal terkait ini. UU PDP sendiri mengadopsi dari GDPR yang lebih dulu diterapkan di Eropa dan global, dan beberapa hal disesuaikan dengan kondisi kita di Indonesia.
Kenali dulu apa itu DATA PRIBADI sebagai data tentang orang perseorangan yangteridentifikasi atau dapat diidentifikasi secara tersendiri ataudikombinasi dengan informasi lainnya baik secara langsung maupuntidak langsung melalui sistem elektronik atau nonelektronik. Data pribadi ini adalah data pribadi spesifik dan umum. Data spesifik seperti yang kita lihat di kasus buka data Bjorka dimana ada data umum (nama hingga alamat) sedangkan data spesifiknya adalah data vaksin.
Kedua, dalam UU PDP banyak menyebutkan SUBJEK DATA PRIBADI, yang merupakan orang perseorangan yang pada dirinyamelekat Data Pribadi tadi diatas. Selain itu, bila kita mengumpulkan data pribadi orang lain, maka disebut sebagai PENGENDALI DATA PRIBADI, dan yang memproses data pribadi itu disebut sebagai PROSESOR DATA PRIBADI.
Ketiga, dalam setiap pengumpulan data pribadi, PENGENDALI harus mendapatkan persetujuan dari SUBJEK (baca: dari orang) yang punya data pribadi. Maka mulai sekarang jangan mengisi FORM sembarangan, terutama menggunakan form umum seperti google form, bila tidak ada pernyataan dari pengumpul atau pengendali data pribadinya.
Selain persetujuan juga harus ada terkait pemenuhan KEWAJIBAN atas subjek data pribadi. Jadi pastikan ada informasi akan digunakan untuk apa data pribadi kita, dan harus tercantum dalam form yang kita isi.
Apakah kita sudah punya landasan hukum terkait hal diatas, sejujurnya belum. Selain harapan kita di UU PDP yang menjadi pondasi untuk turunan landasan hukum lainnya, mungkin sektoral. Terutama finansial yang telah sangat siap terkait PDP ini.
Keempat, Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi. Apakah sudah ada aturannya? Saat ini juga belum, sehingga bisa terjadi kelalaian dalam pertanggungjawaban ini.