Reporter: Yudho Winarto | Editor: Yudho Winarto
KONTAN.CO.ID - JAKARTA. Sejumlah masukan mulai muncul terkait rencana pemerintah untuk segera mengundangkan Peraturan Pemerintah mengenai Pelindungan Data Pribadi (RPP PDP) sebagai peraturan turunan dari Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
Devi Ariyani, Executive Director Indonesia Services Dialogue (ISD) Council mengatakan, beberapa klausul aturan dalam RPP PDP akan memberatkan pelaku usaha dan tidak sesuai standar international.
Salah satu contohnya menyangkut kewajiban bagi pelaku usaha untuk memenuhi permintaan subjek data dalam waktu 3x24 jam.
Berdasarkan beleid tersebut, perusahaan yang menjadi pengendali data pribadi wajib memenuhi ketentuan terkait hak subjek data dalam waktu 3x24 jam.
Hal ini berlaku bagi penghentian, penundaan, dan pembatasan pemrosesan data pribadi, serta pemberian akses kepada subjek data dan penghapusan data pribadi.
Baca Juga: Lindungi Data Pribadi, Kominfo Siapkan Pedoman Etika AI
"Waktu 3x24 jam akan membebani pelaku usaha, menimbulkan biaya kepatuhan yang cukup tinggi bagi pelaku usaha. Dengan tenggat waktu tersebut belum tentu bisa comply, baik karena keterbatasan kapasitas, resources, maupun kompleksitas proses atau prosedur internal di masing-masing perusahaan," kata Devi Ariyani dalam keterangannya, Jumat (8/9).
Pekan lalu, Kementerian Komunikasi dan Informatika (Kominfo) mulai melakukan sosialisasi terhadap materi RPP PDP tersebut dan berharap peran serta publik untuk memberikan masukan.
“Kominfo berkomitmen untuk melibatkan publik dalam penyusunan RPP PDP. Pelaksanaannya selama ini melibatkan beragam pakar dan akademisi sebelum draf yang ada disiapkan uji publik” tutur Wakil Menteri Kominfo Nezar Patria (30/9).
Lebih jauh Devi mengingatkan, masing-masing pelaku usaha memiliki kapasitas maupun kapabilitas yang berbeda dalam pemrosesan data pribadi.
Tidak seluruh perusahaan rintisan memiliki sumber saya yang cukup. Maklum, sebagian perusahaan rintisan di Indonesia merupakan perusahaan skala kecil dan mikro.
Selain keterbatasan sumber daya, kompleksitas pemrosesan masing-masing perusahaan juga berbeda. Semakin besar perusahaan, prosedur atau sistem di internal akan semakin kompleks dan membutuhkan banyak otorisasi.
Baca Juga: APJII Berharap, Infrastruktur Telekomunikasi dan Aturan Perlindungan Data Dikebut
Belum lagi, tidak semua pemrosesan data dilakukan di dalam negeri. Sebagian pelaku usaha mengerjakan pemrosesan data di luar negeri.
Selain itu, lanjut Devi, volume permintaan juga akan mempengaruhi waktu yang dibutuhkan perusahaan untuk memenuhi hak subjek data. Jika ada jutaan permintaan dalam satu waktu bersamaan, waktu yang perusahaan butuhkan untuk memproses permintaan tersebut akan semakin lama.
Berdasarkan survei yang digelar ISD, untuk penghentian pemrosesan data pribadi, sebanyak 76% responden membutuhkan waktu satu bulan. Sementara untuk penundaan atau pembatasan pemrosesan data, sebanyak 78% responden membutuhkan waktu 21 hari.
Untuk mematuhi tenggat waktu 3x24 jam sesuai UU PDP maupun draf RPP PDP, Devi melanjutkan, pelaku usaha harus mengalokasikan tambahan sumber daya khusus dan melakukan penyesuaian prosedur internal. Bagi perusahaan yang pemrosesan data dilakukan di luar negeri, mereka harus melakukan koordinasi lebih cepat.
"Ini semua akan menambah beban biaya. Artinya, untuk patuh terhadap tenggat tersebut, ada beban biaya yang harus dikeluarkan perusahaan dan menguras resources yang cukup tinggi," lanjut Devi.