Siapkah Sektor Bisnis Menerapkan UU PDP? – Berbicara sektor bisnis dan UU PDP, Rizky Arlin – CTO Yuscorp Ecosystem mengatakan: kita pasti mulai dengan kacamata globalize – sudah terglobalisasi, sebagaimana Prof. Maskun menyampaikan sebelumnya dengan istilah “borderless” (bisa dibaca di tulisan berjudul Bermula dari Kesadaran, Menguak UU PDP dari Kacamata Hukum – red). Rizky Arlin menjadi narasumber ketiga setelah Ahmad Tasyrif Arief dari Dinas Kominfo Sulsel dan Prof. Maskun – akademisi Unhas pada Diskusi Publik Efektivitas UU PDP untuk Melindungi Data Pribadi Warga tanggal 24 April lalu.
Penerapan Undang-undang
Perlindungan Data Pribadi di Amerika Serikat dan Uni Eropa
“Apalagi kalau kita
bergeraknya di bidang IT, information technology. Apa yang dibuat, misalnya
di Silicon Valley, misalnya di USA, baru 1 menit yang lalu dirilis, di
Indonesia kita sudah bisa langsung download. Se-borderless itu
yang terjadi di dunia industri. Berbeda dengan barang yang harus diimpor, lalu
melewati bea cukai, dan sebagainya untuk masuk ke Indonesia,” ujar lelaki yang
juga founder Chieftech.id, founder Carakde.id, dan lead
mks.py ini.
Rizky mengawali materinya
dengan memaparkan bagaimana negara-negara lain, khususnya Amerika Serikat dan
Uni Eropa menerapkan Undang-undang Perlindungan Data Pribadi (UU PDP).
- Tahun 1890, The Right to Privacy di USA, dipublikasi di Harvard Law Review.
- Tahun 1974, The Privacy Act untuk melindungi warga negara dari hal-hal yang tidak boleh dilakukan pemerintah federal.
- Tahun 2016, Uni Eropa dan US bersama-sama membuat namanya EU-US Privacy Shield untuk melindungi privasi consumer.
- Tahun 2018, di negara
bagian California, di US dibuat aturan lebih detail lagi tentang perlindungan data pribadi di lingkup negara bagian melalui California
Consumer Privacy Act (CCPA).
- Tahun 1984, UK Data Protection Act.
- Tahun 1995, EU Data Protection Directive.
- Tahun 2012, EU mengumumkan rencana untuk mengembangkan GDPR (General Data Protection Rule).
- Tahun 2016, GDPR berjalan dan berdampak.
Rizky memaparkan penerapan
sanksi terhadap pelanggaran GDPR di luar negeri berjalan dengan cukup baik ketika
ada dari sektor bisnis yang melanggar. Di Eropa, Microsoft dan Facebook pernah
kena denda yang nilainya jika dirupiahkan setara dengan puluhan triliun rupiah.
TikTok dan Google juga kena sanksi lebih dulu, pada tahun 2022 dengan nilai
triliun rupiah. Baru-baru ini, pada bulan Maret 2024, Apple kena sanksi juga di
angka puluhan triliun rupiah karena melanggar UU PDP atau disebut GDPR di Uni
Eropa.
Pertanyaan yang muncul kemudian adalah: apakah UU PDP juga bisa diterapkan di Indonesia terhadap perusahaan asing yang identitasnya juga ada di Indonesia dan dipergunakan oleh masyarakat Indonesia?
Peran Sektor
Bisnis Menyikapi UU PDP
UU Perlindungan Data
Pribadi melindungi data elektronik dan non-elektronik. “Ada dua, sebenarnya
kalau kita lihat di sisi elektronik, ada dari sisi aplikasinya dan dari sisi
infrastrukturnya. Keduanya harus sama-sama dilindungi. Ada dua ranah yang harus
dilindungi, software dan hardware,” imbuh Rizky.
Rizky kemudian menjelaskan
bahwa kewajiban sektor bisnis
adalah harus bisa membuat penggunanya dapat berkomunikasi secara aman. Harus melindungi
pengguna dari pengungkapan yang tidak sah. Namun demikian, dalam hal ini subjek
data juga harus berhati-hati agar tidak terjadi “pengungkapan data secara tidak
sah” dari sisinya, yaitu dengan tidak asal klik YES-NO sebelum
menggunakan aplikasi.
"Pada pasal 39 dan 52, (disebutkan bahwa) pengendali dan prosesor data pribadi wajib menjamin kerahasiaan, dengan sistem elektronik secara andal, aman, dan bertanggung jawab. Nah, ini tiga hal ini harus diperlukan sebagai pengendali dan prosesor data pribadi. Sebagai sektor bisnis di dunia IT, kita selalu mengikuti standard di luar negeri lebih dulu. Ketika misalnya kita mau meng-upload aplikasi ke Appstore atau Playstore, sudah ada checklist untuk penggunaan data pribadi (pengguna). Dan ketika dilanggar, aplikasi kita tidak bisa di-publish di Appstore atau Playstore. Sudah berkali-kali kita lihat kasus di mana aplikasi itu tidak diterima karena garansi internasional, saya mengalami beberapa kali, bukan karena tidak menerapkan, tapi cuma tidak tepat saat men-declare bahwa sudah menerapkan,” ujar Rizky.
