Pemerintah Dinilai Perlu Memeriksa Kapasitas Pengendali Data dalam Penuhi Jangka Waktu UU PDP
Sejak 31 Agustus lalu, Kementerian Komunikasi dan Informatika (Kominfo) membuka partisipasi publik terhadap RPP PDP.
Penulis: Hasiolan Eko P Gultom
Editor: Malvyandie Haryadi
TRIBUNNEWS.COM, JAKARTA - Pemerintah dinilai perlu melakukan dialog dalam uji publik Rancangan Peraturan Pemerintah (RPP) tentang Perlindungan Data Pribadi (RPP PDP).
Langkah ini memungkinkan pemerintah untuk menjaring berbagai potensi kendala yang dihadapi pelaku usaha dalam menjalankan aturan turunan dari Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) tersebut.
Pengamat teknologi informasi (TI) sekaligus Direktur Eksekutif ICT Institute Heru Sutadi mengatakan, idealnya, aturan turunan dilakukan konsultasi publik tatap muka termasuk melakukan focus group discussion.
"Bukan hanya minta tanggapan isi aturan lewat email, tapi harus lebih ada dialog dan interaktif," ujar Heru.
Sejak 31 Agustus lalu, Kementerian Komunikasi dan Informatika (Kominfo) membuka partisipasi publik terhadap RPP PDP.
Masyarakat bisa memasukkan tanggapan melalui laman https://pdp.id hingga 14 Septemer mendatang.
"Hal tersebut dilakukan untuk memberi kesempatan bagi Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi di sektor privat maupun publik agar dapat mempelajari dan mempersiapkan teknis implementasi pada masing-masing institusi," kata Menteri Kominfo Budi Arie Setiadi beberapa waktu lalu.
Salah satu ketentuan dalam RPP yang perlu didiskusikan dengan pelaku usaha adalah aturan yang mewajibkan pelaku usaha sebagai pengendali data untuk memenuhi permintaan subjek data pribadi dalam waktu 3x24 jam. Kewajiban tersebut berlaku untuk penghentian, penundaan, dan pembatasan pemrosesan data pribadi, serta pemberian akses kepada subjek data.
Batas waktu yang diatur dalam draf aturan tersebut jauh lebih pendek dibandingkan standar internasional.
General Data Protection Regulation (GDPR), regulasi mengenai pemrosesan data pribadi di Uni Eropa yang telah efektif berlaku sejak 2018, memberikan waktu satu bulan bagi perusahaan untuk memenuhi hak pemilik data pribadi dan bisa diperpanjang menjadi 60 hari.
Heru mengatakan, bisa saja aturan turunan UU PDP lebih ketat dibandingkan GDPR karena tantangan Indonesia berbeda. Namun, pemerintah perlu memberikan penjelasan mengapa batas waktu tersebut yang diambil.
Sebab, kata dia, dengan batas waktu yang hanya 3x24 jam, baik pengendali data maupun pemroses data harus menyiapkan data protection officer yang bekerja setiap hari untuk menindaklanjuti permintaan masyarakat atau pemilik data kepada pengendali dan pemroses data.
Hal ini bisa menimbulkan biaya tambahan bagi pelaku usaha namun bisa juga tidak, tergantung bagaimana pengaturan di internal perusahaan.
Menurut Heru, meskipun perubahan data bisa dilakukan serta merta, pemerintah tetap perlu memeriksa kembali apakah memang ada perusahaan yang membutuhkan waktu lebih lama.
Jika ada yang membutuhkan penambahan waktu, pemerintah perlu memeriksa rasionalitasnya seperti apa.
Misalnya, dari sisi jumlah dan kompleksitasnya. Namun demikian, tidak seolah-olah semuanya dianggap sekian juta permintaan dalam waktu bersamaan dan semua menjadi kompleks.
"Perlu aturan lebih terperinci, mana yang bisa dilakukan dalam 3x24 jam dan mana yang membutuhkan waktu lebih lama. Penghapusan data, misalnya, bisa dilakukan saat itu juga ketika kita deaktivasi akun atau berhenti berlangganan layanan tertentu. Tapi mungkin saja ada yang membutuhkan waktu lebih lama karena perlu verifikasi data," ujar Heru.
Sejumlah negara juga memberikan waktu lebih lama dalam aspek pemrosesan data ini.
Misalnya Malaysia yang memberikan waktu selama 21 hari untuk pemrosesan dan pembaruan data. Sementara di Hong Kong, tenggat waktunya hingga 40 hari.