Penilaian risiko memiliki peran yang istimewa dalam pelindungan privasi data. Ia berfungsi sebagai kerangka legitimasi—atau delegitimasi—dalam pengambilan keputusan organisasi: apakah aktivitas pemrosesan data perlu dan layak dilakukan?
Kendati penting, UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) tidak meregulasi secara spesifik ihwal bagaimana penilaian risiko mesti dilakukan. Satu-satunya pasal yang menjelaskan mengenai hal ini yakni Pasal 34 UU PDP. Isinya menegaskan bahwa instrumen evaluasi risiko dalam bentuk penilaian dampak (impact assessment) wajib dilaksanakan apabila aktivitas pemrosesan data pribadi berisiko tinggi terhadap subyek data.
Di berbagai peraturan, penilaian dampak yang terkait dengan aktivitas pemrosesan data pribadi muncul dalam berbagai istilah. Misalnya PP No. 71 Tahun 2019 menyebutnya “uji kelaikan sistem elektronik” sedangkan POJK 77/2016 menyebutnya “mitigasi risiko. Namun, semuanya tidak memberikan gambaran yang memuaskan tentang apa yang harus terkandung dalam penilaian risiko terhadap privasi data.
Baca juga:
Begini Seluk Beluk Pelindungan Data Pribadi dalam UU PDP
Memahami Data Protection Impact Assessments Dalam Perlindungan Data Pribadi
Mekanisme penilaian risiko dalam pemrosesan data pribadi mengambil inspirasi dari penilaian dampak risiko lingkungan (Binns, 2017). Berbagai negara—Singapura, Malaysia, Jepang, Cina— jarang menjelaskan penilaian dampak pelindungan data secara rinci dalam undang-undang. Namun, peran pentingnya diakui dalam memberikan valuasi pada aktivitas pemrosesan data.
Sebagai perbandingan, EU General Data Protection Regulation (GDPR) menggambarkan penilaian dampak pelindungan data (data protection impact assessment/DPIA) sebagai evaluasi terhadap karakteristik, lingkup, konteks, dan tujuan pemrosesan data. Isinya terdiri dari setidaknya empat dimensi penilaian: gambaran sistematis pemrosesan berikut tujuannya; kebutuhan dan proporsionalitas pemrosesan; risiko; langkah-langkah mitigasinya. Penekanan pada penilaian risiko pelanggaran privasi juga dapat ditemukan dalam ketentuan penilaian dampak di undang-undang pelindungan data Korea Selatan dan India.
Indonesia menjabarkan komponen pelaksanaan penilaian risiko terhadap pemrosesan data pribadi di dalam Keputusan Menteri Ketenagakerjaan No. 103 Tahun 2023 (Kepmenaker No.103/2023). Isinya terdiri dari komponen dasar (ruang lingkup, sumber daya, mekanisme komunikasi) dan komponen umum (langkah pelaksanaan, obyek penilaian, ketentuan peraturan relevan, pihak terdampak). Namun, dokumen kebijakan tersebut hanya memaparkan kerangka kerja dan tugas pokok dalam penilaian risiko. Tidak ada penjelasan soal struktur esensial dalam sebuah penilaian dampak pelindungan data.
Sementara itu, rancangan peraturan pemerintah—sedang disiapkan Kementerian Komunikasi dan Informatika (Kominfo)—mengatur kriteria penilaian dampak yang komponennya menyerupai DPIA dalam EU GDPR.
Penilaian dampak pelindungan data sebenarnya bukanlah mekanisme wajib tapi sangat direkomendasikan untuk menilai kredibilitas dan akuntabilitas pemrosesan data pribadi. Terutama ketika aktivitas organisasi berpotensi memiliki risiko tinggi terhadap hak dan kebebasan subjek data pribadi.
