HOLOPIS.COM, JAKARTA – DPR RI telah mengesahkan Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) menjadi UU PDP dalam rapat paripurna yang digelar Selasa (20/9) kemarin.
Selanjutnya, pemerintah akan mempersiapkan langkah-langkah strategis implementatif, salah satunya yakni merumuskan aturan turunan UU PDP.
Terkait perumusan aturan turunan tersebut, Head of Economic Opportunities Center for Indonesian Policy Studies (CIPS), Trissia Wijaya meminta pemerintah untuk turut melibatkan semua pemangku kepentingan, termasuk pihak swasta.
“Pelibatan swasta, termasuk asosiasi, maupun perwakilan masyarakat diperlukan mengingat masih ada hal-hal yang berpotensi menghambat implementasi UU Perlindungan Data Pribadi,” kata Trissia seperti dikutip dari keterangan resminya, Rabu (21/9).
Trissia menilai, sejumlah pasal yang dimuat dal ketentuan UU PDP ini memicu adanya suatu tantangan bagi swasta. Misalnya saja kewajiban pengendali data untuk memiliki Data Protection Officer (DPO) dan parameter terkait ketentuan jangka waktu pemenuhan hak pemilik data pribadi.
Sebagai informasi, DPO merupakan amanah RUU PDP kepada pengendali data untuk mengawasi tata kelola pemrosesan data pribadi dalam suatu instansi.
Nah masalahnya, lanjut Trisska, belum semua pelaku usaha yang bergerak di sektor digital/pengendali data pribadi memiliki DPO di Indonesia.
Selain itu, ketentuan jangka waktu pemenuhan hak pemilik data pribadi sesuai UU PDP apabila menerima volume permohonan yang sangat tinggi dalam satu waktu tertentu juga dinilai memberatkan, terutama untuk unit bisnis skala menengah atau kecil. Berbagai keterbatasan membuat mereka berpotensi tidak bisa menerapkan ketentuan ini dengan baik.
Ketentuan yang dimaksud terkait pemenuhan hak pemilik data pribadi yang dinilai sangat restriktif dari segi waktu, yaitu 3×24 jam. Ketentuan yang diusulkan mengharuskan perusahaan, yang semula mengumpulkan atau memproses data, untuk memenuhi permintaan penghapusan tanpa penundaan dalam waktu 3×24 jam sejak permintaan dibuat.
Trissia menyampaikan, jika menyangkut prosedur teknis, klausul ini sangat bermasalah karena perusahaan sebenarnya membutuhkan waktu berminggu-minggu untuk menghapus data. Proses penghapusan data bukan seperti proses daftar investasi yang menekankan efisiensi, melainkan tergantung dengan proses verifikasi yang sangat kompleks.
“Jika data pribadi telah dipublikasikan secara khusus di lingkungan online, perusahaan perlu mengambil langkah wajar untuk memberi tahu pengelola data lain yang memproses data pribadi untuk menghapus tautan ke atau mereplikasi data tersebut. Kegagalan untuk melakukannya justru akan menyebabkan individu yang datanya diproses oleh perusahaan rentan terhadap risiko,” ujarnya.