Upaya perlindungan data
pribadi di Google contohnya adalah Google pernah menolak update suatu aplikasi
karena isinya “invalid data safety section”. Dalam hal ini, pembuat
aplikasi tidak menerangkan bahwa aplikasi tersebut mengambil ID dari device.
Pernah pula ada kejadian,
aplikasi disembunyi di Appstore. Hal ini terjadi karena tidak menerapkan
kontrol baru, yaitu harus pihak pembuat aplikasi sekaligus pemroses data tidak
memberikan opsi kepada si subjek data untuk meminta menghapus datanya. Nah, hal
demikian juga ada di PDP.
Facebook, Youtube, Instagram,
adalah contoh aplikasi yang mempersiapkan cara untuk pengguna bisa meminta
semua data dihapus. Data yang dimaksud semisal history menonton apa, apa
yang kita follow, nama kita, alamat, dan sebagainya. Dengan demikian,
data kita diubah sedemikian rupa sehingga tidak bisa dikenali lagi dan tidak
ada cara untuk mengembalikannya.
Antara
Keuntungan dan Tanggung Jawab
Rizky menceritakan
pengalamannya, jika menerima pesanan pembuatan aplikasi, dicari tahu dulu
apakah sudah ada sesama developer yang membuat aplikasi yang sudah lebih
dulu dibuat dan teruji. Dia menekankan tidak semata mencari uang tetapi juga
bertanggung jawab untuk memperhatikan keamanan aplikasi yang dibuat karena
membuat aplikasi tak sederhana. Untuk membuat baru, cost-nya tidak murah
karena harus melakukan audit, juga pemeriksaan soal security dan data pribadi
dari sisi teknologinya.
“Calon klien saya itu
biasanya saya arahkan ke teman yang memang sudah punya produk yang sudah saya
tahu di bidang itu dan sudah mengikuti standard. Atau saya arahkan ke open
source software,” pungkas Rizky.
Di Indonesia, ketika terjadi
kebocoran data, orang-orang jadi tertutup. Publik tidak tahu apa yang terjadi. Berbeda
halnya di dunia open source, ketika ada kebocoran data maka bisa
langsung kelihatan penyebab kebocoran datanya. Selanjutnya
akan diumumkan ke banyak orang bahwa jangan pakai aplikasi tersebut karena ada
masalahnya. Jangan sampai mengedepankan ego membuat aplikasi sendiri tapi berpotensi
bisa jadi pelanggar UU PDP. Hati-hati, dendanya 6 miliar rupiah!
Besar ya, mari bandingkan
dengan sanksi di Uni Eropa. Sanksi bagi pelaku yang melanggar kewajibannya
tidak memenuhi hak subjek data di UU PDP bisa didenda sampai 6 miliar rupiah. Bandingkan
dengan denda pelanggaran yang sama di Uni Eropa, bisa sampai nominal yang
setara dengan 70 triliun rupiah. Namun demikian, mari kita hargai itikad baik
pemerintah dengan adanya UU PDP!
Bagi senior developer,
hal pertama yang diperhatikan adalah security dan performance, implementasi belakangan karena dampaknya besar sekali jika
terjadi kerugian misalnya dalam hal kebocoran data.
“Jangan terlena dengan
keberadaan aplikasi, karena ada hardware dan networking juga. Seaman apapun
aplikasinya, server-nya ada di dalam ruangan, (jika kecolongan) hacker-nya
masuk, colok USB, sudah … bocor lagi datanya. Jadi bukan cuma di dalam ruang
aplikasi saja,” tukas Rizky.
Rizky mencontohkan kasus
yang membuat Aaron Swartz, pendiri Reddit dihukum penjara seumur hidup. Aaron masuk
ke dalam kampus karena menginginkan hasil penelitian di kampus tersebut mengandung
open information. Menurut Aaron, hasil penelitian tidak boleh
disembunyikan. Diambil olehnya lalu disebarkan. Akhirnya hukum penjara seumur
hidup dijatuhkan untuknya namun dia meregang nyawa dengan gantung diri karena
tidak sanggup.
Pertanyaannya kemudian adalah:
apakah siap kita menjalankan UU PDP dengan mengikuti standard yang ada? Menurut
Rizky, harus siap dengan catatan: semua harus meningkatkan awareness bahwa PDP ini
ada, sanksinya ada, metode pengimpementasian di sisi sektor bisnis juga ada.
Bagaimana kawan, setuju kan?
Makassar,
12 Mei 2024
Tulisan ke-3 dari Diskusi Publik Efektivitas UU PDP untuk Melindungi Data Pribadi Warga yang diselenggarakan oleh SAFEnet.
Bersambung
Share :
0 Response to "Siapkah Sektor Bisnis Menerapkan UU PDP?"
Post a Comment
Untuk saat ini kotak komentar saya moderasi karena banyaknya komen spam yang masuk. Silakan tinggalkan komentar ya. Komentar Anda akan sangat berarti bagi saya tapi jangan tinggalkan link hidup. Oya, komentar yang kasar dan spam akan saya hapus ya ^__^