Membedah Tantangan Besar Perusahaan dalam Pengelolaan Data Pribadi
Beberapa waktu lalu, penulis berbelanja smartphone di satu gerai resmi di pusat perbelanjaan daerah Sentul, Bogor. Ketika proses pembelian selesai, penulis ditawari asuransi perlindungan produk. Sang petugas gerai meminta penulis untuk mengisi data, mulai dari nama, tanggal lahir, alamat, nomor hand phone, email, NIK, dan foto KTP pada link gform.
Dengan sopan penulis bertanya, kenapa harus mengisinya? Karena, alamat email berupa gmail bukan atas nama domain perusahaan. Siapa yang bertanggung jawab terhadap pengumpulan data pribadi ini? Respons dari petugas gerai cukup datar, bahwa ini merupakan prosedur perusahaan dan diminta oleh atasannya.
Jika mengacu pada prinsip perlindungan data pribadi, mestinya pengumpulan data cukup seperlunya dan menggunakan sistem yang benar-benar aman. Metode pendataan di atas patut dipertanyakan, karena data yang dijaring mungkin melebihi kebutuhan tujuan bisnis dan kurang terjamin keamanan metodenya.
Pada wilayah ini bisa dikatakan bahwa perusahaan atau organisasi belum siap dengan perlindungan data pribadi, khususnya awareness pimpinan dan staf yang diberi tugas dalam mengumpulkan data pribadi konsumen.
Memahami Privasi
Konsep privasi sudah dirumuskan sejak 1975, dan telah berkembang di dunia digital menjadi konsep data privacy/information privacy. IBM (2023) menerjemahkan data privacy sebagai prinsip di mana seseorang harus dapat mengendalikan data personal, termasuk kemampuan untuk memutuskan bagaimana sebuah penyedia jasa mengumpulkan, menyimpan, dan menggunakan datanya.
Penulis yakin bahwa persoalan perlindungan data pribadi merupakan tantangan besar yang dihadapi oleh organisasi bisnis di Indonesia. Ketika berbicara tentang perlindungan data pribadi maka salah satu aspek, yaitu leadership dan organisasi merupakan hal utama yang harus disiapkan.
Mengapa? Dalam sebuah organisasi bisnis, kebijakan biasanya bersifat top down sehingga pemahaman top management terkait penerapan perlindungan data pribadi sangat diperlukan.
Apa yang Harus Dilakukan?
Chen et.al., (2013) telah mengusulkan sebuah konsep kerangka kerja yang menghubungkan privacy by policy dengan privacy by design[1]. Privacy by policy mengacu pada perlindungan data berdasarkan regulasi dan kebijakan organisasi.
Pada proses penerapanannya, privacy by policy mengedepankan pemberitahuan pada pengguna, pilihan, dan akuntanbilitas pengelolaan data. Dengan kata lain privacy by policy merupakan pendekatan yang berfokus pada implementasi persetujuan dan prinsip pemilihan pada fair information practices (FIP)[.
Berdasarkan konsep di atas, pengembangan kebijakan dan prosedur internal dalam menjalankan pengumpulan, penyimpanan, dan pengolahan data pribadi diperlukan oleh organisasi bisnis. Kebijakan dan prosedur ini harus dipahami oleh seluruh tim terutama yang menjalankan fungsi mengumpulkan data pribadi. Notifikasi kepada subyek data harus jelas dipahami untuk memenuhi regulasi yang ada.
Bagaimana Inovasi Sistem Mendukung Kebijakan Perusahaan?
Privacy by policy sebaiknya didukung dengan privacy by design. Privacy by design mensyaratkan bahwa perlindungan data pribadi melekat dalam sistem teknologi digital yang digunakan oleh organisasi bisnis.
Dalam paper yang sama, Spiekermann dan Cranor (2009) merumuskan kerangka kerja terkait perencanaan system design tergantung dari tingkatan privacy-friendliness pada sebuah sistem yang juga tergantung dari tingkat keterbukaan data pengguna (Tabel 1). Kerangka kerja ini menunjukkan sampai sejauh mana perlindungan data pribadi pada tiap level dan indikator seperti apa yang menunjukkan pencapaian level perlindungan.
Menurut Undang-Undang Perlindungan Data Pribadi (UU PDP), seluruh data atau informasi yang dapat mengacu pada seorang pribadi tertentu dikatakan data pribadi. Pada kerangka kerja di atas, privacy by policy perlu di integrasikan dengan privacy by acrhitecture sehingga perlindungan data pribadi dapat mencapai level yang lebih tinggi.
Privacy by architecture mensyaratkan integrasi kebijakan, prosedur dan sistem yang mengarah pada less identifiable personal data. Penerapan ini diperlukan untuk mendukung implementasi PDP pada Oktober 2024 nanti, di mana proses bisnis yang menyangkut data pribadi harus dirancang ulang sesuai dengan ketetapan yang berlaku.
Untuk keamanan data pribadi, kesadaran dari organisasi harus dilaksanakan secara top-down, dari top management kepada pelaksana di lapangan. Mutlak sebuah kebijakan pengelolaan data diperlukan untuk menjaga data konsumen.
Catatan Redaksi:
Katadata.co.id menerima tulisan opini dari akademisi, pekerja profesional, pengamat, ahli/pakar, tokoh masyarakat, dan pekerja pemerintah. Kriteria tulisan adalah maksimum 1.000 kata dan tidak sedang dikirim atau sudah tayang di media lain. Kirim tulisan ke opini@katadata.co.id disertai dengan CV ringkas dan foto diri.