Undang-Undang No. 27 Tahun 2022 Tentang Perlindungan Data Pribadi (UU PDP) resmi diberlakukan. UU tersebut memiliki dampak terhadap pola bisnis Pusat Data (Data Center) yang saat ini banyak digunakan di Indonesia.

Diberlakukannya UU PDP sebagai instrumen hukum baru, juga mendorong Operator Data Center untuk meninjau dan mengevaluasi substansi perjanjian mereka dengan para pelanggannya.   

Oleh karena ketat dan detailnya ketentuan UU PDP terkait kewajiban Pengendali dan Prosesor Data Pribadi, akan membuat badan publik dan korporasi semakin hati-hati dalam penyimpanan data pribadi yang dikelolanya.  Hak ini dilakukan agar substansi perjanjian memenuhi standar UU PDP, dan sekaligus menegaskan posisi masing-masing sebagai subjek perjanjian yang berkorelasi dengan hak dan tanggung jawab hukum.

Situasi di Indonesia saat ini, mirip dengan ketika General Data Protection Regulation (GDPR) pertama kali diberlakukan di Uni Eropa menggantikan regulasi lama, yaitu Direktif Pelindungan Data 95/46/EC (DPD95).

Data Center sendiri adalah fasilitas gedung dan infrastruktur teknologi tinggi sebagai pusat penyimpanan data dalam skala besar, berfungsi sebagai tempat server komputer level enterprise yang menampung database untuk situs web atau aplikasi. Sehingga tidak heran jika penyedia layanan web hosting, pengembang aplikasi, platform digital, bahkan instansi pemerintah menggunakan fasilitas Data Center untuk mengoperasikan server dan menyimpan datanya.

Baca Juga : Mengenal Tier Data Center

Terkait kewajiban regulatif terkait keamanan data, dan pelindungan dalam skala besar, maka Data Center juga harus dibangun dengan keamanan tingkat tinggi, baik fisik bangunan maupun konfigurasi software yang dioperasikannya, UU PDP adalah legislasi terbaru yang mewajibkan keamanan data yang relevan dengan fungsi Data Center.

Regulasi Indonesia

Berlakunya Peraturan Pemerintah No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) selain memberi garis pembeda terkait kriteria Penyelenggara Sistem Elektronik (PSE) lingkup publik dan privat, juga mengubah ketentuan sebelumnya, terkait kewajiban penyimpanan data di dalam negeri. 

Berbeda dengan PSE Lingkup Publik, PSE lingkup privat diberikan pilihan untuk menyimpan data pada server di Indonesia, atau di luar negeri.

Berkembangnya bisnis Pusat Data secara global, tidak terlepas dari prospek bisnis yang lahir karena faktor kebutuhan penyimpanan data dalam kapasitas besar dan memiliki infrastruktur level tinggi yang bisa menjamin keamanan dan kepercayaan (trustworthy) bagi penggunanya.

Baca Juga : Mahkota Group menggunakan ERP berbasis cloud dari Odoo mulai tahun angaran 2023

Data Center yang menampung aplikasi dan menyimpan data secara andal bisa mencegah tindak pidana siber, pencurian informasi rahasia, data pribadi dan rahasia dagang (trade secrets).

Trade Secrets sebagai salah satu bentuk kekayaan intelektual, meskipun jarang dibicarakan dalam kaitannya dengan isu Data Center, justru merupakan bagian penting keunggulan sebuah korporasi. Contohnya adalah formula pembuatan Coca-Cola yang dilindungi secara ketat dalam sebuah Data Center sebagai Trade Secrets dan sudah berumur 130 tahun lebih (situs resmi The Coca Cola Company-Coca Cola Great Britain).

Berlakunya UU PDP, memberikan tanggung jawab yang lebih ketat tidak saja kepada Pengendali dan Prosesor Data Pribadi tetapi juga kepada Operator Data Center, khususnya terkait keamanan kebocoran, kehilangan, serta akses ilegal.

Sejauh mana tanggung jawab operator Data Center?

Sampai sejauh mana tanggung jawab operator Data Center? sesuai dengan GDPR bahwa posisi operator colocation murni, bukanlah prosesor data, karena perangkat keras tempat pemrosesan data tidak dimiliki oleh penyedia colocation, sehingga mereka bukanlah prosesor. Kecuali jika Pusat Data, misalnya, menyediakan layanan berupa akses ke aplikasi perangkat lunak sebagai layanan cloud, maka operator tersebut akan menjadi prosesor data. 

Undang-Undang Perlindungan Data Pribadi (UU PDP)

Berlakunya UU PDP telah memengaruhi hubungan hukum antara Operator Data Center dengan Pengendali Data Pribadi. Beberapa ketentuan dalam UU PDP yang harus diperhatikan adalah:

Pertama, Pasal 44 jo. Pasal 45 UU PDP terkait kewajiban Pengendali Data Pribadi untuk memusnahkan Data Pribadi saat telah habis masa retensinya berdasarkan jadwal retensi arsip.

Pemusnahan juga dimungkinkan jika terdapat permintaan dari Subjek Data Pribadi, tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/atau Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum. Terkait hal ini, Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.

Kedua, Pasal 47 UU PDP, di mana Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungiawaban dalam kewajiban pelaksanaan prinsip Pelindungan Data Pribadi. Ketentuan di atas memang secara tegas menyatakan bahwa Pengendali Data Pribadi yang wajib bertanggung jawab atas pemrosesan Data Pribadi, dan pemenuhan kewajiban Pelindungan Data Pribadi.

Konsekuensinya tentu Pengendali Data akan meminta jaminan dan kepastian Data Center sebagai tempat penyimpanan data yang memiliki tingkat keamanan tinggi.

Kewajiban pemusnahan Data Pribadi ini juga berdampak pada keharusan Data Center untuk tidak lagi menyimpan data pribadi dimaksud agar tidak melanggar Pasal 67 UU PDP yang diancam sanksi pidana.

Baca Juga : Mengenal URL atau Uniform Resource Locator

Ketiga, Pasal 16 ayat (2) huruf e menyatakan bahwa pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, dan pengubahan yang tidak sah.

Ketentuan ini juga akan berkorelasi dengan fungsi dan jaminan keamanan Data Center di mana Pengendali Data menyimpan datanya.

Pengendali Data Pribadi tentu ingin mematuhi UU PDP untuk melindungi Data Pribadi pelanggannya. Pengendali data pribadi tentu perlu mendapat jaminan Data Center.

Berdasarkan hal-hal di atas, maka Data Center dan penggunanya harus memperbaharui semua perjanjiannya dan memasukan hal-hal yang diatur dalam UU PDP termasuk hal pemusnahan data pribadi, sebagai bagian dari perjanjian mereka.

Kehadiran UU PDP memberikan dampak positif bagi pertumbuhan bisnis Data Center. Standar hukum perlindungan, dan detail mekanisme pemrosesan Data Pribadi, memberikan kepastian hukum tidak saja terkait hak dan kewajiban secara B2B antara Data Center dan Penggunanya, juga sanksi kepada setiap orang yang mengganggu kinerja dan keamanan penyimpanan data di negeri ini.

sumber : kompas/tekno