Penilaian risiko memiliki peran yang istimewa dalam pelindungan privasi data. Ia berfungsi sebagai kerangka legitimasi—atau delegitimasi—dalam pengambilan keputusan organisasi: apakah aktivitas pemrosesan data perlu dan layak dilakukan?
Kendati penting, UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) tidak meregulasi secara spesifik ihwal bagaimana penilaian risiko mesti dilakukan. Satu-satunya pasal yang menjelaskan mengenai hal ini yakni Pasal 34 UU PDP. Isinya menegaskan bahwa instrumen evaluasi risiko dalam bentuk penilaian dampak (impact assessment) wajib dilaksanakan apabila aktivitas pemrosesan data pribadi berisiko tinggi terhadap subyek data.
Di berbagai peraturan, penilaian dampak yang terkait dengan aktivitas pemrosesan data pribadi muncul dalam berbagai istilah. Misalnya PP No. 71 Tahun 2019 menyebutnya “uji kelaikan sistem elektronik” sedangkan POJK 77/2016 menyebutnya “mitigasi risiko. Namun, semuanya tidak memberikan gambaran yang memuaskan tentang apa yang harus terkandung dalam penilaian risiko terhadap privasi data.
Baca juga:
Begini Seluk Beluk Pelindungan Data Pribadi dalam UU PDP
Memahami Data Protection Impact Assessments Dalam Perlindungan Data Pribadi
Mekanisme penilaian risiko dalam pemrosesan data pribadi mengambil inspirasi dari penilaian dampak risiko lingkungan (Binns, 2017). Berbagai negara—Singapura, Malaysia, Jepang, Cina— jarang menjelaskan penilaian dampak pelindungan data secara rinci dalam undang-undang. Namun, peran pentingnya diakui dalam memberikan valuasi pada aktivitas pemrosesan data.
Sebagai perbandingan, EU General Data Protection Regulation (GDPR) menggambarkan penilaian dampak pelindungan data (data protection impact assessment/DPIA) sebagai evaluasi terhadap karakteristik, lingkup, konteks, dan tujuan pemrosesan data. Isinya terdiri dari setidaknya empat dimensi penilaian: gambaran sistematis pemrosesan berikut tujuannya; kebutuhan dan proporsionalitas pemrosesan; risiko; langkah-langkah mitigasinya. Penekanan pada penilaian risiko pelanggaran privasi juga dapat ditemukan dalam ketentuan penilaian dampak di undang-undang pelindungan data Korea Selatan dan India.
Indonesia menjabarkan komponen pelaksanaan penilaian risiko terhadap pemrosesan data pribadi di dalam Keputusan Menteri Ketenagakerjaan No. 103 Tahun 2023 (Kepmenaker No.103/2023). Isinya terdiri dari komponen dasar (ruang lingkup, sumber daya, mekanisme komunikasi) dan komponen umum (langkah pelaksanaan, obyek penilaian, ketentuan peraturan relevan, pihak terdampak). Namun, dokumen kebijakan tersebut hanya memaparkan kerangka kerja dan tugas pokok dalam penilaian risiko. Tidak ada penjelasan soal struktur esensial dalam sebuah penilaian dampak pelindungan data.
Sementara itu, rancangan peraturan pemerintah—sedang disiapkan Kementerian Komunikasi dan Informatika (Kominfo)—mengatur kriteria penilaian dampak yang komponennya menyerupai DPIA dalam EU GDPR.