Jakarta (ANTARA) - Pengamat keamanan siber dari Indonesia Cyber Security Forum (ICSF) Satriyo Wibowo mengingatkan agar perusahaan yang melakukan pemrosesan data pribadi harus mulai mempersiapkan diri agar dapat menyesuaikan dengan aturan di dalam Undang-Undang Pelindungan Data Pribadi (UU PDP).
Baca juga: Perusahaan wajib punya petugas pelindungan data pribadi
Dia mengatakan bahwa perusahaan atau organisasi pengendali data pribadi memiliki waktu penyesuaian selama dua tahun hingga 16 Oktober 2024 sebelum ketentuan UU PDP dilaksanakan secara penuh. Walaupun rentang waktu yang diberikan pemerintah masih cukup lama, penyesuaian harus segera dilakukan, apalagi bagi pengendali data dalam jumlah masif.
“Memang kita punya waktu selama dua tahun sampai 16 Oktober 2024 sebelum nanti ketentuan di dalam UU PDP itu full dilaksanakan. Tetapi tetap saja untuk perusahaan gede, organisasi-organisasi yang melakukan pemrosesan data pribadi dalam jumlah masif itu mau tidak mau harus mulai mempersiapkannya dari sekarang,” kata Satriyo, yang juga merupakan sekretaris ICSF, dalam diskusi dengan media secara virtual, Jakarta, Selasa.
Lebih lanjut, dia menjelaskan bahwa UU PDP sebetulnya tidak hanya sekadar ekstensi atau perluasan tentang keamanan siber itu sendiri melainkan juga mencakup tata kelola data, misalnya inventarisasi data.
“Perusahaan yang sudah lama yang tidak mendesain sistemnya berdasarkan arsitektur yang berhubungan dengan data pribadi itu ketika tahu UU PDP jadi kaget karena ternyata dia harus mendefinisikan, dia harus mencari tahu data pribadi yang dikumpulkan itu di mana saja, siapa yang akan bertanggung jawab, alirannya ke mana, kemudian dasar pemrosesannya apa,” kata Satriyo.
Baca juga: Pentingnya "digital trust" dalam aktivitas ekonomi di ranah digital
Apabila perusahaan atau organisasi tidak memahami dan tidak memiliki dasar pemrosesan data, maka bisa berpotensi melakukan pelanggaran hukum. Hal itu sejalan dengan peraturan yang termuat di dalam UU PDP.
“Ini yang kita terus lakukan awareness kepada masyarakat, kepada teman-teman, kepada media, kepada korporasi agar mulai starting untuk memikirkan dan menyiapkan tata kelola data pribadi di organisasi masing-masing,” kata Satriyo.
Dia mencontohkan bagaimana kehadiran Penyelenggara Sertifikasi Elektronik (PSrE) yang melakukan pemrosesan data pribadi secara masif yang harus memiliki pejabat pelindungan data pribadi (PPDP) atau data protection officer (DPO) dengan kemampuan dan kecakapan profesional untuk pekerjaan tersebut. Hal ini juga sejalan dengan ketentuan dalam UU PDP.
Satriyo sendiri merupakan Ketua Tim Perumus Standar Kompetensi Kerja Nasional Indonesia (SKKNI) Pelindungan Data Pribadi. Dengan adanya SKKNI, jelas dia, nantinya akan menjadi justifikasi untuk melakukan sertifikasi terhadap PPDP.
“Pengendali data pribadi yang melakukan pemrosesan data pribadi secara sistematis, memproses data pribadi yang berhubungan dengan pidana, memproses data pribadi dalam kepentingan umum atau public services, itu adalah beberapa pengendali data yang diwajibkan untuk memiliki pejabat petugas pelindung data pribadi (PPDP),” kata Satriyo.
Baca juga: Platform digital diberi waktu dua tahun untuk penyesuaian UU PDP
Baca juga: Pakar: Instusi kesehatan perlu belajar dari negara lain terkait UU PDP
Baca juga: ELSAM nilai perlu kejelasan penanggung jawab pada masa transisi UU PDP
Pewarta: Rizka Khaerunnisa
Editor: Ida Nurcahyani
Copyright © ANTARA 2023