KESIAPAN INDUSTRI

DALAM PELINDUNGAN
DATA PRIBADI
SURVEI TERHADAP
PERUSAHAAN DIGITAL TAHUN 2021
 I

KESIAPAN INDUSTRI
DALAM PELINDUNGAN
DATA PRIBADI
S U R V E I T E R H A DA P
P E RU S A H A A N D I G I TA L
TA H U N 2 0 2 1
 III
TIM PENYUSUN

TIM PENYUSUN

Pengarah:
Direktur Jenderal Aplikasi Informatika,
Semuel Abrijani Pangerapan

Penanggung Jawab:
Sekretaris Direktorat Jenderal Aplikasi Informatika,
Slamet Santoso

Perencana Program:
Poppy Yuniarti Ramdhania
Moh. Wildan

Analis:
Hendri Sasmita Yuda
Ulfah Diah Susanti
Ajeng Risda Rahmadani

Periset Kuantitatif:
Aini Devi Agustian
Amalia Afifah
Laksamana Yuda Citra Handika
Leski Rizkinaswara Yustafa
Pratiwi Agustini

Penulis:
Risanti Delphia
Maykada Harjono K.

Editor:
Adek Media Roza
Stevanny Limuria
Vivi Zabkie

Desain Grafis:
Muhamad Yana
Wahyu Risyanto
IV
 V
KATA PENGANTAR

KATA PENGANTAR

Salam sejahtera bagi kita semua,

Puji syukur ke hadirat Tuhan YME atas rahmat dan hidayah-Nya,

laporan Persepsi Masyarakat atas Pelindungan Data Pribadi sebagai
hasil kerja sama antara Kementerian Komunikasi dan Informatika
dengan Katadata Insight Center telah selesai disusun.

Di tengah pertumbuhan pengguna internet di Indonesia yang

terus melonjak, kami berharap sajian dalam laporan ini mampu
membangun kesadaran masyarakat akan pentingnya pemahaman
tentang data pribadi ketika berinteraksi secara daring.

Penyusunan laporan dilakukan setelah melalui Survei Nasional

terhadap 11.305 responden pada Juli 2021. Survei tersebut mengukur
seberapa luas pemahaman masyarakat akan pentingnya data
pribadi dan hak untuk melindunginya, serta mengetahui bagaimana
penerapan pelindungan data pribadi yang berjalan selama ini.

Salah satu tujuan laporan ini adalah untuk menunjukkan tingkat

pemahaman dan kepedulian masyarakat tentang data pribadi,
penyalahgunaan, serta kesadaran akan hak untuk melindungi data
pribadi mereka. Diharapkan pula, seluruh paparan dalam laporan
ini dapat membantu pemerintah dalam mematangkan perumusan
RUU Pelindungan Data Pribadi (PDP), dan menjadi acuan bagi
pengembangan kebijakan PDP pada masa mendatang.

Akhir kata, kami mengucapkan terima kasih dan penghargaan

kepada semua pihak yang telah memberikan andil terhadap terbitnya
laporan ini. Semoga amal usaha kita direstui Tuhan Yang Maha Esa.

Semuel Abrijani Pangerapan

Direktur Jenderal Aplikasi Informatika
Kementerian Komunikasi dan Informatika
VI
DAFTAR ISI

DAFTAR ISI
TIM PENYUSUN III
KATA PENGANTAR V
DAFTAR TABEL VI
DAFTAR GRAFIK VII
RINGKASAN EKSEKUTIF VII

BAB 1 PENDAHULUAN 3
1.1 Kerangka Penelitian 5
1.2 Pengumpulan Data 5
1.3 Pengolahan dan Analisis Data 6
1.4 Keterbatasan Penelitian 6
1.5 Profil Responden 7

BAB 2 MANAJEMEN PELINDUNGAN DATA PRIBADI 11

2.1 Pengumpulan Data Pribadi Konsumen 13
2.2 Penyimpanan Data Pribadi Konsumen 15
2.3 Kebijakan Perusahaan Dalam Pengumpulan
Data Pribadi Konsumen 17

BAB 3 PERSEPSI DAN KESIAPAN INDUSTRI TERHADAP

PELINDUNGAN DATA PRIBADI 21
3.1 Pengetahuan tentang Pelindungan Data Pribadi (PDP) 22
3.2 Persepsi dan Harapan terhadap UU PDP 22
3.3 Harapan terhadap Sistem PDP 26

BAB 4 PENUTUP 29
4.1 Kesimpulan 30
4.2 Temuan 30
4.3 Rekomendasi 33
 VII
DAFTAR TABEL, DAFTAR GRAFIK

DAFTAR TABEL
Tabel 1. 1 Sebaran responden 7

DAFTAR GRAFIK
Grafik 1.1 Profil responden berdasarkan posisi/peran 7
Grafik 1.2 Profil responden berdasarkan omzet bulanan 8
Grafik 1.3 Profil responden berdasarkan skala usaha 8
Grafik 1.4 Profil responden berdasarkan sektor usaha 9
Grafik 2.1 Kepemilikan sertifikat manajemen sistem informasi 12
• Grafik 2.1.1 Sertifikat yang dimiliki perusahaan 12
Grafik 2.2 Pengumpulan data konsumen 13
• Grafik 2.2.1. Jenis data pribadi konsumen 13
Grafik 2.3 Permohonan izin pengumpulan data konsumen 14
• Grafik 2.3.1 Bentuk izin/pemberitahuan 14
• Grafik 2.3.2 Bentuk sosialisasi yang dilakukan 14
Grafik 2.4 Penyimpanan data konsumen 15
• Grafik 2.4.1 Tempat penyimpanan data hard copy 15
• Grafik 2.4.2 Tempat penyimpanan data soft copy 15
Grafik 2.5 Aksesibilitas data konsumen 16
Grafik 2.6 Tujuan penggunaan data pribadi konsumen 16
Grafik 2.7 Kebijakan perusahaan terhadap data konsumen 17
Grafik 2.8 Kebijakan privasi perusahaan 18
Grafik 2.9 Kebijakan pemusnahan data konsumen 18
• Grafik 2.9.1 Durasi retensi 18
Grafik 2.10 Upaya melindungi data pribadi 19
Grafik 2.11 Data Protection Officer 19
Grafik 3.1 Pengetahuan tentang PDP 24
Grafik 3.2 Penyelenggara Sistem Elektronik (PSE) Lingkup Privat 25
Grafik 3.2 Persepsi dan harapan terhadap UU PDP 25
Grafik 3.4 Aturan turunan yang akan dibuat oleh perusahaan 26
Grafik 3.5 Kendala utama dalam penerapan UU PDP 26
Grafik 3.6 Bantuan yang diharapkan perusahaan 27
Grafik 3.7 Lembaga yang mengatur PDP 28
• Grafik 3.7.1 Harapan terhadap lembaga yang
mengatur PDP 28
Grafik 3.8 Persepsi terhadap manfaat UU PDP 28
VIII
RINGKASAN EKSEKUTIF

