UU Perlindungan Data Pribadi: Tantangan & Strategi di Perusahaan

Era baru dalam tata kelola data pribadi telah resmi dimulai di Indonesia dengan diberlakukannya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) pada 17 Oktober 2024. Undang-undang ini bertujuan memperketat pengelolaan data pribadi, melindungi privasi individu, dan menekan angka kebocoran data. Ketua Tim Tata Kelola Perlindungan Data Pribadi Kementerian Komunikasi dan Informatika (Kemenkominfo), Hendry Sasmita Yuda, menegaskan bahwa seluruh perusahaan dan lembaga di Indonesia kini berada pada tahap implementasi penuh dari regulasi ini.

Dalam sebuah diskusi di acara Legal Days 2024, Hendry menyatakan, “Ini adalah momentum krusial bagi setiap perusahaan untuk patuh terhadap UU PDP. Penegakan hukum dan sanksi administratif telah berjalan, dan perusahaan wajib mengantisipasi risiko hukum jika tidak mengikuti aturan ini.” Sanksi yang diterapkan termasuk denda administratif yang bisa mencapai dua persen dari pendapatan tahunan perusahaan, sehingga mendukung kepatuhan dinilai lebih efisien daripada menanggung kerugian akibat denda tersebut.

Hendry menjelaskan bahwa penerapan UU PDP bukan hanya sekedar kepatuhan minimal seperti menghindari pelanggaran terbuka. Ada perusahaan BUMN yang mencoba memenuhi persyaratan minimal namun tetap menghadapi risiko. Misalnya, pengumpulan data tanpa dasar hukum dapat dikenakan sanksi seperti penghentian operasional sementara, pemblokiran, atau denda. “Risiko hukum harus diantisipasi. Lebih baik mengalokasikan anggaran untuk kesiapan regulasi daripada menghadapi denda yang besar,” ujar Hendry.

Pentingnya Kolaborasi Antar Divisi dalam Implementasi UU PDP

Implementasi UU PDP membutuhkan keterlibatan lintas divisi, mulai dari HR, IT, Legal, hingga Customer Care. Hendry menekankan, “Data pribadi bukan lagi milik yang bisa digunakan sewenang-wenang, melainkan amanah yang perlu dijaga dengan akuntabilitas penuh.” Dukungan penuh dari manajemen sangat penting untuk menciptakan tata kelola data yang baik.

Meski data pribadi tidak selalu bersifat rahasia, tetap ada kewajiban perusahaan untuk melindunginya. Contoh kasus di lapangan menunjukkan bahwa dalam beberapa situasi, data pribadi bisa saja diakses secara terbuka, namun ini tidak membebaskan perusahaan dari kewajiban menjaga keamanannya.

Pendekatan dan Tantangan Implementasi UU PDP

Daniel Pardede, Partner Hadiputranto, Hadinoto & Partners (HHP), mengungkapkan bahwa banyak perusahaan baru memulai analisis kesenjangan (gap analysis) dalam enam bulan terakhir, menjelang implementasi penuh UU PDP. Hal ini mirip dengan yang terjadi di Eropa saat General Data Protection Regulation (GDPR) diberlakukan. Antusiasme untuk mematuhi regulasi ini meningkat mendekati masa berlaku UU.

Daniel mengungkapkan bahwa ada beberapa pendekatan dalam penerapan UU PDP di perusahaan, termasuk pendekatan top-down. Perusahaan holding seperti Pertamina Hulu Energi (PHE) menggunakan pendekatan ini, di mana kebijakan pusat diterapkan ke seluruh unit usaha. Dalam penerapan tersebut, penting untuk memahami peran perusahaan dalam pemrosesan data pribadi, baik sebagai pengendali maupun pemroses data, agar dapat mengatur mitigasi risiko dengan tepat.

Perusahaan besar yang memiliki kompleksitas lebih tinggi bahkan membentuk task force khusus untuk memastikan kelengkapan dokumen pendukung seperti privacy notice, kebijakan privasi internal, dan kebijakan privasi eksternal. Selain itu, pelatihan dan sosialisasi untuk karyawan juga diperlukan agar semua pihak memahami pentingnya perlindungan data pribadi.

Namun, tantangan utama datang dari kebiasaan karyawan yang masih sering berbagi data pribadi melalui aplikasi pesan instan, seperti WhatsApp. “Ada kasus karyawan mengambil foto KTP pelanggan dan membagikannya di grup chat, ini tentu saja menimbulkan risiko kebocoran data pribadi,” jelas Daniel. Solusinya adalah menciptakan sistem pengumpulan data yang aman dengan aplikasi yang dirancang khusus.

Tantangan Baru dan Langkah Transparansi dalam Aksi Korporasi

Keunikan dari UU PDP di Indonesia adalah kewajiban perusahaan untuk memberitahukan perubahan terkait data pribadi saat melakukan aksi korporasi, seperti merger atau akuisisi. Hal ini bertujuan agar masyarakat dan pihak terkait mengetahui bagaimana data pribadi mereka dikelola dalam proses perubahan tersebut. “Transparansi ini menjadi suatu hal baru yang sebelumnya tidak diatur. Sekarang perusahaan harus memastikan bahwa setiap perubahan kepemilikan atau pengelolaan data pribadi disampaikan secara transparan,” tegas Daniel.

PHE dan Komitmen Peningkatan Kesadaran melalui Legal Days 2024

Pertamina Hulu Energi (PHE), sebagai penyelenggara Legal Days 2024, menekankan pentingnya kesadaran dan pemahaman terkait UU PDP. VP Legal Counsel PHE, Siti Nur Maulina, menjelaskan bahwa undang-undang ini menjadi jawaban atas keresahan masyarakat terhadap kebocoran data pribadi yang semakin meningkat. Meskipun PHE bukan perusahaan yang mengelola banyak data pelanggan, perusahaan tetap berkewajiban melindungi data pribadi karyawan, vendor, dan mitra kerja.

“Kami ingin memastikan bahwa semua data pribadi yang kami kelola terlindungi dengan baik sesuai UU PDP,” ujar Siti. Selain sesi diskusi, acara ini juga menyediakan konsultasi hukum terkait perlindungan data pribadi serta aspek hukum lainnya, seperti hukum waris, tata cara jual-beli tanah, dan masalah keluarga. Harapannya, acara ini dapat memberikan manfaat edukasi dan meningkatkan literasi hukum bagi para karyawan dan mitra PHE.

Dengan berlakunya UU PDP, perusahaan di Indonesia kini dituntut lebih siap dan proaktif dalam melindungi data pribadi. Dengan mematuhi regulasi ini, perusahaan tidak hanya menghindari risiko hukum tetapi juga meningkatkan kepercayaan publik.