Siapkah Sektor Bisnis Menerapkan UU PDP?

Siapkah Sektor Bisnis Menerapkan UU PDP? – Berbicara sektor bisnis dan UU PDP, Rizky Arlin – CTO Yuscorp Ecosystem mengatakan: kita pasti mulai dengan kacamata globalize – sudah terglobalisasi, sebagaimana Prof. Maskun menyampaikan sebelumnya dengan istilah “borderless” (bisa dibaca di tulisan berjudul Bermula dari Kesadaran, Menguak UU PDP dari Kacamata Hukum – red). Rizky Arlin menjadi narasumber ketiga setelah Ahmad Tasyrif Arief dari Dinas Kominfo Sulsel dan Prof. Maskun – akademisi Unhas pada Diskusi Publik Efektivitas UU PDP untuk Melindungi Data Pribadi Warga tanggal 24 April lalu.

Penerapan Undang-undang Perlindungan Data Pribadi di Amerika Serikat dan Uni Eropa

 

“Apalagi kalau kita bergeraknya di bidang IT, information technology. Apa yang dibuat, misalnya di Silicon Valley, misalnya di USA, baru 1 menit yang lalu dirilis, di Indonesia kita sudah bisa langsung download. Se-borderless itu yang terjadi di dunia industri. Berbeda dengan barang yang harus diimpor, lalu melewati bea cukai, dan sebagainya untuk masuk ke Indonesia,” ujar lelaki yang juga founder Chieftech.id, founder Carakde.id, dan lead mks.py ini.

Rizky mengawali materinya dengan memaparkan bagaimana negara-negara lain, khususnya Amerika Serikat dan Uni Eropa menerapkan Undang-undang Perlindungan Data Pribadi (UU PDP).

• Tahun 1890, The Right to Privacy di USA, dipublikasi di Harvard  Law Review.
• Tahun 1974, The Privacy Act untuk melindungi warga negara dari hal-hal yang tidak boleh dilakukan pemerintah federal.
• Tahun 2016, Uni Eropa dan US bersama-sama membuat namanya EU-US Privacy Shield untuk melindungi privasi consumer.
• Tahun 2018, di negara bagian California, di US dibuat aturan lebih detail lagi tentang perlindungan data pribadi di lingkup negara bagian melalui California Consumer Privacy Act (CCPA).
• Tahun 1984, UK Data Protection Act.
• Tahun 1995, EU Data Protection Directive.
• Tahun 2012,  EU mengumumkan rencana untuk mengembangkan GDPR (General Data Protection Rule).
• Tahun 2016, GDPR berjalan dan berdampak.

Rizky memaparkan penerapan sanksi terhadap pelanggaran GDPR di luar negeri berjalan dengan cukup baik ketika ada dari sektor bisnis yang melanggar. Di Eropa, Microsoft dan Facebook pernah kena denda yang nilainya jika dirupiahkan setara dengan puluhan triliun rupiah. TikTok dan Google juga kena sanksi lebih dulu, pada tahun 2022 dengan nilai triliun rupiah. Baru-baru ini, pada bulan Maret 2024, Apple kena sanksi juga di angka puluhan triliun rupiah karena melanggar UU PDP atau disebut GDPR di Uni Eropa.

Pertanyaan yang muncul kemudian adalah: apakah UU PDP juga bisa diterapkan di Indonesia terhadap perusahaan asing yang identitasnya juga ada di Indonesia dan dipergunakan oleh masyarakat Indonesia?

 

Peran Sektor Bisnis Menyikapi UU PDP

 

UU Perlindungan Data Pribadi melindungi data elektronik dan non-elektronik. “Ada dua, sebenarnya kalau kita lihat di sisi elektronik, ada dari sisi aplikasinya dan dari sisi infrastrukturnya. Keduanya harus sama-sama dilindungi. Ada dua ranah yang harus dilindungi, software dan hardware,” imbuh Rizky.

Rizky kemudian menjelaskan bahwa kewajiban sektor bisnis adalah harus bisa membuat penggunanya dapat berkomunikasi secara aman. Harus melindungi pengguna dari pengungkapan yang tidak sah. Namun demikian, dalam hal ini subjek data juga harus berhati-hati agar tidak terjadi “pengungkapan data secara tidak sah” dari sisinya, yaitu dengan tidak asal klik YES-NO sebelum menggunakan aplikasi.

"Pada pasal 39 dan 52, (disebutkan bahwa) pengendali dan prosesor data pribadi wajib menjamin kerahasiaan, dengan sistem elektronik secara andal, aman, dan bertanggung jawab. Nah, ini tiga hal  ini harus diperlukan sebagai pengendali dan prosesor data pribadi. Sebagai sektor bisnis di dunia IT, kita selalu mengikuti standard di luar negeri lebih dulu. Ketika misalnya kita mau meng-upload aplikasi ke Appstore atau Playstore, sudah ada checklist untuk penggunaan data pribadi (pengguna). Dan ketika dilanggar, aplikasi kita tidak bisa di-publish di Appstore atau Playstore. Sudah berkali-kali kita lihat kasus di mana aplikasi itu tidak diterima karena garansi internasional, saya mengalami beberapa kali, bukan karena tidak menerapkan, tapi cuma tidak tepat saat men-declare bahwa sudah menerapkan,” ujar Rizky.