RINGKASAN EKSEKUTIF

D
ata pribadi termasuk komoditas berharga. Bagi perusahaan, data pribadi
konsumen dapat digunakan untuk membantu pemasaran produk dan
pengembangan bisnis. Aturan pelindungan data pribadi diperlukan untuk
melindungi hak masyarakat terkait data pribadi agar tidak disalahgunakan oleh
pihak-pihak lain termasuk perusahaan. Pemerintah bersama DPR saat ini tengah
dalam tahap pembahasan rencana aturan tersebut.

Kementerian Komunikasi dan Informatika bersama Katadata Insight Center

(KIC) menyusun Laporan Kesiapan Industri dalam Pelindungan Data Pribadi untuk
menggambarkan upaya pelindungan data pribadi oleh perusahaan dan mengetahui
persepsi pelaku usaha digital terhadap pelaksanaan aturan pelindungan data pribadi.
Laporan ini menganalisis data primer dari survei terhadap 135 perusahaan berbasis
digital di 14 provinsi Indonesia pada 26 Juli - 13 Agustus 2021.

Melalui survei ini diketahui, data pribadi yang dikumpulkan industri terutama
perusahaan digital umumnya adalah data pribadi karyawannya dan data konsumen.
Jumlah data pribadi yang dikumpulkan umumnya berjumlah 1.000 data, namun ada
juga perusahaan yang melaporkan mengumpulkan satu juta hingga 20 juta data.

Potensi kepemilikan data yang besar diiringi dengan pesatnya pertumbuhan

ekonomi digital membuat isu keamanan data pribadi makin perlu diperhatikan.
Industri juga perlu didorong untuk melakukan langkah yang cukup guna membantu
upaya pencegahan kebocoran dan penyalahgunaan data pribadi.

Industri di Indonesia, terutama perusahaan digital yang diwawancarai dalam

survei ini sebagian besar (lebih dari 70% responden) mengaku telah memiliki Standar
 IX
RINGKASAN EKSEKUTIF

Operasional Prosedur (SOP) untuk melindungi data karyawan dan konsumennya.

Tapi jika digali lebih jauh, upaya pelindungan perlu ditingkatkan lagi karena
meski umumnya mengaku memiliki SOP pelindungan data pribadi, sejumlah
langkah lain untuk pengamanan, seperti daftar kontrol akses serta keberadaan
Data Protection Officer (DPO) belum sepenuhnya pada kondisi ideal. Lebih dari
separuh perusahaan, misalnya, masih menempatkan fungsi Data Protection
Officer sebagai bagian dari divisi Teknologi Informasi. Bahkan ada 19,3% belum
memiliki fungsi DPO sama sekali.

Tingginya kebutuhan untuk memandu dan mendorong keterlibatan industri

turut serta dalam pelindungan data pribadi juga tercermin dari kepemilikan sertifikat
manajemen sistem informasi yang masih pada kisaran 35% responden pelaku usaha,
yang terbanyak ISO 27001.

Pengetahuan dan kepedulian perusahaan digital akan pentingnya pelindungan

data pribadi berada pada tingkat cukup. Skor tingkat pengetahuan mencapai
2,94 dari skala 1-4. Karena itu tak heran, industri menanti kehadiran aturan khusus
mengenai pelindungan data pribadi yang terlihat dari tingginya harapan pada
RUU Pelindungan Data Pribadi. Disahkannya UU PDP ini kelak diharapkan mampu
meningkatkan kepercayaan konsumen dan citra baik Indonesia dalam bertransaksi
digital yang juga menguntungkan industri.

Diharapkan pula ada masa sosialisasi dari pembuat kebijakan jika RUU tersebut
nantinya disahkan serta segera disusun aturan turunan yang menjelaskan UU PDP
(48,1%). Sementara dalam proses penyusunan, mereka berharap kalangan industri
juga turut dilibatkan.
 BAB 1
PENDAHULUAN
 BAB 1
4
PENDAHULUAN

D
ata konsumen memegang peranan penting dalam industri. Kepemilikan data
konsumen tentu krusial bagi perusahaan dalam mengembangkan bisnisnya.
Perkembangan era digital menjadi tantangan bagi perusahaan untuk lebih
berhati-hati atas keamanan data konsumen.

Indonesia merupakan salah satu negara dengan kekuatan ekonomi digital

terbesar di dunia. Menurut laporan terbaru yang dirilis oleh Temasek, Google, dan
Bain&Co pada 2021, nilai ekonomi digital Indonesia pada 2021 mencapai US$ 70
miliar, meroket hingga 49% bila dibandingkan tahun 2020. Lemahnya keamanan
data dapat menjadi ancaman aktivitas perdagangan digital di masa depan.

Tantangan keamanan data ini makin nyata seiring dengan perkembangan

industri berbasis digital di Indonesia. Jumlah perusahaan teknologi rintisan (startup)
tumbuh dari sekitar 1.400 pada 2017 menjadi 2.297 per Oktober 2021..

Riset oleh perusahaan keamanan siber Trend Micro mengemukakan kejahatan

siber semakin masif terjadi. Berdasarkan survei yang dilakukan pada awal semester
2021, 81% perusahaan di Indonesia kemungkinan bisa mengalami kebocoran data
konsumen dalam 12 bulan ke depan.

