kontan.co.id
banner langganan top
| : WIB | INDIKATOR |
  • EMAS 1.520.000   12.000   0,80%
  • USD/IDR 15.880   50,00   0,31%
  • IDX 7.196   54,65   0,77%
  • KOMPAS100 1.104   9,46   0,86%
  • LQ45 877   10,80   1,25%
  • ISSI 221   0,74   0,34%
  • IDX30 449   6,10   1,38%
  • IDXHIDIV20 540   5,33   1,00%
  • IDX80 127   1,26   1,00%
  • IDXV30 135   0,57   0,43%
  • IDXQ30 149   1,56   1,06%

Pemenuhan Tenggat Waktu dalam UU PDP Menambah Beban Pelaku Usaha


Jumat, 08 September 2023 / 20:13 WIB
Pemenuhan Tenggat Waktu dalam UU PDP Menambah Beban Pelaku Usaha
ILUSTRASI. Pelindungan Data Pribadi


Reporter: Yudho Winarto | Editor: Yudho Winarto

KONTAN.CO.ID - JAKARTA. Sejumlah masukan mulai muncul terkait rencana pemerintah untuk segera mengundangkan Peraturan Pemerintah mengenai Pelindungan Data Pribadi (RPP PDP) sebagai peraturan turunan dari Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Devi Ariyani, Executive Director Indonesia Services Dialogue (ISD) Council mengatakan, beberapa klausul aturan dalam RPP PDP akan memberatkan pelaku usaha dan tidak sesuai standar international.

Salah satu contohnya menyangkut kewajiban bagi pelaku usaha untuk memenuhi permintaan subjek data dalam waktu 3x24 jam.

Berdasarkan beleid tersebut, perusahaan yang menjadi pengendali data pribadi wajib memenuhi ketentuan terkait hak subjek data dalam waktu 3x24 jam.

Hal ini berlaku bagi penghentian, penundaan, dan pembatasan pemrosesan data pribadi, serta pemberian akses kepada subjek data dan penghapusan data pribadi.

Baca Juga: Lindungi Data Pribadi, Kominfo Siapkan Pedoman Etika AI

"Waktu 3x24 jam akan membebani pelaku usaha, menimbulkan biaya kepatuhan yang cukup tinggi bagi pelaku usaha. Dengan tenggat waktu tersebut belum tentu bisa comply, baik karena keterbatasan kapasitas, resources, maupun kompleksitas proses atau prosedur internal di masing-masing perusahaan," kata Devi Ariyani dalam keterangannya, Jumat (8/9).

Pekan lalu, Kementerian Komunikasi dan Informatika (Kominfo) mulai melakukan sosialisasi terhadap materi RPP PDP tersebut dan berharap peran serta publik untuk memberikan masukan.  

“Kominfo berkomitmen untuk melibatkan publik dalam penyusunan RPP PDP. Pelaksanaannya selama ini melibatkan beragam pakar dan akademisi sebelum draf yang ada disiapkan uji publik” tutur Wakil Menteri Kominfo Nezar Patria (30/9).

Lebih jauh Devi mengingatkan, masing-masing pelaku usaha memiliki kapasitas maupun kapabilitas yang berbeda dalam pemrosesan data pribadi.

Tidak seluruh perusahaan rintisan memiliki sumber saya yang cukup. Maklum, sebagian perusahaan rintisan di Indonesia merupakan perusahaan skala kecil dan mikro.

Selain keterbatasan sumber daya, kompleksitas pemrosesan masing-masing perusahaan juga berbeda. Semakin besar perusahaan, prosedur atau sistem di internal akan semakin kompleks dan membutuhkan banyak otorisasi.

Baca Juga: APJII Berharap, Infrastruktur Telekomunikasi dan Aturan Perlindungan Data Dikebut

Belum lagi, tidak semua pemrosesan data dilakukan di dalam negeri. Sebagian pelaku usaha mengerjakan pemrosesan data di luar negeri.

Selain itu, lanjut Devi, volume permintaan juga akan mempengaruhi waktu yang dibutuhkan perusahaan untuk memenuhi hak subjek data. Jika ada jutaan permintaan dalam satu waktu bersamaan, waktu yang perusahaan butuhkan untuk memproses permintaan tersebut akan semakin lama.

Berdasarkan survei yang digelar ISD, untuk penghentian pemrosesan data pribadi, sebanyak 76% responden membutuhkan waktu satu bulan. Sementara untuk penundaan atau pembatasan pemrosesan data, sebanyak 78% responden membutuhkan waktu 21 hari.

Untuk mematuhi tenggat waktu 3x24 jam sesuai UU PDP maupun draf RPP PDP, Devi melanjutkan, pelaku usaha harus mengalokasikan tambahan sumber daya khusus dan melakukan penyesuaian prosedur internal. Bagi perusahaan yang pemrosesan data dilakukan di luar negeri, mereka harus melakukan koordinasi lebih cepat.

"Ini semua akan menambah beban biaya. Artinya, untuk patuh terhadap tenggat tersebut, ada beban biaya yang harus dikeluarkan perusahaan dan menguras resources yang cukup tinggi," lanjut Devi.

Standar International

Devi justru mempertanyakan mengapa pemerintah mematok tenggat waktu 3x24 jam bagi perusahaan untuk memenuhi permintaan subjek data.

Baca Juga: Mitigasi Kebocoran Data Nasabah, Bank Memperkuat Pengamanan Siber

Menurut dia, pemerintah perlu memahami kapasitas dan kapabilitas perusahaan di dalam negeri,  lantaran banyak perusahaan rintisan yang skalanya masih terbilang kecil bahkan mikro.

Menurutnya, jangka waktu 3x 24 jam juga tidak sesuai standar internasional. Jika mengikuti praktik internasional, standar waktu bagi perusahaan untuk memenuhi hak pemilik data pribadi adalahh satu bulan dan bisa diperpanjang menjadi 60 hari.

Sehingga total jangka waktunya adalah tiga bulan. Praktik internasional tersebut mengacu pada General Data Protection Regulation (GDPR), regulasi mengenai pemrosesan data pribadi di Uni Eropa yang telah efektif berlaku sejak 2018.

Sebagai pembanding Malaysia memberikan waktu selama 21 hari untuk pemrosesan dan pembaruan data. Sementara di Hong Kong, tenggat waktunya hingga 40 hari. "Artinya baik GDPR Uni Eropa, Malaysia dan Hong Kong, tenggat waktu yangg diberikan lebih business process friendly," kata Devi.

Idealnya, Devi bilang, pemerintah melonggarkan ketentuan 3x24 jam sesuai standar internasional. Aturan tersebut akan menjadi lebih bersahabat bagi pelaku industri. Namun, bisa saja pemerintah memiliki alasan sendiri mematok tenggat waktu 3x24 jam.

Jika aturan tersebut tetap diberlakukan, Devi menyarankan pemerintah memberikan periode transisi yang cukup bagi perusahaan untuk bisa menyesuaikan dengan aturan tersebut. Jangan sampai ketika pelaku usaha tidak bisa memenuhi ketentuan langsung dikenai sanksi.

"Toh, selama ini, pelaku usaha sudah menerapkan prinsip-prinsip keamanan dan prinsip-prinsip pemenuhan hak kepada pemilik data yang sudah ditetapkan oleh lembaga resmi pemerintah," tutup Devi.

Cek Berita dan Artikel yang lain di Google News



TERBARU
Kontan Academy
Working with GenAI : Promising Use Cases HOW TO CHOOSE THE RIGHT INVESTMENT BANKER : A Sell-Side Perspective

[X]
×