Aturan kebocoran data dalam Undang-undang Pelindungan Data Pribadi atau UU PDP berlaku sejak medio bulan lalu. Namun Microsoft Indonesia menilai Kementerian Komunikasi dan Digital atau Komdigi perlu memperjelas aturan terkait sanksi jika data bocor.
UU PDP diundangkan pada 17 Oktober 2022 dan berlaku dua tahun setelahnya atau 17 Oktober 2024.
Oleh karena itu, aturan turunan UU PDP dan Lembaga Pengawas Pelindungan Data Pribadi semestinya terbit sebelum UU berlaku.
Namun aturan turunan tersebut tak kunjung terbit setelah UU PDP berlaku hampir tiga pekan. Sementara itu, National Technology Officer Microsoft Indonesia Panji Wasmana menilai belum ada penjelasan lebih rinci terkait teknis dari pengenaan denda jika ada pelanggaran, termasuk kebocoran data.
“Untuk perusahaan multinasional, apakah denda 2% ini diambil dari total pendapatan secara global atau hanya di Indonesia? Ini perlu diperjelas agar bisa menjadi arahan yang efektif bagi perusahaan internasional,” kata dia dalam wawancara dengan Katadata.co.id di kantor Microsoft Office Indonesia, Jakarta Selatan pada Kamis (31/10).
Selain itu, belum ada kejelasan sanksi bagi kementerian dan lembaga jika ada pelanggaran penggunaan data masyarakat. “Jika dikenakan denda, tidak lucu jika pemerintah membayar menggunakan uang pajak. Ini perlu diperjelas,” kata dia.
Kejelasan mengenai sanksi jika ada data bocor tersebut dinilai penting untuk memastikan setiap aspek teknis dan operasional terkait perlindungan data dapat dipahami secara jelas oleh seluruh pemangku kepentingan, baik pengembang teknologi, pengguna, maupun regulator.
Sebagai penyedia teknologi, Microsoft berharap pemerintah dapat menghadirkan protokol teknis yang jelas. Dengan begitu, industri dapat mengikuti panduan yang tepat dalam hal tanggung jawab perlindungan data.
Hal teknis lain yang perlu diatur yakni definisi dan parameter untuk menghindari multitafsir dalam pelaksanaan. Ia mencontohkan, kapan waktu pelaporan insiden dimulai.
“Apakah dihitung tiga kali atau 24 jam dari kapan? Apakah dari munculnya insiden di media sosial atau ketika masuk dalam laporan resmi?" kata Panji.
Selain itu, peran Data Protection Officer atau DPO di setiap organisasi perlu diperjelas, termasuk bagaimana fungsi tim ini dalam melindungi data dan menjaga kepatuhan terhadap UU PDP.
Microsoft berharap aturan teknis UU PDP tidak multitafsir, melainkan lebih detail dan terukur. "Dengan adanya kejelasan teknis, kami sebagai penyedia teknologi dapat mengetahui dengan pasti langkah-langkah apa yang harus dilakukan untuk memberikan dukungan terbaik," ujar Panji.