Perusahaan atau organisasi pengendali data pribadi yang melakukan pemrosesan data pribadi harus mulai mempersiapkan diri agar dapat menyesuaikan dengan aturan di dalam Undang-Undang Perlindungan Data Pribadi (UU PDP). Penyesuaian harus segera dilakukan, apalagi bagi pengendali data dalam jumlah masif.
Satriyo Wibowo dari Indonesia Cyber Security Forum (ICSF), dalam “media clinic” secara virtual, 24/01/2023, mengingatkan perusahaan atau organisasi pengendali data pribadi memiliki waktu penyesuaian selama dua tahun hingga 16 Oktober 2024 sebelum ketentuan UU PDP dilaksanakan secara penuh.
“Memang kita punya waktu selama dua tahun sampai 16 Oktober 2024 sebelum nanti ketentuan di dalam UU PDP itu full dilaksanakan. Tetapi tetap saja untuk perusahaan gede, organisasi-organisasi yang melakukan pemrosesan data pribadi dalam jumlah masif itu mau tidak mau harus mulai mempersiapkannya dari sekarang,” katanya.
Ia pun memaparkan bahwa UU PDP sebetulnya tidak hanya sekadar ekstensi atau perluasan tentang keamanan siber semata tapi juga mencakup tata kelola data, misalnya inventarisasi data.
“Perusahaan atau organisasi pengendali data pribadi harus mendefinisikan, harus mencari tahu data pribadi yang dikumpulkan itu di mana saja, siapa yang akan bertanggung jawab, alirannya ke mana, kemudian dasar pemrosesannya apa,” tegas Satriyo.
Ia mengingatkan adanya potensi pelanggaran hukum apabila perusahaan atau organisasi tidak memahami dan tidak memiliki dasar pemrosesan data. Sebagaimana tertuang dalam peraturan di UU PDP.
Satryo pun mencontohkan bahwa setiap Penyelenggara Sertifikasi Elektronik (PSrE) yang melakukan pemrosesan data pribadi secara masif harus memiliki pejabat pelindungan data pribadi (PPDP) atau data protection officer (DPO) dengan kemampuan dan kecakapan profesional untuk pekerjaan tersebut.
“Pengendali data pribadi yang melakukan pemrosesan data pribadi secara sistematis, memproses data pribadi yang berhubungan dengan pidana, memproses data pribadi dalam kepentingan umum atau public services, itu adalah beberapa pengendali data yang diwajibkan untuk memiliki pejabat petugas pelindung data pribadi (PPDP),” jelasnya.
Saat ini, telah ada Standar Kompetensi Kerja Nasional Indonesia (SKKNI) Perlindungan Data Pribadi. Dengan adanya SKKNI, nantinya akan menjadi justifikasi untuk melakukan sertifikasi terhadap PPDP.
Baca: Perlindungan Data Pribadi Jadi Perhatian Investor Sebelum Berinvestasi
