Kedua, harus dibedakan standar pengaturan perlindungan data oleh perusahaan dengan skala besar dan kecil. Kategorisasi perusahaan besar dan kecilnya bisa ditentukan dari jumlah aset dan pendapatan. Konteks ketentuan yang berlaku untuk usaha besar yang memang mengelola data pribadi dengan jumlah yang signifikan besarnya sudah sepatutnya dibedakan dengan perusahaan kecil, mengingat dari segi risiko juga jauh sangat berbeda. Terhadap yang besar itu, Ia memandang harus ada standar perlakuan perlindungan data yang lebih tinggi dari yang kecil.
(Baca: Data Penumpang Lion Air Bocor, UU Perlindungan Data Pribadi Dibutuhkan)
Ia mencontohkan, kewajiban perusahaan untuk merekrut seorang Data Protection Officer (DPO) seperti yang diadopsi dari GDPR. Untuk merekrut seorang profesional yang expert di bidang data protection law jelas tidak mudah bagi perusahaan kecil.
Di perusahaan kecil, katanya, iklimnya direksi perusahaan bisa merangkap beberapa pekerjaan. “Jadi bisa saja direksi juga merangkap sebagai DPO, tak harus dilakukan oleh orang yang terpisah. Untuk perusahaan dengan pendapatan di atas Rp 100 miliar, mungkin memang mudah mengalokasikan dana khusus untuk DPO namun berbeda halnya dengan perusahaan dengan pendapatan di bawah itu. Jadi tak bisa disamaratakan,” ujarnya.
Contoh lainnya seperti kewajiban untuk membuat dashboard bagi perusahaan, baik besar maupun kecil. Padahal, bagi perusahaan marketplace kecil justru akan memakan biaya lebih besar untuk pembuatan dashboard ketimbang pembuatan aplikasi untuk marketplace itu sendiri.
Terkait tingkat kerentanan, perusahaan kecil biasanya tak mengelola data dalam jumlah banyak, sementara kebanyakan perusahaan yang menjadi target hacker adalah perusahaan yang mengelola data dalam jumlah besar. Hanya saja, pembedaan standar perlakuan antara perusahaan besar dan kecil itu tak lantas turut membedakan basic rules perlindungan data yang harus dilakukan seluruh perusahaan. Hanya saja bagaimana cara perusahaan menjaga itulah yang jangan sampai diberikan beban yang sama.
“Tetap harus ada requirement dasar atau prinsip-prinsip dasar yang semua perusahaan harus ikuti sekalipun perlakuan antara perusahaan besar dan kecil dibedakan,” katanya.
Ketiga, Ia menyorot pengaturan pada draft RUU PDP yang begitu menekankan pendekatan sektoral. Jadi, katanya, enforcement pada draft UU a quo diserahkan pada setiap sektor dan tidak dicetuskan adanya sebuah lembaga sentral yang berfungsi mengurus segala hal terkait personal data. Padahal, katanya, mengingat perlindungan data pribadi merupakan hal yang cukup baru bagi Indonesia, jelas dalam konteks praktiknya harus ada lembaga khusus yang menjadi main promotor-nya.