Upaya perlindungan data pribadi di Google contohnya adalah Google pernah menolak update suatu aplikasi karena isinya “invalid data safety section”. Dalam hal ini, pembuat aplikasi tidak menerangkan bahwa aplikasi tersebut mengambil ID dari device.

Pernah pula ada kejadian, aplikasi disembunyi di Appstore. Hal ini terjadi karena tidak menerapkan kontrol baru, yaitu harus pihak pembuat aplikasi sekaligus pemroses data tidak memberikan opsi kepada si subjek data untuk meminta menghapus datanya. Nah, hal demikian juga ada di PDP.

Facebook, Youtube, Instagram, adalah contoh aplikasi yang mempersiapkan cara untuk pengguna bisa meminta semua data dihapus. Data yang dimaksud semisal history menonton apa, apa yang kita follow, nama kita, alamat, dan sebagainya. Dengan demikian, data kita diubah sedemikian rupa sehingga tidak bisa dikenali lagi dan tidak ada cara untuk mengembalikannya.

 

Antara Keuntungan dan Tanggung Jawab

 

Rizky menceritakan pengalamannya, jika menerima pesanan pembuatan aplikasi, dicari tahu dulu apakah sudah ada sesama developer yang membuat aplikasi yang sudah lebih dulu dibuat dan teruji. Dia menekankan tidak semata mencari uang tetapi juga bertanggung jawab untuk memperhatikan keamanan aplikasi yang dibuat karena membuat aplikasi tak sederhana. Untuk membuat baru, cost-nya tidak murah karena harus melakukan audit, juga pemeriksaan soal security dan data pribadi dari sisi teknologinya.

“Calon klien saya itu biasanya saya arahkan ke teman yang memang sudah punya produk yang sudah saya tahu di bidang itu dan sudah mengikuti standard. Atau saya arahkan ke open source software,” pungkas Rizky.

Di Indonesia, ketika terjadi kebocoran data, orang-orang jadi tertutup. Publik tidak tahu apa yang terjadi. Berbeda halnya di dunia open source, ketika ada kebocoran data maka bisa langsung kelihatan penyebab kebocoran datanya. Selanjutnya akan diumumkan ke banyak orang bahwa jangan pakai aplikasi tersebut karena ada masalahnya. Jangan sampai mengedepankan ego membuat aplikasi sendiri tapi berpotensi bisa jadi pelanggar UU PDP. Hati-hati, dendanya 6 miliar rupiah!

Besar ya, mari bandingkan dengan sanksi di Uni Eropa. Sanksi bagi pelaku yang melanggar kewajibannya tidak memenuhi hak subjek data di UU PDP bisa didenda sampai 6 miliar rupiah. Bandingkan dengan denda pelanggaran yang sama di Uni Eropa, bisa sampai nominal yang setara dengan 70 triliun rupiah. Namun demikian, mari kita hargai itikad baik pemerintah dengan adanya UU PDP!

Bagi senior developer, hal pertama yang diperhatikan adalah security dan performance, implementasi belakangan karena dampaknya besar sekali jika terjadi kerugian misalnya dalam hal kebocoran data.

“Jangan terlena dengan keberadaan aplikasi, karena ada hardware dan networking juga. Seaman apapun aplikasinya, server-nya ada di dalam ruangan, (jika kecolongan) hacker-nya masuk, colok USB, sudah … bocor lagi datanya. Jadi bukan cuma di dalam ruang aplikasi saja,” tukas Rizky.

Rizky mencontohkan kasus yang membuat Aaron Swartz, pendiri Reddit dihukum penjara seumur hidup. Aaron masuk ke dalam kampus karena menginginkan hasil penelitian di kampus tersebut mengandung open information. Menurut Aaron, hasil penelitian tidak boleh disembunyikan. Diambil olehnya lalu disebarkan. Akhirnya hukum penjara seumur hidup dijatuhkan untuknya namun dia meregang nyawa dengan gantung diri karena tidak sanggup.

Pertanyaannya kemudian adalah: apakah siap kita menjalankan UU PDP dengan mengikuti standard yang ada? Menurut Rizky, harus siap dengan catatan: semua harus meningkatkan awareness bahwa PDP ini ada, sanksinya ada, metode pengimpementasian di sisi sektor bisnis juga ada.

Bagaimana kawan, setuju kan?

Makassar, 12 Mei 2024

Tulisan ke-3 dari Diskusi Publik Efektivitas UU PDP untuk Melindungi Data Pribadi Warga yang diselenggarakan oleh SAFEnet.

Bersambung 

Share :