06 May 2024
Menteri BUMN Erick Tohir telah menerbitkan Peraturan Menteri Badan Usaha Milik Negara Nomor PER-2/MBU/03/2023 Tahun 2023 tentang Pedoman Tata Kelola dan Kegiatan Korporasi Signifikan Badan Usaha Milik Negara. Regulasi ini yang antara lain mengatur pelindungan data pribadi di perusahaan milik negara itu, diundangkan tepat waktu. Semua BUMN adalah Pengendali Data Pribadi. Oleh karena itu harus menyesuaikan dengan UU 27/2022 tentang Pelindungan Data Pribadi paling lambat pada Oktober 2024. Masa transisi UU PDP yang akan berakhir kurang dari 6 bulan lagi, tentunya harus dipahami betul oleh para direksi BUMN.
Peraturan Menteri BUMN itu menekankan direksi BUMN wajib melindungi dan memastikan keamanan data pribadi yang dikelola BUMN, sesuai dengan ketentuan peraturan perundang-undangan yang mengatur mengenai pelindungan data pribadi (pasal 39). UU PDP diproyeksikan untuk memacu bisnis BUMN berbasis data secara kredibel, bereputasi dan terpercaya serta bisa berkompetisi secara global. Lebih dari itu, UU PDP adalah regulasi yang menciptakan kepastian bagi BUMN untuk memanfaatkan big data sebagai the new oil, dengan tetap memberikan pelindungan optimal, bagi subyek data pribadi.
Mengingat data memiliki fungsi teramat strategis dan menjadi kekuatan kompetisi bisnis, maka BUMN wajib melindungi dan memastikan keamanan data pribadi yang dikelolanya. Antisipasi dan mitigasi risko, serta membangun ekosistem dan budaya privasi di lingkungan internalnya adalah unsur penting. Era baru pascadiundangkannya UU PDP, harus disikapi dengan framework PDP yang secara komprehensif menjadi landasan pemrosesan dan pemanfaatan data korporasi. Sebagai orang yang ikut menjadi Tim Pemerintah dalam pembahasan UU PDP bersama DPR RI, saya memahami benar UU PDP tidak dimaksudkan untuk menghambat bisnis korporasi berbasis data. Justru sebaliknya, UU PDP adalah dasar kepastian hukum untuk pemanfaatan data pribadi dan big data secara akuntabel, agar bisnis berbasis data bisa terus berkembang, bahkan berkompetisi secara global di era transformasi digital ini.
Lalu sampai sejauh mana dan apa yang harus dilakukan BUMN dalam menghadapi berakhirnya masa transisi UU PDP yang tinggal kurang lebih 10 bulan lagi? BUMN tentu perlu segera memenuhi kewajiban dan menyesuaikan pengelolaan datanya berdasarkan UU PDP. Di sinilah pentingnya framework dan manajemen pengelolaan dan pelindungan data. Mengingat data adalah basis kekuatan korporasi yang sangat signifikan. Salah satu BUMN papan atas yang dapat dijadikan model ideal adalah PT Telkom Indonesia. Direktur Utama PT Telkom Ririek Adriansyah merespons dengan cepat amanat yang tertuang dalam Peraturan Menteri BUMN dan UU PDP. PT Telkom Indonesia saat ini telah menunjuk Data Protection Officer (DPO) dan memasukannya ke dalam struktur organisasi selevel vice president.
VP Data Protection menjadi unit organisasi yang berada dalam struktur CEO’s Office PT Telkom. Unit entitas ini memiliki garis langsung ke pimpinan puncak manajemen. Posisi DPO seperti ini, sejalan dengan standar praktik korporasi global, dan General Data Protection Regulation (GDPR) Uni Eropa. Perusahaan Telekomunikasi terbesar di Indonesia itu juga telah memiliki white paper berupa framework Pelindungan Data Pribadi dalam memenuhi masa transisi UU PDP. Framework ini sebagai landasan PDP dalam masa transisi UU PDP untuk memacu bisnis berbasis data sebagai the new oil. Framework PDP di BUMN dapat mendorong bisnis berbasis big data di satu sisi, dan menghindari risiko hukum di sisi lainnya.
Kita tentu paham, pelanggaran PDP, bisa berdampak mutidimensi, mulai dari reputasi organisasi, risiko hukum, sanksi denda yang menguras energi dan finansial, dan terganggunya layanan pelanggan atau mitra. Langkah korporasi menyegerakan membentuk DPO, seperti yang dilakukan Telkom Group tanpa menunggu berakhirnya masa transisi, merupakan strategi cerdas. Karena DPO yang kemudian akan menggawangi pelaksanaan framework dan pemenuhan berbagai hal selanjutnya terutama pada masa transisi UU PDP. Langkah progresif ini tentu dapat dijadikan benchmarking oleh BUMN lainnya, dalam rangka menjalankan strategi bisnis berbasis data dan langkah kepatuhan terhadap UU PDP.
DPO adalah unit baru yang wajib dibentuk berdasarkan Undang- Undang PDP. DPO berfungsi memastikan Perseroan dapat menjalankan Pemrosesan Data untuk pertumbuhan bisnisnya secara aman dengan tetap mematuhi regulasi. Bagi BUMN, mengutamakan pembentukan DPO dalam masa transisi UU PDP adalah langkah ideal. Abai terhadap pembentukan DPO dalam praktik dan implementasi GDPR bisa berujung sanksi hukum. DPO memiliki peran penting melindungi data korporasi dan kepatuhan terhadap regulasi perlindungan data. DPO juga memantau proses tertentu, seperti penilaian dampak perlindungan data, peningkatan kesadaran dan pelatihan karyawan.
Hal yang juga sangat signifikan, sebagai garda terdepan pengawas kepatuhan PDP, DPO juga menjadi narahubung dan berkolaborasi dengan otoritas pelindungan data pribadi negara. Hal terakhir ini sangat penting mengingat PDP sangat dinamis. DPO bukanlah unit pemroses dan pengguna data pribadi seperti layaknya Chief Data Officer (CDO) dan Chief Privacy Officer (CPO). DPO adalah unit yang menjadi "kaki tangan" Pimpinan korporasi dalam pengawasan kepatuhan pelindungan data pribadi.
Dengan adanya DPO, maka direksi dapat dengan tenang menjalankan fungsi bisnisnya tanpa khawatir akan risiko pelanggaran data pribadi. DPO juga pada prinsipnya harus melindungi korporasi dan manajemennya dari kemungkinan risiko PDP, dalam posisi inilah DPO memiliki karakter dan posisi independen dan non-konlik kepentingan. Dengan memfungsikan DPO sesuai UU PDP dan best practices global, serta menerapkan framework serta strategi komprehensif PDP, maka korporasi akan memiliki langkah privasi yang kuat. Sehingga bisnis berbasis data dapat dijalankan secara optimal tanpa kekhawatiran pelanggaran regulasi pelindungan data pribadi.
Link Kompas.com: https://money.kompas.com/read/2024/01/06/101343926/pelindungan-data-pribadi-di-bumn?page=all