Kedua, melakukan asesmen untuk menentukan apakah terjadi kegagalan perlindungan data pribadi atau tidak. Asesmen ini penting karena UU 27/2022 mengatur ketika terjadi kebocoran data pribadi, pengendali atau perusahaan wajib melakukan pemberitahuan kepada pihak regulator dan subjek data. Fungsi asesmen untuk memastikan apakah terjadi atau tidak kegagalan pelindungan data pribadi.
Ketiga, jika kebocoran data itu terjadi, laporan atau pemberitahuan harus dilakukan. Tapi ketika dipastikan tidak ada kebocoran data pribadi maka tidak perlu melapor. Sebab bisa saja sistem mengalami serangan siber tapi tidak ada kebocoran data pribadi. Danny mengakui tidak mudah bagi perusahaan untuk mengumumkan adanya dugaan kebocoran data pribadi, oleh karena itu asesmen menjai penting.
“UU 27/2022 mengatur pemberitahuan kepada subjek data dan regulator (terkait adanya kebocoran data pribadi,-red) paling lambat 3x24 jam,” ujar Danny.
Keempat, Danny menyebut langkah terakhir yang perlu dilakukan dalam menghadapi kasus kebocoran data pribadi yakni melakukan evaluasi dan pembelajaran. Sekaligus meningkatkan keamanan siber dan sistem elektronik, termasuk mengevaluasi standar operasional prosedur (SOP) dan efektivitasnya.
Langkah preventif
Danny merekomendasikan kepada perusahaan yang melakukan pemrosesan data pribadi untuk melakukan langkah preventif mencegah kegagalan pelindungan data pribadi. Walau tidak dimandatkan UU 27/2022 akan lebih baik perusahaan membentuk tim khusus yang melakukan respon cepat insiden dugaan kegagalan pelindungan data pribadi seperti kebocoran data pribadi.
Tim harus disiapkan sejak awal karena kebocoran data itu tidak bisa diprediksi kapan terjadi. Sekalipun perusahaan menaruh investasi yang besar untuk keamanan siber, bukan jaminan untuk lolos dari potensi kebocoran data. Tim respon cepat itu anggotanya tak melulu divisi IT, tapi perlu juga divisi lainnya seperti legal dan hubungan masyarakat.
Selanjutnya perusahaan perlu menyusun kebijakan internal terkait pelindungan data seperti SOP. Baik UU 27/2022 dan Rancangan Peraturan Pemerintah (RPP) tentang PDP memandatkan perusahaan yang memproses data memiliki SOP. “Tujuan SOP ini salah satunya untuk memastikan semua karyawan ketika berhadapan atau menangani isu PDP mereka harus paham apa yang harus dilakukan,” urainya.