“Menanti berlakunya sanksi UU PDP, apa yang harus dilakukan pengusaha?” Artikel oleh Tech in Asia

Sejak diterbitkan pada Oktober 2022, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) akan segera berlaku secara efektif mulai Oktober 2024. Artinya periode transisi yang ditetapkan pemerintah selama 2 tahun akan segera usai.

Pelaku industri yang melibatkan data pribadi pengguna dalam usahanya, seperti perusahaan keuangan dan perbankan, asuransi, telekomunikasi, kesehatan, ritel, transportasi e-commerce, media dan hiburan, serta pendidikan, diwajibkan mengikuti aturan tersebut.

Sebab sejumlah pasal yang mengatur sanksi pun telah tertera dalam UU PDP ini dan akan berlaku mulai Oktober 2024. Pasal-pasal tersebut antara lain pasal 67 ayat 2 yang menentukan, setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya, dipidana penjara paling lama empat tahun, dan/atau pidana denda paling banyak Rp4 miliar.

Selain itu, ada pula pasal 68 UU PDP juga mengatur, setiap orang yang dengan sengaja membuat data pribadi palsu atau memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain, yang dapat mengakibatkan kerugian bagi orang lain dipidana penjara paling lama enam tahun dan/atau pidana denda paling banyak Rp6 miliar.

Seiring dengan segera berlakunya UU PDP tersebut kini kalangan usaha di Indonesia pun harus mulai berbenah agar terhindar dari ancaman sanksi pelanggaran. Chief Technology Officer (CTO) dan founder Prosperita Sistem Indonesia, Yudhi Kukuh mengatakan hadirnya UU PDP akan menjawab sejumlah persoalan seperti banyaknya kebocoran data yang selama ini terjadi dan perbaikan tata kelola data di Indonesia.

“Selama ini, para pelaku usaha sudah banyak mengambil data pribadi masyarakat, baik melalui formulir maupun persetujuan di ruang digital. Hadirnya PDP ini diharapkan, akan membuat proses pengumpulan data dilakukan dengan lebih bertanggung jawab,” ujarnya kepada Tech in Asia pada Senin (02/09/2024).

Seiring aturan dan sanksi yang akan berlaku pada Oktober 2024, menurut Yudhi, ada beberapa hal krusial yang bisa segera dilakukan para pengusaha. Salah satunya adalah menyiapkan contact person atau petugas yang bertanggung jawab pengelolaan data di dalam perusahaan.

“Kehadiran penanggung jawab ini, perlu disertai dengan nomor yang jelas agar mudah dihubungi, termasuk juga alamat email yang dapat memudahkan akses. Kemudian, penanggung jawab ini juga harus memastikan data yang disimpan, sudah di-enkripsi,” kata Yudhi.

Dengan demikian, apabila terjadi kebocoran data di perusahaan tersebut, maka data tersebut

ID+sudah dalam kondisi yang terenkripsi. “Kini, pengusaha juga harus memastikan data yang dikumpulkan disimpan di Indonesia,” ujar Yudhi.

Selain itu, ketentuan penghapusan data, juga harus menjadi salah satu fokus perhatian di dalam UU PDP. Menurut Yudhi, UU PDP memungkinkan masyarakat untuk meminta agar data pribadinya dapat dihapus kepada perusahaan yang berposisi sebagai wali data.

Untuk itu, para pengusaha harus dapat menyiapkan akses yang memudahkan masyarakat untuk mengajukan permohonan penghapusan data.

“Pengusaha sebaiknya mulai saat ini sudah menyiapkan data formulir atau mekanisme yang bisa diakses masyarakat untuk memudahkan pengajuan permohonan penghapusan data pribadi,” kata Yudhi.

Urgensi untuk menyiapkan penanggung jawab data juga disampaikan oleh Direktur Eksekutif ICT Institute, Heru Sutadi. Menurutnya, sebagai bentuk kepatuhan terhadap UU PDP, perusahaan perlu menunjuk petugas pelindungan data pribadi atau data protection officer (DPO).

DPO ini bertugas memastikan perusahaan atau lembaga pemerintahan terkait, sudah memperlakukan data sesuai dengan aturan yang ditetapkan dalam UU PDP.

“DPO menjadi penanggung jawab dan bertugas memastikan, organisasi telah mengumpulkan, mengolah, menyimpan, hingga bahkan memusnahkan data apabila diperlukan, sesuai aturan yang ditentukan,” jelas Heru, kepada Tech in Asia, Selasa (27/08).

Memahami celah kebocoran

Director Account Management FSI & Commercial Multipolar Technology, Herryyanto mengatakan seiring berlakunya UU PDP, pengusaha diharapkan segera melakukan pengawasan terhadap sistem aplikasi antarinstitusi yang telah saling terkoneksi melalui teknologi application programming interface (API). Sebab, sistem tersebut menjadi salah satu celah terjadinya kebocoran data.

“Sekitar 80 persen trafik internet kini diramaikan oleh aktivitas API, baik dalam bentuk internet banking, mobile banking, termasuk Standar Nasional Open API Pembayaran (SNAP) yang

Menurutnya, semakin luas koneksi aplikasi perusahaan ke ekosistem API, semakin besar pula pintu ancaman keamanan siber yang kemungkinan diterima. Agar koneksi API perusahaan terhindar dari bahaya serangan siber, Herry menyarankan perusahaan bisa memanfaatkan solusi yang dibangun dengan fondasi teknologi kecerdasan buatan (AI) yang dapat meningkatkan keamanan siber tanpa harus mengorbankan kecepatan operasional.

