Bisnis.com, JAKARTA -Data is the new oil. Kalimat yang diucapkan Clive Humby, seorang ahli matematika, sering kita dengar. Data di era ekonomi digital punya peran penting bagi perusahaan maupun pemerintah dalam mengambil kebijakan. Namun, masifnya penggunaan data tidak terlepas dari risiko terhadap tata kelola data pribadi.
Kabar baik untuk Indonesia, Selasa (20/9), Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) yang sudah lama dibahas Kementerian Komunikasi dan Informatika (Kominfo) dan Komisi 1 DPR akhirnya disahkan. Indonesia menjadi negara ke-5 di Asia Tenggara setelah Singapura, Malaysia, Thailand, dan Filipina yang memiliki regulasi tentang PDP.
Industri ekonomi digital telah menanti dan menyambut baik UU ini yang akan menjadi standar utama pengelolaan dan pemrosesan data pribadi di Indonesia.
Beberapa isu terkait data dan ekonomi digital seperti arus data lintas negara (cross-border data flow) dan kewajiban pemenuhan hak pemilik data juga telah tercantum kebijakannya dalam UU PDP. Dalam banyak regulasi internasional, negara pengirim data mensyaratkan negara penerima data untuk memiliki tingkat pelindungan data pribadi yang lebih tinggi atau setara.
Kehadiran UU PDP ini menjawab tantangan praktik tersebut dan menjadi bukti nyata komitmen bangsa sebagai salah satu pemain utama transaksi perdagangan internasional. Ini juga sejalan dengan empat prinsip utama arus data lintas negara yang pernah disebutkan Menteri Kominfo, Johnny G. Plate, yaitu: lawfulness, fairness, transparency, dan reciprocity.
Momentum disahkannya UU PDP, yang bersamaan dengan presidensi G20 Indonesia, sangat tepat. Apalagi, salah satu tema yang diusung dalam presidensi G20 adalah transformasi digital. Melalui engagement group B20, pelaku usaha telah memprioritaskan kolaborasi untuk menciptakan landasan ekosistem ekonomi digital yang kuat serta mendorong standar dan praktik terbaik di bidang keamanan digital, supaya manfaat ekonomi digital bisa terus dinikmati hingga masa depan.
Terlebih lagi, saat pandemi Covid-19, adopsi digital terakselerasi baik dari sisi konsumen maupun UMKM. Data McKinsey and Company menyebutkan, adopsi digital di kawasan Asia Pasifik terjadi lebih cepat 4 tahun berkat pandemi. Sementara di Indonesia, berdasarkan survei Bank Indonesia, meski UMKM mengalami dampak negatif pandemi, 40% dari pelaku usaha berhasil mengadopsi go-digital dan meningkatkan pendapatan bisnisnya.
Data Mandiri Institute juga menyebutkan digitalisasi bisnis dapat membantu Indonesia mengurangi beban Covid-19 terhadap PDB negara sebanyak 1,5%. Maka, regulasi yang ada, baiknya dapat menjadi insentif bagi laju transformasi digital yang masif di Indonesia.
Namun, di balik monumentalnya pengesahan UU PDP, masih ada tantangan yang harus dihadapi para pelaku usaha bidang ekonomi digital terkait dengan pemrosesan data pribadi.
Berdasarkan survei Indonesia Services Dialogue (ISD) dan Badan Pengembangan Ekosistem Ekonomi Digital Kadin terhadap perusahaan-perusahaan di bidang ekonomi digital ditemukan bahwa mayoritas pelaku usaha akan terdampak aturan dalam UU PDP.
Sektor ekonomi digital yang disurvei ISD dan Kadin di antaranya fintech, e-commerce, marketplace, ed-tech, hingga construction services dari digital startup sampai non-startup.
Sebagian besar (81,3%) pelaku usaha ternyata belum memiliki Data Protection Officer (DPO) atau di dalam UU PDP disebut sebagai Pejabat atau Petugas yang Melaksanakan Fungsi Pelindungan Data Pribadi. Padahal penunjukkan DPO ini adalah pelaksanaan asas akuntabilitas perusahaan guna melindungi data pribadi yang diatur di dalam UU tersebut.
Kewajiban penunjukkan DPO ini sebetulnya juga mengadopsi kewajiban serupa yang sudah diimplementasikan di beberapa negara lain, seperti di negara-negara Uni Eropa dan beberapa negara Asia yang lebih dulu memiliki legislasi di bidang pelindungan data pribadi.
Survei yang sama memperlihatkan bahwa butuh investasi tambahan biaya kepatuhan (compliance cost) untuk menyesuaikan sistem perusahaan dengan ketentuan UU PDP. Begitu pun untuk sumber daya manusia (SDM), 55% merasa mereka harus melakukan investasi dari sisi SDM ini.
Tak hanya itu, terdapat 67,2% pelaku usaha yang belum mampu memenuhi ketentuan jangka waktu pemenuhan hak pemilik data pribadi sesuai UU PDP, seperti hak akses atau hak menghapus data. Proses ini bukanlah proses yang mudah, butuh sumber daya mumpuni, serta waktu yang lebih Panjang. General Data Protection Regulation (GDPR) Eropa, misalnya, memberikan jangka waktu 1 bulan dan dapat diperpanjang tergantung kompleksitas permintaan.
Penting untuk memastikan kesiapan pengendali data, baik dari sektor publik maupun privat, sebelum menerapkan sanksi terkait dengan ketentuan ini. Saat ini, UU PDP mengatur jangka waktu pemenuhan permintaan hak pemilik data adalah 3x24 jam. Dalam praktiknya, jangka waktu yang diberikan oleh UU PDP adalah cukup bagi pengendali data untuk merespons permintaan, tetapi sangat sulit untuk memenuhi permintaan pemilik data.
Melihat praktik yang telah ada di luar negeri, tidak semua permintaan hak pemilik data harus dipenuhi. Pengendali data harus mampu memberikan keseimbangan antara hak atas privasi dan hak atas informasi (right to information) serta kebebasan berekspresi (freedom of expression).
Seperti yang disampaikan Benjamin Franklin, “law too gentle are seldom obeyed; too severe are seldom executed” hukum yang terlalu longgar jarang dipatuhi; hukum yang terlalu ketat juga jarang dieksekusi. Sebab itu, guna memastikan kepatuhan industri dan perlindungan di sisi konsumen, perlu ada penjelasan dan perbaikan di level peraturan turunan agar regulasi berjalan sesuai dengan tujuan mulianya.
