UU perlindungan data pribadi Indonesia belum resmi berlaku, tapi posisinya lebih dekat dibanding satu dekade terakhir sejak wacana ini pertama kali muncul. RUU Perlindungan Data Pribadi (RUU PDP) sedang dibahas aktif antara pemerintah dan DPR di 2022, perdebatan panjang soal lembaga pengawas tampak mulai mengarah ke penyelesaian, dan mayoritas pengamat memperkirakan pengesahan tidak lama lagi. Begitu disahkan, pelaku usaha akan mendapat masa transisi, lalu kewajiban nyata dengan sanksi nyata.
Saya bukan pengacara, dan ini bukan nasihat hukum. Saya seorang engineer yang bertahun-tahun membangun sistem penyimpan data pelanggan untuk perusahaan-perusahaan Indonesia, dan saya sudah menyaksikan apa yang terjadi di pasar lain ketika aturan data komprehensif diberlakukan: bisnis yang bersiap lebih awal mengeluarkan biaya kecil dengan tenang, sedangkan bisnis yang menunggu membayar konsultan dengan harga panik untuk pekerjaan yang sama.
Berikut bacaan praktisnya: apa yang kemungkinan besar diwajibkan RUU ini, kenapa langkah cerdas adalah mulai sekarang, dan langkah-langkah murah spesifik yang layak dikerjakan kuartal ini. Tanpa taktik menakut-nakuti, murni soal kebersihan data (data hygiene).
Apa Arti RUU PDP bagi Bisnis Biasa
Berdasarkan draf yang dibahas secara publik, RUU ini mengikuti bentuk umum rezim perlindungan data modern di seluruh dunia. Bagi UKM yang menyimpan data pelanggan, kewajiban inti yang kemungkinan besar berlaku adalah:
- Dasar hukum dan persetujuan (consent). Anda butuh alasan yang sah untuk mengumpulkan dan menggunakan data pribadi, dan untuk banyak penggunaan itu berarti persetujuan yang jelas, bukan kotak centang yang terkubur entah di mana, dan bukan "kita punya nomornya jadi bebas kirim broadcast selamanya."
- Pembatasan tujuan (purpose limitation). Data yang dikumpulkan untuk pengiriman barang seharusnya tidak diam-diam berubah menjadi data yang dijual ke mitra.
- Hak subjek data. Pelanggan akan bisa menanyakan data apa yang Anda simpan, meminta koreksi, dan meminta penghapusan. Anda harus benar-benar bisa menjawabnya.
- Kewajiban keamanan. Perlindungan teknis dan organisasional yang wajar untuk data yang Anda pegang.
- Notifikasi kebocoran data. Jika data bocor, kemungkinan besar Anda punya kewajiban untuk melapor dalam jangka waktu tertentu.
- Sanksi. Draf yang beredar mencantumkan denda administratif, dan untuk penyalahgunaan serius, ketentuan pidana.
Detailnya baru pasti setelah teks final disahkan. Tapi perhatikan satu hal: setiap poin di daftar itu adalah sesuatu yang seharusnya sudah diinginkan oleh bisnis yang dikelola dengan baik. Itulah kerangka berpikir yang saya rekomendasikan, anggap kepatuhan sebagai tenggat waktu untuk kebersihan data yang sebenarnya sudah Anda utang ke pelanggan.
Kenapa Persiapan Dini Adalah Langkah Kompetitif, Bukan Biaya
Tiga alasan untuk bergerak sebelum UU perlindungan data pribadi disahkan, bukan sesudahnya:
- Pekerjaannya lebih murah tanpa tenggat waktu. Inventarisasi data, perbaikan consent, dan kontrol akses adalah tugas bertahap yang tenang hari ini. Setelah disahkan, tugas yang sama akan bersaing dengan kepanikan semua orang untuk konsultan yang sama.
- Pelanggan enterprise akan meneruskan tuntutan kepatuhan ke rantai pemasok. Jika Anda memasok ke bank, perusahaan multifinance, asuransi, atau ritel besar, siapkan diri karena bagian perlindungan data di kuesioner vendor mereka akan membesar dengan cepat. Yang sudah siap memenangkan kontrak; yang terburu-buru kehilangan kontrak. Saya sendiri pernah melihat perusahaan multifinance menolak vendor yang sebenarnya mumpuni hanya karena jawaban soal penanganan data, dan itu terjadi bahkan sebelum ada undang-undang yang memaksa pertanyaan itu.
- Kebocoran data sudah mahal sejak sekarang. Indonesia sudah mengalami rentetan kebocoran data besar dalam beberapa tahun terakhir, dan toleransi publik makin tipis. Biaya reputasi akibat bocornya data pelanggan sudah ada hari ini, dengan atau tanpa undang-undang.
Ada juga manfaat yang lebih diam-diam: proses memetakan data biasanya membongkar kekacauan operasional, catatan pelanggan ganda, spreadsheet yang tidak jelas siapa pemiliknya, mantan karyawan yang aksesnya masih aktif. Membereskan ini sudah balik modal dengan sendirinya, sekalipun RUU-nya molor lima tahun lagi.
