Serba-serbi tentang Pelindungan Data Pribadi

Pada umumnya, pelindungan Data Pribadi identik dengan pelindungan IT. Hal seperti ini sering kita temukan ketika pertama kali membahas mengenai Pelindungan Data Pribadi kepada orang awam. Namun hal ini tidak sepenuhnya salah, karena kebanyakan dari kita mengira bahwa hanya orang IT yang mengerti bagaimana mengamankan Data Pribadi melalui Pelindungan secara teknis dalam bentuk enkripsi, firewall dan antivirus yang berfungsi untuk mengamankan Data-data Pribadi yang disimpan perusahaan dari pengaksesan ilegal yang dilakukan oleh pihak yang tidak bertanggung jawab, misalkan seperti hacker dan berbagai jenis penyusup lainnya di dalam jaringan digital perusahaan.

Pelindungan IT memang cukup efektif di dalam melindungi Data Pribadi yang disimpan oleh perusahaan, namun seperti yang kita ketahui belakangan di Indonesia terdapat beberapa institusi besar, swasta maupun pemerintah, yang telah menerapkan Pelindungan IT yang tentunya sangat canggih, berlapis-lapis dan menghabiskan dana atau budget yang cukup mahal, namun tetap saja mengalami kebocoran Data Pribadi yang bersifat sangat masif sampai membuat kegaduhan dan ketakutan sehingga menyita perhatian seluruh masyarakat Indonesia. Hal ini kemudian menjadi pertanyaan yang sangat menarik untuk kita bahas, kenapa mekanisme Pelindungan IT yang sangat canggih masih dapat dibobol oleh orang-orang yang tidak bertanggung jawab? Untuk menjawab pertanyaan ini, kita harus melihat kembali kepada praktik Pelindungan Data Pribadi secara Internasional dan yang telah menjadi standar tertinggi Pelindungan Data Pribadi di dunia, yaitu GDPR.

Di dalam GDPR pada Pasal 25 Ayat 2 dan UU PDP pada Pasal 35, disebutkan bahwa untuk merumuskan Pelindungan Data Pribadi, Pengendali Data Pribadi harus menerapkan Pelindungan Teknis dan Operasional yang layak. Pelindungan Teknis seperti kita ketahui bersama adalah Pelindungan Data Pribadi yang dilakukan dengan menerapkan aspek-aspek teknis berupa Pelindungan IT seperti yang kita bahas di atas. Lalu apakah Pelindungan Operasional yang dimaksud oleh kedua Undang-undang di atas? Yang dimaksud dengan Pelindungan Operasional adalah Pelindungan Data Pribadi yang mengedepankan aspek-aspek operasional dan manajemen di dalam perusahaan berupa SOP, dan kebijakan yang dibuat di dalam melaksanakan Pelindungan Data Pribadi. Namun apakah yang membedakan Pelindungan Data Pribadi Operasional yang disebutkan di dalam GDPR dan UU PDP dengan Pelindungan Operasional yang ada di dalam ISO 27001? Menurut situs Sprinto.com, perbedaan antara ISO 27001 dengan GDPR adalah ISO 27001 lebih mengutamakan tentang manajemen perusahaan di dalam melindungi Data Pribadi milik pelanggan, sedangkan GDPR dan Undang-Undang Pelindungan Data Pribadi di seluruh dunia lebih menitikberatkan Pelindungan kepada Pelindungan hak-hak Subjek Data Pribadi.

Poin yang harus diperhatikan Perusahaan atau Pelaku Usaha

Apabila kita melihat lebih jelas lagi ke dalam GDPR  dan Undang-Undang Pelindungan Data Pribadi (UU PDP) yang berlaku di seluruh dunia maka kita dapat melihat bahwa ada beberapa poin yang wajib diperhatikan oleh Perusahaan, di antaranya

  • Pertama adalah prinsip-prinsip Pelindungan Data Pribadi, 
  • kedua adalah Dasar Pemrosesan Data Pribadi
  • ketiga adalah Hak-hak Subjek Data Pribadi, 
  • keempat adalah tugas dan kewajiban Pengendali dan Prosesor Data Pribadi, 
  • kelima adalah menciptakan Pelindungan Data Pribadi secara Teknis dan Operasional
  • keenam adalah metode di dalam melakukan transfer Data Pribadi, 
  • ketujuh mekanisme pemberitahuan kepada lembaga dan Subjek Data Pribadi mengenai perihal masalah seputar Data Pribadi seperti kebocoran Data Pribadi dan penyalahgunaan Data Pribadi.
  • Kedelapan adalah kewajiban dan kewenangan lembaga
  • Kesembilan adalah sanksi sanksi yang dijatuhkan apabila terjadi pelanggaran. 

Sembilan poin di atas juga merupakan hal yang menjadi kekhususan dari GDPR dan Undang-undang Pelindungan Data Pribadi di seluruh dunia. 