Perlu juga dipahami bahwa DPIA berbeda dengan audit privasi atau audit data pribadi yang bersifat retrospektif (ex-post) (Clarke, 2009). Alih-alih dilakukan pascaaktivitas pemrosesan, DPIA memprediksi apakah aktivitas pemrosesan data pribadi memang perlu dilakukan (ex-ante). Oleh karena itu, pengendali data perlu memahami karakteristik pemrosesan data yang hendak dilakukan. Ini untuk menentukan apakah DPIA perlu dilaksanakan atau tidak. Hal ini dilakukan lewat pre-decisional assessment atau dalam Kepmenaker No. 103/2023 disebut sebagai Privacy Threshold Assessment (PTA). Umumnya proses ini mencakup kuesioner mengenai sistem pemrosesan, jenis data yang dikumpulkan untuk mengetahui apakah terdapat informasi pribadi (personally identifiable information/PII), dan mekanisme pengumpulan data yang dilakukan.
DPIA mencakup proses yang lebih mendetail dan kompleks serta umumnya berbeda-beda tiap negara. Salah satu aspek penting dalam DPIA adalah kerangka analisis potensi risiko dan rencana mitigasinya. Singapura membagi kriteria risiko ke dalam lima spektrum kemungkinan (likelihood) dan dampak (impact) terjadinya risiko. Sementara itu, Inggris melalui Information Commissioner’s Office (ICO) menerbitkan templat analisis risiko yang terbagi atas tiga spektrum: risiko dapat disingkirkan (eliminated), dikurangi (reduced), atau diterima (accepted).
Sayangnya, baik di dalam Kepmenaker No. 103/2023 maupun Rancangan Peraturan Pemerintah (RPP) tentang Pelaksanaan UU PDP tidak mengatur DPIA secara gamblang. Biasanya kerangka lebih mendetail DPIA ditentukan oleh lembaga otoritas PDP yang—sayang sekali—belum terbentuk hingga saat ini di Indonesia.
Sejak lebih dari setahun disahkan, belum ada strategi yang jelas dari pembuat undang-undang mengenai strategi dan arah kebijakan UU PDP selagi menanti akhir proses transisi. Di tengah ketidakpastian yang menyelimuti masa transisi implementasi UU PDP, ketiadaan kerangka mendetail tentang penilaian risiko terhadap aktivitas pemrosesan data pribadi adalah patut disayangkan.
Kepmenaker No. 103/2023 kurang signifikan pengaruhnya karena hanya berkutat pada kompetensi teknis dari tugas dan fungsi dalam aktivitas pemrosesan data. Selain itu, aturan ini sebenarnya kurang urgen. Pengendali data maupun pemroses data pribadi umumnya telah memiliki standar kompetensi kerjanya masing-masing sesuai dengan konteks dan karakteristik kegiatannya. Kebijakan ini justru berpotensi mempersulit organisasi dalam menyesuaikan standar yang sesuai dengan perkembangan teknologi dan kebutuhan pelindungan hak-hak subjek data.
Kehadiran panduan implementasi penilaian dampak pelindungan data menjadi penting untuk berbagai alasan. Pertama, membantu organisasi melakukan penyesuaian manajemen risiko dan menentukan rencana aksi sambil menanti UU PDP berlaku efektif secara penuh pada akhir 2024. Kedua, memberikan langkah-langkah pendahuluan (preliminary measures) untuk memperkuat manajemen privasi dan keamanan—termasuk adopsi privacy by design—untuk meminimalisasi kegagalan pelindungan data yang terjadi pada masa transisi UU PDP. Ketiga, membangun kredibilitas organisasi setelah masa transisi UU PDP lewat underlying privacy infrastructure yang memadai.
Idealnya, pemerintah harus menyiapkan lembaga interim yang bertugas memusatkan panduan-panduan teknis pada masa transisi UU PDP. Selain berfungsi sebagai point of contact dalam hal konsultasi atau koordinasi risiko pelindungan data pribadi, lembaga semacam ini dapat menjadi embrio bagi lembaga pengawas UU PDP. Panduan-panduan teknis yang telah diformulasikan sebelumnya bisa diadopsi kembali. Sayangnya, bahkan pembuat undang-undang tampaknya masih belum satu suara perihal status kelembagaan UU PDP.
*)Miftah Fadhli, S.H., LL.M. adalah Data Protection Officer di perusahaan swasta DKI Jakarta.
Artikel Kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |