Mencegah Denda bagi Korporasi karena Pelanggaran Data Pribadi

PUTUSAN Otoritas Uni Eropa yang menjatuhkan sanksi denda setara Rp 19,35 triliun terhadap raksasa media sosial Meta karena pelanggaran data pribadi, bukanlah kasus pertama. Data menunjukan setidaknya terdapat 20 putusan dengan nilai denda fantastis.

Dari jumlah itu tercatat, tujuh di antaranya dikenakan pada Meta atau perusahaan milik Meta (Data Privacy Manager, 23/08/2023).

Kasus terakhir yang menimpa Meta-Facebook, membawa dampak luas. Tidak hanya sanksi denda, tetapi juga terkait pembatasan dan penyesuaian transfer data internasional.

Sebagaimana sudah dibahas dalam artikel saya sebelumnya "Denda Paling Spektakuler Pelanggaran Data Pribadi Uni Eropa" (27/08/2023).

Menanggapi hal itu, Meta-Facebook mengatakan, putusan ini akan menjadi preseden berbahaya bagi berbagai perusahaan lain.

Mereka berargumentasi, tanpa kemampuan mentransfer data lintas-batas, internet berisiko terpecah menjadi silo nasional dan regional.

Tidak berselang lama setelah sanksi yang menggegerkan tersebut diputuskan, Komisi Eropa akhirnya mengadopsi “EU-US Data Privacy Framework” (DPF) dan berlaku mulai 10 Juli 2023.

Pembahasan tentang EU-US DPF akan saya uraikan pada artikel tersendiri berikutnya, sebagai rangkaian bahan ajar Hukum Privasi di Fakultas Hukum Universitas Padjadjaran. Artikel tersebut akan saya bagikan juga kepada pembaca Kompas.com untuk manfaat lebih luas.

Landasan hukum

Putusan denda dijatuhkan oleh Komisi Perlindungan Data (DPC) Irlandia atas perintah Otoritas Uni Eropa menjadi pembelajaran agar tidak menimpa korporasi manapun, terutama mereka yang bergerak di bidang platform digital.

Kasus ini menunjukan pentingnya keberadaan landasan hukum sebagai dasar kepastian dalam pemanfaatan data pribadi yang aman sesuai regulasi. Kekosongan hukum sebagai penyebab ketidakpastian, harus segera diatasi.

Kasus pelanggaran data pribadi bukan kali pertama terjadi. Berbagai putusan Otoritas pelindungan data pribadi sudah sering kali terjadi. Penting bagi korporasi untuk intens melakukan mitigasi risiko agar tidak terjerat pelanggaran.

Strategi menghindari

Pertama, sesuai amanat UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP), dalam rangka melindungi warga negara, sekaligus pelaku bisnis nasional, Pemerintah perlu segera menyelesaikan peraturan pemerintah tentang pelaksanaan UU PDP.

Keberadaan PP sebagai regulasi implementasi akan memberikan kepastian sekaligus kejelasan atas larangan bagi pelaku bisnis terkait pemrosesan dan penggunaan data pribadi.

Berkaca dari kasus Meta di Uni Eropa, kekosongan regulasi justru sangat berisiko dan berdampak sangat luas terhadap para pelaku bisnis dan penggunanya.

Peraturan implementasi juga harus jelas, tidak multi tafsir, detail, dan memberikan kepastian hukum dalam pelaksanaannya.

Materi muatan PP selain berlandaskan UU PDP, juga perlu disusun berdasarkan best practices global di bidang PDP.

Kedua, Pemerintah perlu segera membentuk Otoritas Pelindungan Data Pribadi, atau yang dikenal dengan Lembaga Pelaksana Pelindungan Data Pribadi, yang berada di bawah presiden. Hal ini sesuai amanat UU PDP.

Lembaga negara ini harus diisi komisioner yang kompeten, profesional, berintegritas, memahami regulasi, dan memegang teguh tujuan NKRI sebagai negara kesejahteraan.

Jika Indonesia ingin optimal dalam mengejar transformasi digital, dan menjadikan data sebagai kekuatan baru new oil, maka Komisioner Otoritas PDP juga harus memiliki visi dalam menjamin pertumbuhan industri telekomunikasi dan industri terkait transformasi digital nasional di berbagai sektor lainnya.

Praktik global menunjukan pendekatan ekosistem yang mendukung pertumbuhan ekonomi, bisnis, kemanfaatan, dan pelindungan negara dan warga negara. Criminal approach hanya diterapkan sebagai garda terakhir sesuai asas ultimum remidium.

Ketiga, Otoritas Pelindungan Data Pribadi yang dibentuk negara juga harus mampu membuat regulasi teknis berbasis UU PDP dan international best practices. Sehingga dapat mendukung pertumbuhan ekonomi digital nasional sebagai program penting Pemerintah untuk kemaslahatan dan kesejahteraan rakyat.

Peraturan implementasi UU PDP, harus dapat meminimalisasi modus-modus gugatan pencari keuntungan yang bisa jadi memanfaatkan celah-celah hukum.

Hal terakhir ini jika dibiarkan akan berdampak pada pertumbuhan ekonomi digital nasional dan iklim bisnis yang tidak kondusif.

Keempat, berbagai peristiwa dan pengenaan sanksi oleh otoritas Uni Eropa menyadarkan kita pentingnya mitigasi risko dan pentingnya keberadaan Data Protection Officer (DPO) pada setiap korporasi dan organisasi.

DPO harus independen dan bebas konflik kepentingan agar mampu mencegah berbagai risiko korporasi akibat pelanggaran data pribadi.

DPO harus berperan efektif mengawasi, mengingatkan, mengaudit, mengasesmen dan meluruskan segala hal yang termitigasi penyebab risiko.

Selain itu, DPO juga harus mampu mendukung pertumbuhan bisnis korporasi dengan tetap menjaga ekosistem kepatuhan PDP yang baik. Oleh karena itu, diperlukan kedudukan DPO yang memiliki akses langsung kepada pimpinan tertinggi korporasi.

Posisi seperti ini akan memungkinkan pimpinan puncak mendapat laporan langsung dari DPO sehingga dapat mengambil kebijakan yang tepat dalam keadaan darurat sekalipun, tanpa terkendala konflik kepentingan atau birokrasi yang membuat kebijakan atau pencegahan terlambat dilakukan.

Kelima, untuk melindungi korporasi dari risiko pelanggaran data pribadi, perlu dibuat Peraturan internal terkait PDP.

Korporasi juga perlu meninjau Kebijakan Privasi (Privacy Policy) agar sesuai dengan UU PDP, peraturan pelaksanaannya, dan international best practices.

Praktik global, terutama yang berbasis GDPR penting diperhatikan mengingat instrumen hukum PDP menganut yurisdiksi ekstra teritorial.

Hal ini juga penting mengingat UU PDP Indonesia menjadikan GDPR sebagai pedoman (guide line) dalam pembuatan asas dan materi muatannya.