Kebocoran dan penyalahgunaan data pribadi yang makin meningkat di era

digital ini mendorong DPR untuk segera mengesahkan Rancangan Undang-Undang
tentang Pelindungan Data Pribadi (RUU PDP). Pengaturan tersebut diharapkan
melindungi masyarakat dari penyalahgunaan data pribadi.

RUU PDP, yang tengah digodok oleh Kementerian Komunikasi dan Informatika
dan Komisi I DPR RI, diharapkan segera rampung. Sebelumnya pelindungan
data pribadi diatur dalam Peraturan Menteri Kominfo No. 20 Tahun 2016 tentang
Pelindungan Data Pribadi dalam Sistem Elektronik.

Selain mengatur perorangan, RUU PDP juga akan memastikan sektor industri
berhati-hati atas keamanan data konsumen. Setiap penyelenggara sistem elektronik
akan diharuskan mempunyai aturan internal untuk mengelola dan melindungi data
pribadi.

Tujuan umum Survei Persepsi dan Kesiapan Industri terhadap Implementasi

Pelindungan Data Pribadi adalah memetakan persepsi pelaku usaha digital terhadap
pelaksanaan pelindungan data pribadi. Survei ini menggali:

1. Profil pelaku usaha digital.

2. Manajemen pelindungan data yang diterapkan di industri digital.
3. Awareness pelaku usaha terhadap PDP.
4. Kesiapan dan kebutuhan dalam implementasi PDP.
 BAB 1
5
PENDAHULUAN

METODOLOGI

1.1 Kerangka Penelitian

Pokok kajian dalam penelitian ini adalah pembahasan dan analisis kesiapan
industri menghadapi implementasi pelindungan data pribadi (PDP). Survei ini
menguraikan konsep pelindungan privasi atas data pribadi yang dilakukan industri
digital.

Tujuan umum survei adalah memetakan persepsi pelaku usaha digital terhadap
pelaksanaan PDP. Responden juga diminta menjawab beberapa pertanyaan terkait
manajemen data pribadi, awareness pelaku usaha terhadap PDP, serta kesiapan dan
kebutuhan dalam implementasi PDP.

RUU PDP mendefinisikan data pribadi adalah setiap data tentang seseorang yang
teridentifikasi dan atau dapat diidentifikasi secara tersendiri atau dikombinasikan
dengan informasi lainnya baik secara langsung maupun tidak langsung melalui
sistem elektronik dan/atau non-elektronik (Monggilo, Kurnia & Banyumurti, 2020).

Dalam lingkup sektor industri terdapat dua data yang dikumpulkan, yaitu data
karyawan dan data konsumen. Data tersebut, yaitu:

Jenis data yang dikumpulkan oleh sektor industri

Nama, alamat, kartu identitas (KK/KTP/ijazah), kontak

pribadi (Nomor ponsel, e-mail), data keuangan/
perpajakan, riwayat pekerjaan, dan riwayat kesehatan

1.2 Pengumpulan Data

Survei Persepsi dan Kesiapan Industri terhadap Implementasi Pelindungan Data

Pribadi dilaksanakan pada 26 Juli-13 Agustus 2021. Metode yang digunakan yaitu
telesurvei. Responden dipilih dengan cara purposive sampling (metode penentuan
sampel data dengan kriteria tertentu). Dalam riset ini kriterianya adalah sebagai
berikut:

1. Pemilik (owner)/top level manajemen/pengelola/penanggung jawab

operasional/manajer perusahaan digital.
2. Skala usaha kecil-menengah dan besar.
3. Mempunyai/meminta/mengumpulkan data pribadi konsumen.
 BAB 1
6
PENDAHULUAN

Pertanyaan dalam kuesioner meliputi:

1. Manajemen pelindungan data pribadi.
2. Pengetahuan pelaku usaha tentang pelindungan data pribadi.
3. Kesiapan dan kebutuhan dalam implementasi pelindungan data pribadi.

1.3 Pengolahan dan Analisis Data

Data yang akan dianalisis terlebih dahulu diolah. Tahap pengolahan ini meliputi
editing, coding, dan tabulasi.

Editing
Editing adalah pemeriksaan atau penelitian kembali data yang telah dikumpulkan
untuk mengetahui dan menilai kesesuaian dan relevansi data yang dikumpulkan
untuk bisa diproses lebih lanjut. Hal yang perlu diperhatikan dalam editing ini adalah
kelengkapan pengisian jawaban, kesesuaian jawaban, dan relevansi jawaban.

Coding
Coding atau pemberian kode adalah pengklasifikasian jawaban yang diberikan
responden sesuai dengan temanya. Dalam tahap coding biasanya dilakukan
pemberian skor dan simbol pada jawaban responden agar mempermudah
pengolahan data.

Tabulasi
Tabulasi merupakan langkah setelah pemeriksaan dan pemberian kode. Dalam
tahap ini, data disusun dalam bentuk tabel agar mempermudah analisis data sesuai
tujuan penelitian. Tabel yang digunakan dalam penelitian ini adalah tabel frekuensi,
yang dinyatakan dalam persen.

Analisis data yang digunakan dalam penelitian ini adalah deskriptif kuantitatif.
Analisis kuantitatif merupakan penyajian hasil pengolahan data dalam bentuk angka.
Data yang sudah berupa tabel frekuensi dianalisis secara deskriptif, yaitu dengan
melalui pemaparan narasi yang representatif dengan data hasil olahan sehingga
lebih mudah dipahami.

Untuk memperkuat analisis data yang didapat, dilakukan Focus Group Discussion
(FGD). Narasumber yang terlibat perwakilan dari berbagai instansi pemerintah,
swasta, LSM dan akademisi.

1.4 Keterbatasan Penelitian

Sampel data tidak sepenuhnya mewakili populasi perusahaan di Indonesia,

tetapi setidaknya dapat menggambarkan persepsi pelindungan data pribadi yang
ada di perusahaan.
 BAB 1
7
PENDAHULUAN

1.5 Profil Responden

Survei Persepsi dan Kesiapan Industri terhadap Implementasi Pelindungan

Data Pribadi ini dilakukan di 14 provinsi dengan melibatkan 135 pelaku usaha digital.

Tabel 1.1 Sebaran responden

Jumlah
No Wilayah Persentase
responden
1 Aceh 2 1,5%
2 Kep. Riau 2 1,5%
3 Riau 5 3,7%
4 Sumatera Utara 3 2,2%
5 Banten 2 1,5%
6 DKI Jakarta 69 51,1%
7 Jawa Barat 16 11,9%
8 Jawa Tengah 10 7,4%
9 DI Yogyakarta 5 3,7%
10 Jawa Timur 6 4,4%
11 Bali 9 6,7%
12 Kalimantan Timur 1 0,7%
13 Kalimantan Utara 2 1,5%
14 Sulawesi Selatan 3 2,2%
Total 135 100,0%

Berdasarkan posisinya dalam perusahaan, 66,7% responden merupakan

pengelola atau manajer perusahaan. Sedangkan 33,3% adalah pemilik atau
menduduki top level manajemen.

Grafik 1.1 Profil responden berdasarkan posisi/peran

Pemilik (owner)/top
level manajemen
Pengelola/ 33,3%
penanggungjawab
operasional/manajer
66,7%
 BAB 1
8
PENDAHULUAN

Berdasarkan skala usaha, 58,5% responden menjalankan usaha menengah-

besar, dengan omzet Rp 2,5 miliar - 50 miliar per tahun.

Grafik 1.2 Profil responden berdasarkan omzet bulanan

Rp 25.000.001 - Rp 50.000.000 20,7%

Rp 50.000.001 - Rp 100.000.000 8,9%

Rp 100.000.001 - Rp 200.000.000 11,9%

Rp 200.000.001 - Rp 500.000.000 24,4%

Rp 500.000.001 - Rp 1.00.000.000 30,4%

> Rp 1.000.000.000 3,7%

Skala Usaha Menurut Omzet (UU No. 20 Tahun 2008 Pasal 6)

1. Kecil: >Rp 300 juta-2,5 M per tahun
2. Menengah: >Rp 2,5 M-50 M per tahun
Survei ini menyasar perusahaan kecil, menengah dan besar.

Grafik 1.3 Profil responden berdasarkan skala usaha

"Berapakah total nilai penjualan kotor (omzet) usaha ini dalam sebulan?" (Semua hasil
penjualan, bukan hanya untung/margin, baik hasil penjualan online maupun offline) [SA]
Basis: seluruh responden

Kecil
Menengah-besar 41,5%
58,5%
 BAB 1
9
PENDAHULUAN

Berdasarkan sektor usaha yang dijalankan responden, 17% merupakan

perdagangan, disusul kesehatan 11,9%. Sedangkan jenis produk yang dipasarkan,
11,9% merupakan jasa layanan kesehatan.

Grafik 1.4 Profil responden berdasarkan sektor usaha

"Apakah sektor usaha anda?" [SA]
Basis: seluruh responden
Sektor Usaha

Perdagangan 17,0%

Kesehatan 11,9%

Keuangan dan perbankan 9,7%

Pertambangan dan kontruksi 8,9%

Informasi, teknologi dan komunikasi 8,1%

Pendidikan 8,1%

Akomodasi dan makan minum 8,1%

Industri pengolahan 3,7%

Pariwisata 3,0%

Pertanian 2,2%

Sektor lainnya (konsultan, real estate, hiburan) 19,3%

"Apakah produk utama usaha anda?" [OPEN] 19,3%

Basis: seluruh responden
Produk

Jasa layanan kesehatan 11,9%

Travel and hospitality 10,4%

Jasa keuangan dan perbankan 8,9%

Konstruksi 8,9%

Pakaian 7,4%

Pendidikan 7,4%

Teknologi informasi dan software 6,7%

Ekspedisi 5,2%

Penyaluran tenaga kerja 4,4%

Pertanian dan peternakan 4,4%

Pertambangan dan migas 3,7%

Bengkel dan sparepart 3,0%

E-commerce 3,0%

Event organizer 3,0%

Makanan 3,0%

Asuransi 2,2%

Jasa penerjemah 2,2%

Konsultasi hukum 1,5%

Lainnya 3,0%
 BAB 2
MANAJEMEN
PELINDUNGAN
DATA PRIBADI
 BAB 2
12
MANAJEMEN PELINDUNGAN DATA PRIBADI

P
elindungan data oleh perusahaan merupakan hal krusial. Keberadaan
manajemen pelindungan data pribadi menunjukkan perusahaan berkomitmen
menjaga kerahasiaan informasi yang diperoleh dari konsumen atau rekan
usaha. Dengan demikian, kepercayaan terhadap perusahaan juga meningkat.

Penerapan manajemen sistem keamanan informasi pada perusahaan dapat

mengacu pada standar sertifikasi global yang ditetapkan oleh Organisasi Internasional
untuk Standardisasi (ISO). Survei Katadata Insight Center menunjukkan sebagian
besar perusahaan belum memiliki sertifikat manajemen sistem informasi.

Sertifikat manajemen sistem informasi lebih banyak dimiliki oleh kelompok

usaha menengah besar. Dari 79 perusahaan berskala menengah besar, 41,8% persen
memegang sertifikat. Sedangkan dari 56 perusahaan berskala kecil, hanya 14,3%
yang mempunyai sertifikat.

Dalam pengelolaan keamanan informasi, umumnya perusahaan mengadopsi

ISO 27001 tentang Sistem Manajemen Keamanan Informasi atau Information Security
Management System. Di samping itu, ada ISO 27701 tentang Manajemen Informasi
Pribadi atau Privacy Information Management.

Survei menemukan rata-rata perusahaan hanya memiliki ISO 27001 sebagai

standar pelindungan data secara umum, dan baru sebagian kecil perusahaan yang
menerapkan standar secara khusus terhadap pelindungan data pribadi.

Grafik 2.1 Kepemilikan sertifikat manajemen sistem informasi

"Apakah perusahaan anda memiliki sertifikat manajemen sistem informasi?" [SA]
Basis: seluruh responden

Memiliki sertifikat
30,4%
Tidak memiliki
sertifikat
69,6%

Grafik 2.1.1 Sertifikat yang dimiliki perusahaan

"Manakah sertifikat ISO terkait sistem manajemen informasi berikut yang perusahan
anda miliki?" [MA]
Basis: responden yang memiliki sertifikat sistem informasi

ISO 27001 tentang Sistem Manajemen Keamanan Informasi 82,9%

atau Information Security Management system

ISO 27701 tentang Manajemen Informasi Pribadi atau 34,1%

Privacy Information Management
 BAB 2
13
MANAJEMEN PELINDUNGAN DATA PRIBADI

2.1 Pengumpulan Data Pribadi Konsumen

Rata-rata pemilik usaha (74,8%) mengaku mengumpulkan hingga 1.000 data

konsumen. Sebanyak 14,1% perusahaan menyatakan data pribadi yang dikumpulkan
pada kisaran 1.001-10.000.

Dari sejumlah data konsumen tersebut, hampir seluruh perusahaan mengumpulkan

data yang bersifat umum seperti nama, alamat, dan kontak pribadi (nomor telepon
genggam/e-mail). Di samping itu, ada pula yang mengumpulkan data pribadi yang
bersifat khusus, seperti data keuangan, riwayat kesehatan, dan pekerjaan.

Grafik 2.2 Pengumpulan data konsumen

"Sejak perusahaan beroperasi, berapa perkiraan total data konsumen yang
perusahaan anda kumpulkan?" [SA]
Basis: seluruh responden

1-1.000 74,8%

1.001 - 10.000 14,1%

10.001 - 20.000 3,0%

20.001-1.000.000 3,0%

1.000.001 - 20.000.000 3,7%

>20.000.000 1,4%

Grafik 2.2.1. Jenis data pribadi konsumen

"Tadi anda menyebutkan bahwa perusahaan anda mengumpulkan data konsumen,
data apa sajakah yang diminta?" [MA]
Basis: seluruh responden
Nama 100,0%

Alamat 99,3%

Kontak pribadi (Nomor ponsel, e-mail) 97,8%

Kartu identitas (KK/KTP/Ijazah) 74,1%

Data keuangan/perpajakan 21,5%

Riwayat kesehatan 19,3%

Riwayat pekerjaan 11,9%

Pada alur pengumpulan data pribadi, perusahaan perlu mendapatkan

persetujuan konsumen. Persetujuan dapat dimintakan dengan menyertakan
ketentuan yang mudah dipahami. Sebelum mengumpulkan data, survei menunjukkan
bahwa hampir seluruh perusahaan meminta izin terlebih dahulu kepada konsumen.

Saat pengumpulan data, 73,1% perusahaan menginformasikan tujuan pengumpulan

dan penggunaan data. Sebagian besar perusahaan (64,2%) juga memberitahukan
informasi kontak perusahaan jika ada pertanyaan atau masalah terkait data konsumen.
 BAB 2
14
MANAJEMEN PELINDUNGAN DATA PRIBADI

Namun, hanya sebagian kecil perusahaan yang menyampaikan perihal batasan

penggunaan dan penyebaran informasi. Sosialisasi kebijakan data pribadi kepada
konsumen pun masih minim, hanya 30,6% perusahaan yang melakukannya.

Kebijakan data pribadi ini disampaikan oleh sekitar 40% perusahaan secara
lisan, yang kemungkinan merupakan bagian media layanan perusahaan kepada
konsumen. Sejumlah 37,5% perusahaan menyampaikan sosialisasi melalui Standar
Operasional Prosedur (SOP) tertulis.

Grafik 2.3 Permohonan izin pengumpulan data konsumen

"Apakah perusahaan anda meminta persetujuan terlebih dahulu kepada konsumen
anda saat mengumpulkan data pribadinya?" [SA]
Basis: seluruh responden
Tidak
1,5%

Ya
98,5%

Grafik 2.3.1 Bentuk izin/pemberitahuan

"Apa saja bentuk pemberitahuan yang disampaikan kepada konsumen yang anda
minta/kumpulkan data pribadinya?" [MA]
Basis: responden yang meminta izin pengumpulan data

Tujuan pengumpulan dan penggunaan data 73,1%

Informasi kontak perusahaan terkait data

64,2%
konsumen jika ada pertanyaan atau masalah
Informasi siapa yang akan menggunakan 38,8%
data pribadi

Informasi batasan penggunaan data pribadi 34,3%

Sosialisasi kebijakan data pribadi kepada 30,6%

konsumen

Informasi penyebaran data peribadi 22,4%

Grafik 2.3.2 Bentuk sosialisasi yang dilakukan

"Apakah bentuk sosialisasi yang perusahaan anda lakukan?" [MA]
Basis: responden yang meminta izin pengumpulan data
Menyampaikan secara lisan 39,3%

Standar Operasional Prosedur (SOP) tertulis 37,5%

Pengumuman di situs web perusahaan 23,2%

Iklan 12,5%

Pengumuman di media sosial 12,5%

Email blast 10,7%

 BAB 2
15
MANAJEMEN PELINDUNGAN DATA PRIBADI

2.2 Penyimpanan Data Pribadi Konsumen

Setelah data dikumpulkan, perusahaan harus mengikuti sistem penyimpanan

data yang ditetapkan. Berdasarkan Peraturan Menteri Kominfo Nomor 20 Tahun
2016 tentang Pelindungan Data Pribadi dalam Sistem Elektronik, data pribadi harus
disimpan dalam bentuk data terenkripsi dan dalam sistem elektronik.

Survei menunjukkan sekitar separuh perusahaan menyimpan data pribadi

dalam bentuk keduanya, digital (soft copy) dan cetak (hard copy). Di samping
itu, 41% menyimpan data pribadi hanya dalam bentuk digital, dan 7% perusahaan
menyimpan dalam bentuk cetak saja.

Dari 58% perusahaan yang menyimpan data pribadi dalam bentuk cetak,
mayoritas disimpan dalam lemari khusus dan memiliki pengaman berupa kunci. Dari
92% perusahaan yang menyimpan data pribadi dalam bentuk digital juga memiliki
pengaman.

