“Berbagai kebijakan itu bersanding dengan sejumlah regulasi terkait sistem elektronik, yang secara khusus mengatur pelindungan data pribadi, seperti PP Nomor 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo Nomor 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik,” tutur dia.
Oleh karena itu, kata Wahyudi, dalam masa transisi implementasi UU Perlindungan Data Pribadi, untuk memastikan pelindungan terhadap hak-hak subjek data, semestinya otoritas berwenang tetap merujuk pada sejumlah regulasi di atas. Justru kehadiran UU Perlindungan Data Pribadi dapat menjadi rujukan tambahan dalam mengoptimalkan langkah-langkah pelindungan data pribadi.
Misalnya, dia mencontohkan, mengenai langkah-langkah yang harus dilakukan ketika terjadi kegagalan dalam pelindungan data pribadi, termasuk kewajiban untuk memberikan notifikasi. Mengacu pada regulasi saat ini, merespon kegagalan pelindungan data yang terjadi, BSI sebagai pengendali data setidaknya wajib melakukan beberapa hal.
Pertama, memberikan notifikasi kepada subjek data paling lambat 3x24 jam, termasuk kepada masyarakat mengingat insiden ini terkait dengan layanan publik, mengacu pada Pasal 46 UU Perlindungan Data Pribadi. Problemnya dalam pasal ini memang tidak diatur perihal hitungan 3x24 jam sejak kapan. Tapi menjawab ketidakjelasan ini dapat merujuk pada Permenkominfo 20/2016 dengan menghitung periode setelah insiden.
“Bahkan POJK PTI mewajibkan adanya notifikasi awal paling lambat 1x24 jam serta melaporkan insiden TI tersebut paling lama 5 hari kerja setelah insiden pada OJK,” ucap Wahyudi.
Selanjutnya: Selain itu, Surat Edaran OJK Nomor 29/SEOJK.03/2022....
