Penilaian dampak pelindungan data sebenarnya bukanlah mekanisme wajib tapi sangat direkomendasikan untuk menilai kredibilitas dan akuntabilitas pemrosesan data pribadi. Terutama ketika aktivitas organisasi berpotensi memiliki risiko tinggi terhadap hak dan kebebasan subjek data pribadi.
Perlu juga dipahami bahwa DPIA berbeda dengan audit privasi atau audit data pribadi yang bersifat retrospektif (ex-post) (Clarke, 2009). Alih-alih dilakukan pascaaktivitas pemrosesan, DPIA memprediksi apakah aktivitas pemrosesan data pribadi memang perlu dilakukan (ex-ante). Oleh karena itu, pengendali data perlu memahami karakteristik pemrosesan data yang hendak dilakukan. Ini untuk menentukan apakah DPIA perlu dilaksanakan atau tidak. Hal ini dilakukan lewat pre-decisional assessment atau dalam Kepmenaker No. 103/2023 disebut sebagai Privacy Threshold Assessment (PTA). Umumnya proses ini mencakup kuesioner mengenai sistem pemrosesan, jenis data yang dikumpulkan untuk mengetahui apakah terdapat informasi pribadi (personally identifiable information/PII), dan mekanisme pengumpulan data yang dilakukan.
DPIA mencakup proses yang lebih mendetail dan kompleks serta umumnya berbeda-beda tiap negara. Salah satu aspek penting dalam DPIA adalah kerangka analisis potensi risiko dan rencana mitigasinya. Singapura membagi kriteria risiko ke dalam lima spektrum kemungkinan (likelihood) dan dampak (impact) terjadinya risiko. Sementara itu, Inggris melalui Information Commissioner’s Office (ICO) menerbitkan templat analisis risiko yang terbagi atas tiga spektrum: risiko dapat disingkirkan (eliminated), dikurangi (reduced), atau diterima (accepted).
Sayangnya, baik di dalam Kepmenaker No. 103/2023 maupun Rancangan Peraturan Pemerintah (RPP) tentang Pelaksanaan UU PDP tidak mengatur DPIA secara gamblang. Biasanya kerangka lebih mendetail DPIA ditentukan oleh lembaga otoritas PDP yang—sayang sekali—belum terbentuk hingga saat ini di Indonesia.
Sejak lebih dari setahun disahkan, belum ada strategi yang jelas dari pembuat undang-undang mengenai strategi dan arah kebijakan UU PDP selagi menanti akhir proses transisi. Di tengah ketidakpastian yang menyelimuti masa transisi implementasi UU PDP, ketiadaan kerangka mendetail tentang penilaian risiko terhadap aktivitas pemrosesan data pribadi adalah patut disayangkan.
Kepmenaker No. 103/2023 kurang signifikan pengaruhnya karena hanya berkutat pada kompetensi teknis dari tugas dan fungsi dalam aktivitas pemrosesan data. Selain itu, aturan ini sebenarnya kurang urgen. Pengendali data maupun pemroses data pribadi umumnya telah memiliki standar kompetensi kerjanya masing-masing sesuai dengan konteks dan karakteristik kegiatannya. Kebijakan ini justru berpotensi mempersulit organisasi dalam menyesuaikan standar yang sesuai dengan perkembangan teknologi dan kebutuhan pelindungan hak-hak subjek data.
Kehadiran panduan implementasi penilaian dampak pelindungan data menjadi penting untuk berbagai alasan. Pertama, membantu organisasi melakukan penyesuaian manajemen risiko dan menentukan rencana aksi sambil menanti UU PDP berlaku efektif secara penuh pada akhir 2024. Kedua, memberikan langkah-langkah pendahuluan (preliminary measures) untuk memperkuat manajemen privasi dan keamanan—termasuk adopsi privacy by design—untuk meminimalisasi kegagalan pelindungan data yang terjadi pada masa transisi UU PDP. Ketiga, membangun kredibilitas organisasi setelah masa transisi UU PDP lewat underlying privacy infrastructure yang memadai.
Idealnya, pemerintah harus menyiapkan lembaga interim yang bertugas memusatkan panduan-panduan teknis pada masa transisi UU PDP. Selain berfungsi sebagai point of contact dalam hal konsultasi atau koordinasi risiko pelindungan data pribadi, lembaga semacam ini dapat menjadi embrio bagi lembaga pengawas UU PDP. Panduan-panduan teknis yang telah diformulasikan sebelumnya bisa diadopsi kembali. Sayangnya, bahkan pembuat undang-undang tampaknya masih belum satu suara perihal status kelembagaan UU PDP.
*)Miftah Fadhli, S.H., LL.M. adalah Data Protection Officer di perusahaan swasta DKI Jakarta.
Artikel Kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |