Pada 20 September, DPR akhirnya mengesahkan RUU Perlindungan Data Pribadi, UU PDP, setelah bertahun-tahun draf dan penundaan. Jika Anda menjalankan bisnis di Indonesia dan menyimpan nama, nomor telepon, atau alamat pelanggan di mana pun, kepatuhan UU PDP untuk bisnis kini benar-benar menjadi agenda nyata, bukan lagi topik "nanti saja".

Sebelum panik, undang-undang ini memberi masa transisi hingga dua tahun bagi organisasi untuk patuh. Itu waktu yang cukup untuk sebuah UKM, tapi hanya jika diperlakukan sebagai landasan pacu, bukan tombol tunda alarm. Perusahaan yang akan kelabakan di 2024 adalah mereka yang hari ini berkata pada diri sendiri, "kami terlalu kecil untuk dianggap penting."

Saya seorang engineer, bukan pengacara, jadi ini bukan nasihat hukum. Yang bisa saya berikan adalah daftar aksi praktis, teknis-dan-operasional, yang saya jalankan bersama klien-klien saya sendiri, dalam urutan yang benar-benar masuk akal.

Pertama, Pahami Apa yang Berubah

Sampai saat ini, aturan data pribadi di Indonesia tersebar di berbagai regulasi sektoral, terutama Permenkominfo 20/2016 dan PP 71/2019, dengan daya paksa yang terbatas. UU PDP mengonsolidasikan semuanya menjadi satu undang-undang yang berlaku bagi hampir semua organisasi yang memproses data pribadi warga negara Indonesia, baik swasta maupun publik, besar maupun kecil.

Bagian yang perlu dicatat oleh pemilik UKM:

  • Persetujuan menjadi inti. Anda memerlukan dasar hukum untuk memproses data seseorang, dan untuk sebagian besar kasus penggunaan UKM, dasar itu adalah persetujuan eksplisit untuk tujuan tertentu.
  • Individu mendapat hak: untuk mengetahui data apa yang Anda simpan, memperbaikinya, menghapusnya, dan menarik persetujuan.
  • Notifikasi pelanggaran wajib. Jika data pribadi bocor, Anda harus memberi tahu individu yang terdampak dan otoritas terkait, dengan jendela waktu 3x24 jam dalam teks yang berlaku saat ini.
  • Sanksinya nyata: denda administratif yang bisa mencapai persentase tertentu dari pendapatan tahunan, serta ketentuan pidana untuk penyalahgunaan terberat seperti menjual data pribadi secara melawan hukum.

Anda tidak perlu menghafal pasal-pasalnya. Anda perlu membangun bisnis yang tidak akan dipermalukan oleh satu pun dari pasal-pasal itu.

Langkah 1: Inventarisasi Data Anda (Minggu Ini, Bukan Kuartal Ini)

Anda tidak bisa melindungi apa yang belum Anda daftar. Duduklah bersama siapa pun yang bersentuhan dengan data pelanggan dan jawab empat pertanyaan ini:

  1. Data pribadi apa yang kita simpan? Nama, nomor telepon, alamat, email, nomor KTP, tanggal lahir, riwayat transaksi.
  2. Di mana data itu tersimpan? Jawabannya biasanya lebih berantakan dari dugaan: sistem POS, file Excel marketing di laptop seseorang, daftar kontak WhatsApp Business, kotak masuk email, dasbor penjual e-commerce, vendor formulir dari kampanye tahun 2020.
  3. Siapa yang bisa mengaksesnya? Setiap password yang dibagi bersama dan setiap mantan karyawan yang masih punya login adalah temuan yang perlu dicatat.
  4. Mengapa kita menyimpannya? Jika tidak ada tujuan bisnis yang berjalan saat ini, itu murni liabilitas. Basis data pelanggan yang sudah tidak Anda layani, jika bocor, sama merugikannya dengan basis data yang masih aktif.

Tuliskan ini dalam spreadsheet sederhana: jenis data, lokasi, akses, tujuan, retensi. Untuk UKM pada umumnya, ini memakan waktu satu sore, dan ini adalah aktivitas kepatuhan bernilai tertinggi yang bisa Anda lakukan. Semua langkah lain dibangun di atas ini.

Langkah 2: Perbaiki Cara Menangkap Persetujuan ke Depan

Perhatikan setiap titik di mana Anda mengumpulkan data: formulir web, alur registrasi, pendaftaran loyalty program, formulir offline di kasir.

  • Katakan apa yang Anda kumpulkan dan mengapa, dalam bahasa Indonesia yang sederhana, tepat di titik pengumpulan data. Satu kalimat pendek lebih efektif daripada kebijakan 20 halaman yang tidak pernah dibaca siapa pun.
  • Hentikan penggabungan persetujuan. Persetujuan untuk menerima broadcast marketing harus berupa kotak centang terpisah yang tidak otomatis tercentang, bukan dikubur di dalam syarat dan ketentuan.
  • Kumpulkan lebih sedikit. Setiap kolom yang Anda hilangkan adalah kolom yang tidak perlu Anda lindungi. Apakah Anda benar-benar butuh tanggal lahir untuk menjual kaos ke seseorang? Minimalisasi data adalah prinsip hukum sekaligus peningkatan keamanan gratis.
  • Simpan catatannya. Sistem Anda harus bisa menunjukkan bahwa pelanggan ini menyetujui ini, pada tanggal ini.

Jika situs web atau aplikasi Anda dibuat oleh vendor, ini adalah change request yang kecil dan murah. Kisarannya sekitar Rp3 juta sampai Rp10 juta untuk sebagian besar sistem UKM, yang merupakan angka receh dibandingkan potensi eksposur denda.

Langkah 3: Kesiapan Dasar Menghadapi Kebocoran

Sebagian besar UKM tidak punya rencana untuk hari saat data bocor, dan berimprovisasi di tengah insiden menghasilkan keputusan-keputusan terburuk. Anda memerlukan satu halaman yang disepakati sejak awal:

  • Siapa pengambil keputusan ketika dugaan kebocoran dilaporkan, termasuk pada malam Sabtu?
  • Siapa yang kita hubungi secara teknis? Vendor atau engineer internal Anda harus bisa dihubungi dan terikat kontrak untuk membantu investigasi.
  • Apa yang kita sampaikan ke pelanggan, dan kapan? Susun kerangka notifikasi sekarang, dengan tenang, alih-alih pukul 2 pagi dalam kepanikan. Jendela notifikasi 3x24 jam dari undang-undang ini sangat singkat jika Anda memulai dari nol.
  • Apa yang sedang kita log? Jika sistem Anda tidak menyimpan log akses sama sekali, Anda bahkan tidak bisa menentukan apa yang bocor. Tanyakan ini ke vendor Anda bulan ini.

Sambil melakukan itu, tutup lubang-lubang sepele yang menyebabkan sebagian besar insiden UKM: password admin yang dibagi bersama, tidak ada proses offboarding untuk staf yang keluar, basis data pelanggan yang diekspor ke laptop pribadi, dan panel admin tanpa autentikasi dua faktor.

Langkah 4: Periksa Vendor Anda, Karena Kebocoran Mereka Adalah Masalah Anda

Berdasarkan UU PDP, menggunakan pihak ketiga untuk memproses data tidak memindahkan tanggung jawab Anda kepada mereka. Penyedia hosting Anda, vendor software Anda, agensi marketing yang memegang daftar pelanggan, integrasi kurir Anda, kebocoran di sisi mereka tetap menjadi kewajiban notifikasi Anda, pelanggan Anda, dan reputasi Anda.

Kirimkan tiga pertanyaan tertulis ke setiap vendor:

  1. Di mana data kami disimpan, dan siapa di perusahaan Anda yang bisa mengaksesnya?
  2. Langkah keamanan apa yang melindunginya, dan kapan terakhir kali ditinjau?
  3. Jika terjadi kebocoran yang melibatkan data kami, seberapa cepat Anda akan memberi tahu kami, secara tertulis?

Jawaban yang samar-samar juga merupakan jawaban. Ini beririsan dengan pembicaraan kuartalan dengan vendor yang saya sarankan di Memahami Tagihan Cloud Anda Sebelum Ia Memahami Anda: vendor yang layak dipertahankan adalah yang bisa menjawab pertanyaan spesifik secara spesifik.

Apa yang Bisa Ditunda dengan Aman

Agar tetap jujur, tidak semua hal harus selesai di 2022. Peraturan pelaksana akan menyusul undang-undang ini dan akan memperjelas detail seperti persyaratan petugas perlindungan data serta bentuk pasti dari otoritas pengawas. Penunjukan formal peran kepatuhan khusus, proses sertifikasi, dan dokumentasi hukum yang berat bisa menunggu kejelasan itu.

Yang tidak bisa menunggu adalah substansinya: mengetahui data Anda, mengumpulkannya secara jujur, mengamankannya secara masuk akal, dan mampu merespons ketika sesuatu berjalan salah. Empat hal itu sederhananya adalah operasi bisnis yang baik, dan layak dilakukan bahkan sebelum undang-undang ini ada.

Kesimpulan

UU PDP telah disahkan, masa transisi adalah landasan pacu Anda, dan kepatuhan UU PDP untuk bisnis bisa dicapai oleh UKM tanpa departemen hukum. Urutan kerjanya: inventarisasi data Anda minggu ini, perbaiki cara menangkap persetujuan di setiap titik pengumpulan, tulis rencana kebocoran satu halaman, dan catat vendor Anda secara tertulis. Hapus data yang sudah tidak ada alasan untuk disimpan.

Mulai dari inventarisasi. Biayanya satu sore, hasilnya akan mengejutkan Anda, dan setiap langkah berikutnya jadi jelas begitu Anda bisa melihat apa yang sebenarnya Anda simpan. Dua tahun berlalu lebih cepat dari dugaan Anda.