Sebagian besar data digital disimpan dalam server fisik/komputer/offline,

dan ada 47,2% perusahaan yang menyimpan data pribadi di dalam cloud/server
eksternal. Hal ini menggambarkan bahwa kebanyakan data digital masih disimpan
secara tradisional dan belum terkoneksi ke sistem yang lebih mudah diakses.

Rata-rata perusahaan yang menyimpan data digital sudah memiliki sistem

pemulihan data, 72% di antaranya mengelola sendiri dan 22,4% perusahaan
menggunakan jasa pihak ketiga.

Grafik 2.4 Penyimpanan data konsumen

"Bagaimana cara penyimpanan data tersebut?" [SA]
Basis: seluruh responden
Cetak/
Hard copy
7,4%

Keduanya Digital/
51,1% Soft copy
41,5%

Grafik 2.4.1 Grafik 2.4.2

Tempat penyimpanan data hard copy Tempat penyimpanan data soft copy
Basis: responden yang menyimpan data Basis: responden yang menyimpan data
hard copy soft copy

Lemari khusus 83,5% Server fisik/komputer/offline 76,8%

Disimpan bersama file lain 19,0% Cloud/server eksternal 47,2%

CD/flashdisk/harddisk 23,2%
 BAB 2
16
MANAJEMEN PELINDUNGAN DATA PRIBADI

Idealnya jumlah pihak yang dapat mengakses informasi data pribadi terbatas,
pada survei tersebut sekitar 60% perusahaan menyatakan data hanya diakses oleh
1-3 orang saja. Selebihnya, pada 10,4% perusahaan terdapat 4 orang yang dapat
mengakses informasi dan pada 17% perusahaan terdapat 5 orang yang dapat
mengakses data.

Dalam menyimpan dan mengelola data, perusahaan membatasi akses kepada

divisi atau karyawan tertentu. Mayoritas perusahaan menyatakan bahwa divisi/
bagian terkait pengumpul data dapat mengakses informasi personal konsumen.
Selain itu, 21,5% perusahaan mengatur manajemen level C-nya dapat mengakses
data pribadi konsumen.

Grafik 2.5 Aksesibilitas data konsumen

"Siapa saja yang dapat mengakses data pribadi yang dikumpulkan tersebut?" [MA]
Basis: seluruh responden
Unit/divisi/bagian pengumpulan data 80,7%

Seluruh manajer/C Level manajemen ke atas 21,5%

Seluruh staf bagian perusahaan 1,5%

Pihak ketiga yang mengelola data 1,5%

Unit bisnis/anak/cucu perusahaan 0,7%

Mitra bisnis 0,7%

Kebanyakan perusahaan menggunakan data pribadi konsumennya untuk

kebutuhan inventarisasi data. Sebagian besar perusahaan juga menggunakan untuk
peningkatan layanan dan promosi produk. Namun, 4,4% perusahaan menyebutkan
pernah membagikan data pribadi konsumen kepada pihak lain untuk kepentingan
bisnis.

Grafik 2.6 Tujuan penggunaan data pribadi konsumen

"Digunakan untuk apa sajakah data konsumen yang dikumpulkan tersebut?" [MA]
Basis: seluruh responden

Disimpan untuk inventarisasi data 77,0%

Digunakan untuk peningkatan pelayanan kepada konsumen 58,5%

Digunakan sendiri untuk menginformasikan promosi produk 51,9%

Digunakan untuk riset konsumen 6,7%

Diberikan kepada pihak lain (di luar perusahaan) untuk kepentingan bisnis 4,4%
 BAB 2
17
MANAJEMEN PELINDUNGAN DATA PRIBADI

2.3 Kebijakan Perusahaan dalam Pengumpulan Data Pribadi Konsumen

Perusahaan wajib menyediakan informasi mengenai kebijakannya dalam

pengumpulan dan penggunaan data pribadi.

Survei Katadata Insight Center menunjukkan jika konsumen/calon konsumen

tidak bersedia memberikan data, separuh dari perusahaan memutuskan konsumen/
calon konsumen tersebut tidak dapat mengakses layanan. Di lain sisi, terdapat 23,7%
perusahaan yang memiliki kebijakan untuk memberikan akses sebagian layanan, dan
25,9% perusahaan tetap memberikan akses layanan sepenuhnya.

Pengaturan tersebut dapat berkaitan dengan jenis layanan dan bentuk interaksi
yang dibutuhkan antara perusahaan dan konsumen. Perusahaan dengan kebijakan
menutup seluruh akses layanan kebanyakan berasal dari sektor keuangan, perbankan,
dan kesehatan.

Grafik 2.7 Kebijakan perusahaan terhadap data konsumen

"Bagaimana kebijakan perusahaan anda, jika konsumen atau calon konsumen tidak
bersedia memberikan data yang diminta?" [SA]
Basis: seluruh responden

Hanya dapat
mengakses
sebagian layanan
Tidak dapat 23,7%
mengakses
layanan
50,4% Tetap dapat
mengakses
seluruh layanan
25,9%

Pelindungan konsumen selayaknya menjadi prioritas perusahaan. Hasil survei

mengungkapkan bahwa mayoritas perusahaan mengaku telah memiliki kebijakan
privasi/privacy policy. Keseluruhan perusahaan berskala menengah-besar sudah
memiliki aturan tersebut, sementara 12,5% perusahaan berskala kecil tidak memiliki
kebijakan privasi.
 BAB 2
18
MANAJEMEN PELINDUNGAN DATA PRIBADI

Grafik 2.8 Kebijakan privasi perusahaan

"Apakah perusahaan anda mempunyai kebijakan privasi (privacy policy)?" [SA]
Basis: seluruh responden

Tidak
Ya 5,2%
94,8%

Tidak
12,5%
Usaha Ya
Usaha 100%
Ya Menengah -
87,5% Kecil
Besar

Pelindungan yang diterapkan oleh perusahaan juga mencakup mekanisme

penghapusan atau pemusnahan data. Ketentuan jangka waktu penyimpanan data
pribadi secara umum termuat pada kebijakan privasi masing-masing perusahaan. Dalam
survei ini, 63% perusahaan memiliki kebijakan pemusnahan data/retensi. Adapun masa
retensi yang paling banyak dipilih perusahaan adalah lima dan sepuluh tahun.