Langkah Murah untuk Dikerjakan Kuartal Ini
Tidak ada satu pun dari langkah ini yang butuh pengacara atau anggaran besar. Sebagian besar cukup butuh satu sore penuh kedisiplinan.
1. Bangun inventarisasi data
Satu spreadsheet. Untuk setiap tempat data pribadi tersimpan, POS, platform e-commerce, CRM, sistem akuntansi, nomor WhatsApp Business, Google Sheets, daftar milik agensi marketing, catat: data apa (nama, nomor telepon, alamat, nomor KTP, data finansial), kenapa Anda menyimpannya, siapa yang bisa mengaksesnya, dan secara fisik data itu berada di mana. Anda tidak bisa melindungi, mengungkap, atau menghapus apa yang belum Anda petakan. Dokumen ini menjadi tulang punggung semua langkah berikutnya, dan gratis.
Selagi mengerjakan ini, tandai item berisiko tinggi. Nomor KTP, catatan finansial, dan apa pun yang menyangkut anak-anak layak mendapat penanganan lebih ketat dibanding sekadar daftar email newsletter.
2. Perbaiki consent di titik pengumpulan data
Periksa setiap formulir dan alur di mana Anda mengumpulkan data. Tambahkan satu kalimat jujur: apa yang Anda kumpulkan dan untuk apa akan digunakan. Jika Anda mengirim broadcast marketing, jadikan bergabung ke daftar itu sebagai pilihan, dan hormati permintaan berhenti berlangganan (opt-out) segera. Jika Anda membeli atau "mewarisi" daftar kontak orang yang tidak pernah setuju dihubungi, pahami bahwa praktik ini persis yang jadi sasaran RUU ini.
3. Perketat kontrol akses
Kemenangan keamanan termurah yang tersedia:
- Cabut akses semua orang yang sudah keluar dari perusahaan. Lakukan hari ini, lalu jadikan ini langkah standar offboarding di SOP terdokumentasi Anda.
- Hentikan kebiasaan berbagi satu password admin ke seluruh tim. Buat akun individual, supaya akses bisa dilacak ke masing-masing orang.
- Terapkan prinsip hak akses minimum (least privilege): staf packing tidak butuh ekspor data pelanggan secara penuh, intern marketing tidak butuh catatan finansial.
- Aktifkan autentikasi dua faktor pada email, akun penjual marketplace, dan apa pun yang menyimpan data pelanggan.
4. Berhenti menimbun data
Data yang sudah tidak Anda butuhkan murni menjadi liabilitas. Ekspor data pelanggan lama di laptop seseorang, daftar kampanye lima tahun lalu, spreadsheet backup yang dikirim lewat email di 2019, hapus apa yang sudah tidak punya kegunaan bisnis. Kebocoran hanya bisa membuka apa yang masih Anda simpan.
5. Masukkan penanganan data ke pembicaraan dengan vendor
Jika pihak ketiga menyentuh data pelanggan Anda, aplikasi logistik, agensi marketing, vendor software, tanyakan bagaimana mereka menyimpan dan melindungi data itu, dan apa yang terjadi pada data tersebut setelah kontrak berakhir. Saat memesan sistem custom, jadikan perlindungan data sebagai persyaratan eksplisit dalam scope, jauh lebih murah dibangun sejak awal dibanding ditambal belakangan, poin yang berulang kali saya sampaikan saat menjelaskan apa yang sebenarnya menentukan biaya software custom.
6. Susun rencana respons kebocoran data, satu halaman saja
Siapa yang menyelidiki, siapa yang memutuskan soal notifikasi, siapa yang berbicara ke pelanggan. Menulis ini setelah kebocoran terjadi, tengah malam, adalah waktu yang salah.
Yang Sebaiknya Tidak Dilakukan
Jangan membeli binder kepatuhan setebal enam ratus halaman dari sebuah seminar, dan jangan membayar harga GDPR kelas enterprise untuk realita UKM. Jangan menunggu teks final untuk melakukan hal-hal yang jelas benar di atas, tidak satu pun akan sia-sia apa pun isi undang-undang yang akhirnya disahkan. Dan jangan perlakukan ini sebagai proyek IT semata, sebagian besar langkahnya soal manusia dan kebiasaan, bukan server.
Intinya
UU perlindungan data pribadi Indonesia akan tiba, dan detail finalnya akan penting, tapi fondasinya tidak bergantung pada itu: ketahui data apa yang Anda simpan, kumpulkan dengan jujur, batasi siapa yang bisa menyentuhnya, hapus yang tidak Anda butuhkan, dan ketahui apa yang akan Anda lakukan saat terjadi kebocoran. Itu pekerjaan satu kuartal yang santai bagi UKM biasa, dengan biaya nyaris nol, dan sekaligus jadi bersih-bersih operasional yang sebenarnya sudah Anda utang ke diri sendiri. Mulai spreadsheet inventarisasi minggu ini. Saat undang-undangnya disahkan, Anda hanya akan menyesuaikan detail, sementara kompetitor Anda mulai dari nol.