ISU kebocoran data pribadi di berbagai institusi telah mengharuskan korporasi, sebagai pengendali data, memprioritaskan penyesuaian pemrosesan regulasi dan kebijakan internalnya dengan ketentuan Undang-undang (UU) Nomor 27 Tahun 2022 Tentang Perlindungan Data Pribadi (PDP).
Korporasi sebagai pengendali data pribadi memiliki waktu dua tahun untuk menyesuaikan kebijakan dan pemrosesan data pribadinya sampai pada 17 Oktober 2024. Penyesuaian regulasi, kebijakan internal, dan keberadaan unit pemrosesan dan pengawas data pribadi dalam organisasi, akan menolong korporasi dari masalah kebocoran data dan tanggung jawab hukum yang lebih serius.
Indonesia telah memiliki UU PDP. Namun seperti halnya regulasi data di berbagai negara, peraturan itu merupakan realitas baru. Seperti dikemukakan Steven Cavey dalam artikelnya, “How Global Data Privacy Laws Are Changing the CDO Role” (2020), realitas baru ini membutuhkan kedalaman pengetahuan terkait kepatuhan, hukum, keamanan, dan privasi.
Baca juga: UU Perlindungan Data Pribadi: Jenis Data dan Sanksi Pidananya
Cavey mengatakan, kegagalan mematuhi berbagai regulasi yang berkembang oleh suatu organisasi, tidak hanya memiliki implikasi keuangan seperti denda, kehilangan pangsa pasar, bahkan nilai saham, tetapi juga bisa merusak kepercayaan yang dibangun perusahaan.
Apa yang harus dilakukan korporasi di Indonesia dalam masa transisi UU PDP? Pertama, Pasal 74 UU PDP menyatakan, pada saat UU ini mulai berlaku, pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan UU ini paling lama dua tahun sejak UU diundangkan.
Kedua, karena UU PDP diundangkan pada 17 Oktober 2O22, maka batas waktu penyesuaian korporasi akan jatuh pada tanggal 17 Oktober 2024. Semua korporasi, wajib mere-evaluasi semua regulasi, kebijakan internal, dan tata kelola unit-unit organisasi eksisting terkait pelindungan data pribadi, dan menyesuaikannya dengan UU PDP.
Hal itu perlu dilakukan agar korporasi tidak hanya dapat menjalankan pemrosesan yang memenuhi tujuan bisnis yang aman, prinsip akuntabilitas, corporate governance, tetapi juga menjalankannya sesuai UU PDP.
Ketiga, langkah penyesuaian korporasi sesuai Pasal 74 UU PDP akan menghindarkan risiko korporasi dari sanksi baik administrasi, perdata, maupun pidana. Termasuk di dalamnya ancaman denda dua persen dari pendapatan tahunan sesuai UU PDP.
Langkah memenuhi kepatuhan dan pagar-pagar berupa regulasi dan kebijakan internal korporasi, pada gilirannya akan menyelamatkan korporasi dari risiko hukum akibat kemungkinan dampak kejahatan hacker. Hal ini juga akan menjadi landasan kokoh dan kepastian dalam menghadapi kemungkinan berbagai gugatan pihak ketiga.
Jika korporasi selama ini telah nemiliki chief data officer (CDO) dan belum fokus pada perlindungan privasi, maka perlu melengkapinya dengan chief privacy officer (CPO). Kedua unsur ini memiliki keterkaitan dalam perlindungan informasi secara umum.
Sebagaimana dikemukakan James Howard, dalam tulisan berjudul Aligning The Chiefs: The merging of CDOs and CPOs (2019), CDO berada dalam posisi yang unik karena mereka menyatukan katalog informasi yang tersedia dan peluang yang terus berkembang untuk memberikan nilai bagi organisasi mereka. Mereka bekerja secara obyektif untuk mengelola dan mengatur keseluruhan data perusahaan.
Baca juga: Pemrosesan Data Pribadi Menurut UU PDP dan Status Eksisting
Sementara CPO, adalah bagian yang juga terikat dengan manajemen informasi, khususnya informasi yang dapat diidentifikasi sebagai data pribadi, CPO ditugaskan untuk menerapkan kebijakan, prosedur, dan kontrol untuk penggunaan data oleh organisasi dan menyeimbangkan upaya kepatuhan berdasarkan kewajiban peraturan, etika, dan kontrak.
Menurut Howard, tanggung jawab CPO adalah bagian dari tanggung jawab CDO. Tugas bersama dengan kumpulan data ini memungkinkan organisasi untuk menggabungkan dua posisi menjadi satu.
Pendapat Howard menunjukkan bahwa CDO dan CPO adalah unit eksekutif pengelola data. Hal yang membedakannya adalah CDO melakukan pemrosesan seluruh data (termasuk big data) untuk kepentingan bisnis korporasi, sementara CPO adalah unit eksekutif yang berfokus pada pemrosesan data pribadi.
Howard mengintroduksi kemungkinan menyatukan CDO dan CPO tampaknya untuk efektivitas dan efisiensi.