Grafik 2.9. Kebijakan pemusnahan data (retensi)

Grafik 2.9.1 Durasi retensi
"Apakah perusahaan anda memiliki kebijakan
terkait pemusnahan data karyawan/konsumen "Setiap berapa tahun data karyawan/
(retensi)?" [SA] konsumen tersebut dihapus?" [SA]
Basis: seluruh responden Basis: responden yang memiliki kebijakan retensi

1 tahun 7,1%

Tidak 2 tahun 5,9%

37,0%
Ya
63,0% 3 tahun 17,6%

5 tahun 35,3%

10 tahun 34,1%
 BAB 2
19
MANAJEMEN PELINDUNGAN DATA PRIBADI

Pada umumnya, perusahaan berupaya melindungi keamanan data konsumen

agar terhindar dari berbagai penyalahgunaan. Sebagian besar perusahaan telah
membuat Standar Operasional Prosedur (SOP) keamanan dan daftar kontrol akses
dalam upaya melindungi data pribadi konsumennya.

Sebanyak 34,8% perusahaan juga melakukan tinjauan berkala dari daftar

kontrol akses, namun masih sedikit perusahaan yang melakukan enkripsi berbasis
file. Dibandingkan perusahaan kecil, kelompok usaha berskala menengah besar
cenderung lebih banyak yang menerapkan upaya-upaya tersebut.

Grafik 2.10 Upaya melindungi data pribadi

"Apa saja yang dilakukan perusahaan untuk melindungi data pribadi tersebut?" [MA]
Basis: seluruh responden

Total Usaha Kecil Usaha Menengah - Besar

Membuat SOP 72,6% 58,9% 82,3%

Adanya daftar kontrol akses 51,1% 41,1% 58,2%

Tinjauan berkala dari daftar kontrol akses 34,8% 28,6% 39,2%

Mengamankan e-mail 31,9% 26,8% 35,4%

Enkripsi berbasis file 17,8% 8,9% 24,1%

Transfer jalur khusus yang aman 17,0% 14,3% 19,0%

Virtual Private Network 12,6% 14,3% 11,4%

Sebagai langkah meningkatkan pelindungan data konsumen, keberadaan Data

Protection Officer (DPO) atau Petugas Pelindungan Data menjadi bagian yang
penting. Hanya 23,7% perusahaan yang secara khusus menunjuk DPO. Lebih dari
separuh perusahaan (57,0%) tidak memiliki DPO. Fungsi DPO masih menjadi bagian
dari divisi Teknologi Informasi. Selain itu, 19,3% perusahaan, yang kebanyakan
berskala kecil, tidak memiliki fungsi DPO di dalamnya.

Grafik 2.11 Data Protection Officer

"Apakah perusahaan anda saat ini memiliki karyawan yang bertugas mengelola data
pribadi (Data Protection Officer)?" [SA]
Basis: seluruh responden

Belum punya
19,3%
Ya, satu fungsi
Ya, khusus dengan divisi
bertugas sebagai Teknologi Informasi
Data Protection 57,0%
Officer
23,7%
 BAB 3
PERSEPSI DAN
KESIAPAN
INDUSTRI
TERHADAP
PELINDUNGAN
DATA PRIBADI
 BAB 3
22
PERSEPSI DAN KESIAPAN INDUSTRI TERHADAP PELINDUNGAN DATA PRIBADI

S
ecara umum, penilaian responden terhadap sistem pelindungan data pribadi di
Indonesia saat ini cukup baik dengan skor 6,74 dari skala 10. Berdasarkan skala
usahanya, perusahaan menengah-besar cenderung memberikan penilaian
lebih tinggi dibandingkan perusahaan kecil.

3.1 Pengetahuan tentang Pelindungan Data Pribadi (PDP)

Menurut survei, perusahaan (79,2%) sudah mengetahui tentang pelindungan

data pribadi secara umum. Hal ini juga ditunjukkan oleh skor tingkat pengetahuan yang
mencapai 2,94 dari skala 4. Namun, ihwal Rancangan Undang-Undang Pelindungan
Data Pribadi (RUU PDP), hanya 31,8% perusahaan yang mengetahui (skor 2,15). Hal ini
menunjukkan sosialisasi RUU perlu dilakukan ke perusahaan di Indonesia, mengingat
kurang dari separuh responden yang mengetahui.

Grafik 3.1 Pengetahuan tentang PDP

"Bagaimana tingkat pengetahuan anda tentang pelindungan data pribadi?". Mohon
menjawab 1= Sangat tidak mengetahui, hingga 4= Sangat mengetahui [SA]
MEAN SKOR
Basis: seluruh responden
(SKALA 1-4)

Pengetahuan tentang Pelindungan Data Pribadi 2,3% 18,5% 62,2% 17,0% 2,94

Sangat tidak mengetahui Sangat mengetahui

"Bagaimana tingkat pengetahuan anda tentang RUU Pelindungan Data Pribadi?".

Mohon menjawab 1= Sangat tidak mengetahui, hingga 4= Sangat mengetahui [SA]
Basis: seluruh responden
Pengetahuan tentang RUU PDP 21,6% 46,7% 27,4% 4,3% 2,15

Sangat tidak mengetahui Sangat mengetahui

Kebanyakan responden mengetahui informasi tentang RUU PDP dari media

daring (44,2%) dan media sosial (34,9%). Responden juga mendapat informasi dari
mulut ke mulut dari atasan atau rekan kerja (32,6%).

Terkait pelindungan data pribadi, Kementerian Komunikasi dan Informatika

telah menerbitkan Peraturan Menteri Kominfo Nomor 5 Tahun 2020 tentang
Penyelenggara Sistem Elektronik (PSE) Lingkup Privat untuk melindungi negara dan
masyarakat dari ancaman di ranah digital.

