Indonesia baru saja mengundangkan dan memberlakukan Undang–Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) pada 17 Oktober 2022. Ketentuan baru tersebut tentunya akan memberikan dampak terhadap berbagai kegiatan pada sektor publik dan privat. Atas dasar tersebutlah PT. Telekomunikasi Selular (Telkomsel) bekerja sama dengan Center of Human Rights Law Studies Fakultas Hukum Universitas Airlangga (HRLS FH UNAIR) menggelar webinar yang berjudul “Tantangan dan Peluang Pelindungan Data Pribadi oleh Penyedia Jasa Telekomunikasi Pasca Diundangkannya UU PDP” pada Rabu, 16 November 2022. Pakar Hukum Siber Fakultas Hukum Universitas Airlangga, Masitoh Indriani, S.H., LL.M. turut hadir menjadi pembicara untuk mengulas apa saja yang harus disiapkan perusahaan untuk menaati peraturan yang ada dalam UU PDP.  

Menurutnya, data management yang terjadi dalam bisnis telekomunikasi identik dengan pemrosesan data pribadi sebagaimana diatur dalam UU PDP. Adapun setiap kegiatan pemrosesan data pribadi wajib mendasarkan pada Prinsip Pelindungan Data Pribadi dan memastikan kendali subjek data atas data pribadinya. Hal ini membuatnya memberikan preskripsi agar perusahaan penyedia jasa telekomunikasi harus melaksanakan TIPS (terjemahkan, identifikasi, prioritaskan, siapkan) guna memastikan kepatuhan atas UU PDP. Pertama, perusahaan harus terjemahkan Prinsip Pelindungan Data Pribadi yang tertuang dalam Pasal 16 ayat (2) UU PDP dalam siklus data management perusahaan. Siklus data management yang dimaksud tentunya adalah pemrosesan data pribadi yang mencakup pengumpulan sampai pemusnahan.  

Kedua, perusahaan harus identifikasi kewajiban pengendali serta pemroses data pribadi  dalam siklus data management. Perusahaan harus tahu siapa yang akan menjadi pengendali dan pemroses data. Nantinya hasil dari identifikasi pihak tersebut akan semakin memudahkan dalam penentuan kewajiban serta larangan seperti yang diatur dalam UU PDP. Keberadaan para pihak tersebut tentunya juga harus tertuang dalam kebijakan privasi perusahaan agar diketahui pula dengan baik oleh subjek data sehingga kendali atas data pribadi tetap dapat terjamin. Ketiga, prioritaskan kendali subjek data dalam data pribadinya. Hal ini berarti kebijakan perusahaan harus dapat memprioritaskan akses subjek data terhadap data pribadi yang dimilikinya, mulai dari pengumpulan, perbaikan hingga penghapusan data. Prioritas atas kendali subjek data tersebut juga sebagai bentuk jaminan atas hak subjek data.  

Terakhir, perusahaan juga harus menyiapkan ekosistem perusahaan yang sesuai dengan ketentuan dalam UU PDP. Artinya perusahaan harus menciptakan divisi-divisi baru yang terspesialisasi dalam menjaga data pribadi pengguna layanan jasanya. Misalnya adalah perusahaan harus memiliki data protection officer (DPO). Sebagai penutup, beliau kemudian juga menjelaskan bahwa pekerjaan untuk menyesuaikan diri dengan ketentuan dalam UU PDP bukan merupakan perkara mudah. Karena harus meninjau ulang kebijakan privasi, standar operasional prosedur, dan budaya perusahaan agar tentunya sesuai dengan UU PDP.  

Penulis: Dean Rizqullah Risdaryanto 

Sumber foto: Data Protection Report