Photo by Lukas: https://www.pexels.com/photo/close-up-photo-of-gray-laptop-577210/
Nasional

Sulit Dipenuhi, Jangka Waktu UU PDP akan Menambah Beban Pelaku Usaha

  • Sejumlah klausul aturan dalam RPP PDP dinilai akan memberatkan pelaku usaha dan tidak sesuai standar international.

Nasional

Drean Muhyil Ihsan

JAKARTA – Sejumlah masukan mulai muncul terkait rencana pemerintah untuk segera merilis Peraturan Pemerintah mengenai Pelindungan Data Pribadi (RPP PDP) sebagai peraturan turunan dari Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).

Executive Director Indonesia Services Dialogue (ISD) Council Devi Ariyani mengatakan, beberapa klausul aturan dalam RPP PDP akan memberatkan pelaku usaha dan tidak sesuai standar internasional. Salah satu contohnya menyangkut kewajiban bagi pelaku usaha untuk memenuhi permintaan subjek data dalam waktu 3x24 jam.

Berdasarkan beleid tersebut, perusahaan yang menjadi pengendali data pribadi wajib memenuhi ketentuan terkait hak subjek data dalam waktu 3x24 jam. Hal ini berlaku bagi penghentian, penundaan, dan pembatasan pemrosesan data pribadi, serta pemberian akses kepada subjek data dan penghapusan data pribadi. 

"Waktu 3x24 jam akan membebani pelaku usaha, menimbulkan biaya kepatuhan yang cukup tinggi bagi pelaku usaha.  Dengan tenggat waktu tersebut belum tentu bisa comply, baik karena keterbatasan kapasitas, resources, maupun kompleksitas proses atau prosedur internal di masing-masing perusahaan," kata Devi Ariyani kepada wartawan, dikutip Jumat, 8 September 2023.

Pekan lalu, Kementerian Komunikasi dan Informatika (Kominfo) mulai melakukan sosialisasi terhadap materi RPP PDP tersebut dan berharap peran serta publik untuk memberikan masukan. 

Kominfo berkomitmen untuk melibatkan publik dalam penyusunan RPP PDP. Pelaksanaannya selama ini melibatkan beragam pakar dan akademisi sebelum draf yang ada disiapkan uji publik” tutur Wakil Menteri Kominfo Nezar Patria, Rabu, 30 Agustus 2023.

Lebih jauh Devi mengingatkan, masing-masing pelaku usaha memiliki kapasitas maupun kapabilitas yang berbeda dalam pemrosesan data pribadi. Tidak seluruh perusahaan rintisan memiliki sumber saya yang cukup. Maklum, sebagian perusahaan rintisan di Indonesia merupakan perusahaan skala kecil dan mikro.

Selain keterbatasan sumber daya, kompleksitas pemrosesan masing-masing perusahaan juga berbeda. Semakin besar perusahaan, prosedur atau sistem di internal akan semakin kompleks dan membutuhkan banyak otorisasi. Belum lagi, tidak semua pemrosesan data dilakukan di dalam negeri. Sebagian pelaku usaha mengerjakan pemrosesan data di luar negeri. 

Selain itu, lanjut Devi, volume permintaan juga akan mempengaruhi waktu yang dibutuhkan perusahaan untuk memenuhi hak subjek data. Jika ada jutaan permintaan dalam satu waktu bersamaan, waktu yang perusahaan butuhkan untuk memproses permintaan tersebut akan semakin lama. 

Berdasarkan survei yang digelar ISD, untuk penghentian pemrosesan data pribadi, sebanyak 76% responden membutuhkan waktu satu bulan. Sementara untuk penundaan atau pembatasan pemrosesan data, sebanyak 78% responden membutuhkan waktu 21 hari. 

Untuk mematuhi tenggat waktu 3x24 jam sesuai UU PDP maupun draf RPP PDP, Devi melanjutkan, pelaku usaha harus mengalokasikan tambahan sumber daya khusus dan melakukan penyesuaian prosedur internal. Bagi perusahaan yang pemrosesan data dilakukan di luar negeri, mereka harus melakukan koordinasi lebih cepat. 

"Ini semua akan menambah beban biaya. Artinya, untuk patuh terhadap tenggat tersebut, ada beban biaya yang harus dikeluarkan perusahaan dan menguras resources yang cukup tinggi," lanjut Devi.

Standar International

Devi justru mempertanyakan mengapa pemerintah mematok tenggat waktu 3x24 jam bagi perusahaan untuk memenuhi permintaan subjek data. Menurut dia, pemerintah perlu memahami kapasitas dan kapabilitas perusahaan di dalam negeri, lantaran banyak perusahaan rintisan yang skalanya masih terbilang kecil bahkan mikro. 

Menurutnya, jangka waktu 3x 24 jam juga tidak sesuai standar internasional. Jika mengikuti praktik internasional, standar waktu bagi perusahaan untuk memenuhi hak pemilik data pribadi adalahh satu bulan dan bisa diperpanjang menjadi 60 hari, sehingga total jangka waktunya adalah tiga bulan.

Dia menjelaskan bahwa praktik internasional tersebut mengacu pada General Data Protection Regulation (GDPR), regulasi mengenai pemrosesan data pribadi di Uni Eropa yang telah efektif berlaku sejak 2018.

Sebagai pembanding Malaysia memberikan waktu selama 21 hari untuk pemrosesan dan pembaruan data. Sementara di Hong Kong, tenggat waktunya hingga 40 hari. "Artinya baik GDPR Uni Eropa, Malaysia dan Hong Kong, tenggat waktu yangg diberikan lebih business process friendly," kata Devi.

Idealnya, Devi bilang, pemerintah melonggarkan ketentuan 3x24 jam sesuai standar internasional. Aturan tersebut akan menjadi lebih bersahabat bagi pelaku industri. Namun, bisa saja pemerintah memiliki alasan sendiri mematok tenggat waktu 3x24 jam. 

Jika aturan tersebut tetap diberlakukan, Devi menyarankan pemerintah memberikan periode transisi yang cukup bagi perusahaan untuk bisa menyesuaikan dengan aturan tersebut. Jangan sampai ketika pelaku usaha tidak bisa memenuhi ketentuan langsung dikenai sanksi.

"Toh, selama ini, pelaku usaha sudah menerapkan prinsip-prinsip keamanan dan prinsip-prinsip pemenuhan hak kepada pemilik data yang sudah ditetapkan oleh lembaga resmi pemerintah," tutup Devi.