Sementara itu, Yudhi dari Prosperita Sistem Indonesia menjelaskan, aplikasi atau platform dimiliki oleh sebuah perusahaan acap kali menjadi salah satu celah terjadinya kebocoran data.

“Terkadang developer kurang memperhatikan hal ini sehingga dengan mudah orang masuk ke dalam sebuah aplikasi. Selain itu, sistem dan jaringan, juga kerap menjadi titik lemah,” ujarnya.

Solusi yang bisa dilakukan pengusaha, adalah dengan rutin melakukan pemantauan terhadap sistem. “Termasuk melakukan patch system jika diperlukan untuk menghindari Common Vulnerabilities and Exposures (CVE) yang mungkin saja muncul,” lanjut Yudhi.

Perkuat keamanan dalam organisasi

General Manager for SEA & Asia Emerge Country (AEC) Kaspersky, Yeo Siang Tiong menyampaikan, hadirnya UU PDP menjadi sinyal bahwa pemerintah telah memprioritaskan keselamatan publik dengan menerapkan peraturan yang mewajibkan bisnis dan perusahaan untuk mengelola data pelanggan mereka dengan aman dan terlindungi.

Menurut Yeo, tren bekerja secara hibrid (hybrid working) yang melibatkan multi-perangkat

ID+seperti laptop dan smartphone dengan koneksi internet berbeda, menjadi pemicu banyaknya celah kebocoran data perusahaan. Kaspersky mencatat sebanyak 97.465 phishing finansial; 16,4 juta insiden lokal; 11,7 juta serangan remote desktop protocol (RDP), dan 97.226 deteksi ransomware terjadi di Indonesia sepanjang 2023.

Penyebab Kebocoran Data Perusahaan

Sumber: Kaspersky

Menurutnya, ada beberapa upaya yang bisa menjadi upaya prioritas perusahaan untuk memitigasi peluang kebocoran data dari pelaksanaan bisnis sehari-hari, antara lain:

Pertama, mengadopsi pendekatan jangka panjang untuk membangun ekosistem keamanan siber yang efektif dan komprehensif. Hal ini harus mencakup:

  • Penyiapan pusat operasi keamanan menggunakan alat SIEM (manajemen informasi dan peristiwa keamanan).
  • Membangun tim keamanan siber yang kuat dan memiliki staf lengkap yang terdiri dari para ahli computer emergency response team (CERT), ahli analisis forensik, ahli TI, dan keamanan data.

Kedua, praktik akuntabilitas kerentanan pada beberapa kesempatan, untuk membantu memberitahu perusahaan tentang kerentanan dalam sistem organisasi guna menghindari potensi serangan siber yang signifikan.

Tantangan edukasi

Tanggung jawab untuk menjaga data dalam perusahaan, bukanlah menjadi tanggung jawab

ID+bagian IT atau satu divisi tertentu. Studi yang dilakukan Kaspersky pada 2021 mengungkapkan, bahwa manusia adalah mata rantai terlemah dalam organisasi mana pun.

“Hal ini juga yang menghadirkan peluang baru bagi penjahat dunia maya untuk menyusup ke dalam perusahaan. Namun, karyawan juga dapat menjadi garis pertahanan pertama dan terbaik, oleh karena itu edukasi keamanan dunia maya sangat penting untuk melatih dan membekali mereka,” ujar Yeo.

Ia menjelaskan, mengedukasi karyawan untuk menjadi garis pertahanan pertama dapat dilakukan dengan membangun budaya keamanan siber yang efektif di seluruh organisasi.

“Hal ini bisa dimulai dengan melakukan asesmen yang memungkinkan karyawan untuk mempelajari dan memahami dasar-dasar keamanan siber, seperti tidak membuka atau menyimpan file dari email atau situs web yang tidak dikenal yang dapat membahayakan seluruh organisasi,” lanjut Yeo.

Menanti aturan turunan

Adapun, Heru Sutadi dari ICT Institute menjelaskan, meski dalam aturan UU PDP ditetapkan bahwa sanksi mulai berlaku pada Oktober 2024, hingga saat ini Presiden Joko Widodo belum mengeluarkan aturan turunannya, berupa Peraturan Pemerintah (PP) terkait pengenaan sanksi. Selain itu, dalam UU PDP juga diamanatkan dibentuknya lembaga pengawas perlindungan data pribadi, yang sejatinya direncanakan dibentuk pada pertengahan 2024.

“Secara umum, sebenarnya pekerjaan rumah dari implementasi sanksi dari UU PDP ini masih banyak, karena lembaga pengawasnya belum ada, aturan turunannya pun belum lahir,” ujar Heru.

Hal ini, membuat penerapan sanksi dari aturan ini, belum dapat sepenuhnya diimplementasi. Namun, menurut Heru, para pengusaha yang juga merupakan wali data dari para konsumen harus secara serius memberikan perhatian terhadap regulasi baru ini.

“Bukan tak mungkin pula, aturan turunannya atau lembaga pengawasnya akan dibuat di menit-menit akhir,” kata Heru.

Baca juga artikel lain seputar keamanan data di sini.