Setelah UU PDP disahkan pada tahun 2022 lalu, Perusahaan diharapkan dapat segera mempersiapkan diri sedini mungkin untuk proses pengimplementasian UU PDP. Salah satu langkah awal adalah dengan memberikan training atau pelatihan kesadaran tentang pentingnya melindungi Data Pribadi atau yang biasa disebut dengan data protection awareness training. Lebih lengkapnya, silakan simak artikel berikut ini.
Definisi grace period dalam konteks UU PDP
Sebelum menjawab pertanyaan di atas. hendaknya kita terlebih dahulu melihat rujukan di dalam UU PDP yang mengatur mengenai masa grace period atau masa berlakunya Undang-undang ini secara penuh yang diatur pada Pasal 74, yang berbunyi :
“Pada saat Undang-undang ini mulai berlaku, Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan Undang-Undang ini paling lama 2 (dua) tahun sejak Undang-undang ini diundangkan.”
UU PDP Pasal 74
Di dalam Pasal 74 di atas terdapat kalimat yang menyebutkan bahwa Pengendali dan Prosesor Data Pribadi dan pihak lain yang terkait dengan pemrosesan Data Pribadi wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan UU PDP paling lama 2 tahun sejak UU PDP ini diundangkan atau sekitar bulan Oktober tahun 2024.
Jangka waktu 2 Tahun yang diberikan di dalam mempersiapkan dan menyesuaikan diri dengan ketentuan-ketentuan yang berlaku di dalam UU PDP mungkin terlihat sebagai waktu yang cukup lama, namun realitanya waktu 2 tahun merupakan waktu yang sangat singkat di dalam mempersiapkan implementasi oleh UU PDP, mengapa demikian? Karena pada esensinya UU PDP merupakan Undang-Undang yang yang diciptakan untuk mengantisipasi terjadinya penyalahgunaan Data Pribadi dan mekanisme di dalam memfasilitasi Hak-hak Subjek Data Pribadi. Detail di dalam menciptakan sebuah mekanisme yang menyeluruh dan terintegrasi di semua divisi yang terdapat di dalam perusahaan tentunya memerlukan waktu yang cukup lama di dalam pelaksanaannya. Mekanisme Pelindungan Data Pribadi yang dilaksanakan dimulai dari menganalisa apakah seluruh kebijakan atau prosedur yang ada di dalam perusahaan dan terkait dengan Pelindungan Data Pribadi telah sesuai dengan yang dimandatkan oleh UU PDP. Apabila kebijakan dan prosedur yang berkaitan dengan Pelindungan Data Pribadi belum mencukupi maka merupakan kewajiban Pengendali dan Prosesor Data Pribadi untuk melengkapi seluruh kebijakan dan prosedur Pelindungan Data Pribadi yang dibutuhkan bersama dengan PPDP atau DPO dan pemangku kepentingan seperti vendor IT atau divisi IT.
Training sebagai langkah penting yang harus dipersiapkan pada tahap awal implementasi UU PDP
Langkah besar berikut yang dilakukan di dalam mempersiapkan Implementasi Pelindungan Data Pribadi berdasarkan atas UU PDP adalah melaksanakan training. Training merupakan hal yang sangat penting di dalam implementasi Pelindungan Data Pribadi. Training yang baik dapat menghindari seseorang dari kecerobohan baik yang sengaja ataupun tidak sengaja dilakukan oleh staf atau manajemen yang terlibat di dalam pemrosesan Data Pribadi. Seperti yang kita ketahui bahwa banyak terjadi kasus kebocoran Data Pribadi yang disebabkan oleh salah satu staf di dalam perusahaan yang tidak sengaja mengklik link virus atau ransomware yang sengaja dikirim oleh pihak pihak yang tidak bertanggung-jawab untuk mendapatkan Data Pribadi yang disimpan oleh perusahaan.
4 Tips Pelaksanaan Training sebagai Tahap Awal Implementasi UU PDP yang Baik
1. Pelaksanaan training yang berkelanjutan
Untuk membentuk pola pikir dan perilaku yang baru, perusahaan disarankan untuk menyelenggarakan training secara berkala dan secara berkelanjutan. Contohnya adalah dengan melaksanakan training data protection awareness atau kesadaran akan pentingnya melindungi Data Pribadi dengan sedikitnya diselenggarakan 1 kali setiap bulannya. Jika perusahaan memiliki fungsi operasional yang kompleks, disarankan agar pelaksanaan training diberikan sesuai dengan tugas pokok dan fungsi dari setiap posisi atau jabatan yang melakukan pemrosesan data pribadi.
2. Sasaran peserta dan materi training yang komprehensif
Training diberikan secara menyeluruh memiliki definisi melibatkan seluruh pihak yang terlibat di dalam pemrosesan Data Pribadi. Materi yang diberikan disusun secara komprehensif di dalam training yang meliputi seluruh Prosedur dan kebijakan baru yang dibuat oleh perusahaan di dalam Pelindungan Data Pribadi. Faktor terakhir yang harus dimasukkan ke training adalah pemberian bimbingan psikologi yang dapat membantu mereka mengontrol pikiran dan emosi, utamanya saat mereka sedang menyelesaikan tugas yang menumpuk dan sangat menguras energi dan pikiran.
Kelas yang diberikan dengan memperhatikan faktor-faktor di atas tidak hanya akan dapat menambah tingkat kesadaran staf yang terlibat di dalam pemrosesan Data Pribadi namun hal ini juga dapat meningkatkan kesiapsiagaan mereka di dalam mencegah berbagai aksi yang dilakukan oleh pihak pihak yang tidak bertanggung jawab seperti penyebar virus komputer, ransomware dan bermacam-macam jenis social engineering yang mengancam, sementara mereka menghadapi berbagai tekanan yang dihadapi di dalam pekerjaannya.
3. Tujuan utama training
Training yang dilaksanakan haruslah memiliki standar yang baik seperti yang dibahas di atas, hal ini penting mengingat manusia seringkali melakukan kesalahan yang tidak disengaja ketika mereka ada di dalam tekanan kerja yang tinggi. Oleh karena itu, training yang diselenggarakan haruslah mampu membentuk kesadaran dan kebiasaan yang mampu menghindari mereka dari tindakan-tindakan fatal yang menyebabkan kebocoran Data Pribadi.
4. Kolaborasi dengan pihak terkait di dalam perusahaan
Di dalam sebuah perusahaan yang melakukan pemrosesan Data Pribadi, seorang pimpinan utama di perusahaan tersebut dalam perannya sebagai Pengendali Data pribadi, haruslah menyadari pentingnya mengimplementasikan UU PDP di dalam pemrosesan Data Pribadi yang mereka lakukan, kemudian seorang pimpinan tertinggi harus mampu mempersiapkan pengimplementasian UU PDP dengan bekerjasama dengan PPDP atau DPO dan vendor IT atau divisi IT. Tidak cukup sampai disana, pimpinan tertinggi juga harus memerintahkan PPDP atau DPOnya untuk melaksanakan training yang mencukupi bagi seluruh staf yang terlibat di dalam pemrosesan Data Pribadi.
Kaitannya dengan PPDP atau DPO, perusahaan dapat memberikan training khusus kepada PPDP atau DPO internal dengan mengambil sertifikasi Data Protection Officer yang sesuai dengan UU PDP di Indonesia bersama Gerbang PDP Indonesia.