Meskipun Mekanisme Pelindungan Data Pribadi ISO 27001 dikatakan oleh sebagian orang mirip dengan GDPR, namun dari sisi kelengkapan mekanisme Pelindungan Data Pribadi secara Operasional yang diatur oleh GDPR merupakan mekanisme Pelindungan Data Pribadi yang sangat lengkap, detail dan banyak mengatur tentang hak dan kebebasan Subjek Data Pribadi, sedangkan ISO 27001 tidak dapat mencakup keseluruhan mekanisme Pelindungan Data Pribadi yang diatur oleh GDPR. Meskipun dengan ISO 27701 (extention dari ISO 27001) menekankan kepada kepatuhan dan identifikasi Data Pribadi yang diproses oleh  Pengendali dan Prosesor Data Pribadi, namun tetap GDPR memiliki kelengkapan yang tidak dapat disamakan oleh standar ISO. 

Satu hal yang tidak boleh kita lupakan adalah peran Lembaga Pelindungan Data Pribadi yang diatur dan dimiliki di dalam GDPR dan Undang-Undang Pelindungan Data Pribadi (UU PDP) di seluruh dunia termasuk UU PDP Indonesia, oleh karena lembaga Pelindungan Data Pribadi merupakan lembaga penegak UU PDP ini dibantu oleh pihak berwajib lainnya seperti Kepolisian dan Kejaksaan. Lembaga Pelindungan Data Pribadi dapat “memaksa” pihak perusahaan yang melaksanakan Pemrosesan Data Pribadi untuk melaksanakan Pelindungan Data Pribadi yang komprehensif sesuai dengan kemampuan perusahaan di dalam menerapkan Pelindungan Data Pribadi. Hal ini berbeda dengan ISO yang merupakan lembaga yang hanya sertifikasi mutu perusahaan. Tidak menerapkan ISO tidak akan berdampak pada pengenaan sanksi dan denda, namun apabila tidak menerapkan GDPR atau hukum Pelindungan Data Pribadi termasuk UU PDP akan berdampak pada masalah hukum. 

Mendapatkan sertifikasi ISO mungkin bagi sebagian perusahaan merupakan suatu sarana yang yang baik untuk mengupgrade image perusahaan, karena mungkin bagi sebagian pelanggan atau customer semakin banyak sebuah  perusahaan mendapatkan sertifikasi ISO, maka semakin terpercaya perusahaan tersebut dimata mereka. Namun kita harus secara realistis melihat kenyataan bahwa perusahaan yang memiliki Pelindungan Data Pribadi Operasional yang baik tidak dapat ditentukan dari perolehan ISO 27001 dan ISO 27701. Perusahaan yang memiliki Pelindungan Data Pribadi Operasional yang baik akan selalu mengedepankan GDPR atau UU PDP, salah satu ciri yang paling terlihat adalah dengan adanya seorang PPDP di dalam perusahaan tersebut. PPDP yang telah kami bahas di dalam blog-blog sebelumnya merupakan seseorang atau sebuah divisi yang terdapat di dalam perusahaan yang berfungsi untuk mengawal pelaksanaan UU PDP di dalam perusahaan. 

Pemilihan PPDP yang handal akan membantu perusahaan di dalam melaksanakan GDPR atau UU PDP sekaligus memastikan pemrosesan Data Pribadi yang dilakukan oleh Perusahaan terlindungi di dalam sistem manajemen informasi yang baik yang di dalamnya termasuk pembuatan DPIA ( Data Protection Impact Assessment) yang merupakan penilaian dampak risiko terhadap pemrosesan Data Pribadi dan Risk Management atau manajemen rIsiko. PPDP yang baik juga harus dapat membedakan dan memisahkan pemrosesan Data Pribadi berdasarkan peran perusahaan tempatnya bekerja, kapan sebagai Pengendali Data Pribadi dan kapan sebagai Prosesor Data Pribadi. Seluruh  kemampuan yang dimiliki PPDP diatas merupakan hal-hal yang juga diatur di dalam ISO 27001 dan ISO 27701. Jadi, kita bisa menyimpulkan apabila kita memiliki seorang PPDP yang memiliki skill dan pengetahuan yang mencukupi melalui pelatihan PPDP dengan materi yang komprehensif maka sertifikasi ISO sepertinya hanya akan menjadi opsional saja.

Kesimpulan

Memiliki Pelindungan Data Pribadi yang komprehensif merupakan solusi untuk mencegah terjadinya kebocoran Data Pribadi dan kegagalan Pelindungan Data Pribadi. Pelindungan IT yang dimiliki perusahaan tidaklah lengkap tanpa Pelindungan Organisasional yang baik. Bagaikan sistem pengamanan sebuah rumah, Pelindungan IT kita dapat ibaratkan sebagai kecanggihan alarmnya, kecanggihan sistem penguncian pintunya, sistem CCTV, dan lain sebagainya. Semua kecanggihan sistem pengamanan rumah di atas tidak akan bekerja efektif apabila kita tidak memiliki kebiasaan yang baik untuk mengunci pintu, tidak siaga ketika alarm memperingatkan kita apabila ada tamu tidak diundang masuk atau tidak memiliki kebiasaan yang baik di dalam merawat sistem sistem keamanan yang kita miliki. Semua kebiasaan-kebiasaan tersebut dapat kita ibaratkan sebagai Pelindungan Operasional. Pelindungan Teknis dan Operasional wajib dijalankan bersama-sama demi tercipta Pelindungan Data Pribadi yang komprehensif di dalam perusahaan sesuai dengan mandat UU PDP dan GDPR.