Peraturan tersebut, antara lain, mewajibkan perusahaan digital untuk memberi akses
data pribadi kepada lembaga penegak hukum untuk pengawasan dan penyelidikan.
Sebanyak 40,7% perusahaan telah mengetahui aturan tersebut (skor 2,35). Untuk
penerapannya, 80,7% perusahaan bersedia memenuhi ketentuan tersebut.
 BAB 3
PERSEPSI DAN KESIAPAN INDUSTRI TERHADAP PELINDUNGAN DATA PRIBADI 23

Grafik 3.2 Penyelenggara Sistem Elektronik (PSE) Lingkup Privat

"Bagaimana tingkat pengetahuan anda tentang Penyelenggara Sistem Elektronik
(PSE) Lingkup Privat yang di dalamnya memuat aturan bahwa perusahaan digital wajib
memberikan akses data pribadi kepada pemerintah dan aparat penegak hukum untuk
kepentingan pengawasan dan penyelidikan?" [SA]
Basis: seluruh responden MEAN SKOR
(SKALA 1-4)
Pengetahuan tentang Penyelenggara Sistem 47,4%
11,9% 34,8% 5,9% 2,35
Elektronik (PSE) Lingkup Privat

Sangat tidak mengetahui Sangat mengetahui

"Sebagai pelaku usaha digital yang mengumpulkan data pribadi konsumen, apakah
perusahaan anda bersedia untuk memberikan data pribadi konsumen kepada pemerintah
dalam rangka pengawasan dan penyelidikan?" [SA]
Basis: seluruh responden "
Kebersediaan memberikan data untuk
3,06
kepentingan pengawasan dan penyelidikan 7,4% 11,9% 48,1% 32,6%

Sangat tidak bersedia Sangat bersedia

3.2 Persepsi dan Harapan terhadap UU PDP

Kalangan industri menilai kehadiran UU PDP tidak akan menghambat bisnis,

dan akan menjadi pertimbangan penting bagi konsumen. Mereka juga berharap UU
PDP mudah diaplikasikan. Tentu saja pelaku usaha membutuhkan nasihat ahli untuk
penerapan UU tersebut.

Grafik 3.3 Persepsi dan harapan terhadap UU PDP

"Bagaimana tingkat kesetujuan Bapak/Ibu terhadap pernyataan-pernyataan

berikut?" Mohon menjawab 1= Sangat tidak setuju, hingga 4=Sangat setuju [SA]
MEAN SKOR
Basis: seluruh responden
(SKALA 1-4)

UU PDP tidak akan

0,8% 2,2% 38,5% 58,5% 3,55
menghambat bisnis

UU PDP akan menjadi pertimbangan 45,9%

0,0% 6,7% 47,4% 3,39
penting bagi konsumen

UU PDP diharapkan mudah dijalankan/ 1,4% 8,9% 43,0% 46,7% 3,35

diaplikasikan di perusahaan

Pelaku usaha akan membutuhkan 0,7% 8,9% 70,4% 20,0% 3,10

nasihat ahli untuk menerapkan UU PDP

Sangat tidak setuju Sangat setuju

 BAB 3
24
PERSEPSI DAN KESIAPAN INDUSTRI TERHADAP PELINDUNGAN DATA PRIBADI

Jika RUU PDP disahkan, sebagian besar responden akan membuat aturan
turunan yang akan diberlakukan di perusahaan mereka. Aturan turunan yang paling
banyak dipilih responden yaitu SOP (75,6%). Selain itu responden akan membuat
peraturan perusahaan, internal memo, dan pedoman.

Grafik 3.4 Aturan turunan yang akan dibuat oleh perusahaan

"Jika UU PDP telah disahkan, apa bentuk aturan turunan yang akan
dibuat oleh perusahaan anda?" [MA]
Basis: seluruh responden

Standar Operasional Prosedur (SOP) 75,6%

Peraturan perusahaan 48,1%

Internal memo 45,9%

Pedoman 40,7%

Menurut pandangan perusahaan, setelah UU PDP diberlakukan akan ada

beberapa kendala yang perlu diantisipasi. Kendala yang paling banyak diungkapkan
adalah terkait pemahaman PDP dan aturan di dalamnya (47,8%) dan belum adanya
sertifikasi terkait pengelolaan PDP (26,1%).

Selain itu, perusahaan kecil khawatir akan mengalami kendala terkait PDP karena
teknologi yang mereka miliki belum mumpuni. Adapun perusahaan menengah-besar
akan terkendala karena belum memiliki sumber daya manusia yang kompeten untuk
mengelola PDP.

Meskipun suatu perusahaan sudah memiliki standar manajemen sistem

informasi, perusahaan tetap membutuhkan penguatan sumber daya manusia dalam
penerapan UU PDP.

Grafik 3.5 Kendala utama dalam penerapan UU PDP

"Apakah kendala utama yang anda bayangkan akan dihadapi perusahaan, ketika
akan menerapkan UU Pelindungan Data Pribadi?" [SA]
Basis: seluruh responden

Usaha Menengah
Total Usaha Kecil - Besar
Belum mengerti PDP dan aturan-aturan yang ada di dalamnya 47,8% 48,2% 46,8%

Belum memiliki sertifikat terkait pengelolaan PDP 26,1% 25,0% 26,6%

Belum memiliki teknologi untuk mengelola PDP 10,4% 16,1% 6,3%

Belum memiliki SDM yang kompeten untuk mengelola PDP 9,7% 3,6% 13,9%

Infrastruktur teknologi kurang memadai 2,2% 1,8% 2,5%

Lainnya 3,7% 5,4% 3,8%

 BAB 3
PERSEPSI DAN KESIAPAN INDUSTRI TERHADAP PELINDUNGAN DATA PRIBADI 25

Perusahaan tentu berharap mendapat bantuan untuk menghadapi kendala-

kendala tersebut. Bantuan yang paling banyak dibutuhkan adalah adanya masa
sosialisasi sebelum UU PDP diterapkan (57,8%). Berdasarkan skala usahanya,
perusahaan menengah-besar lebih banyak berharap pelibatan kalangan industri
dalam penyusunan RUU PDP.

Di sisi lain, bantuan dari pihak-pihak lain tidak terlalu dianggap urgen dalam
penerapan UU PDP. Survei menunjukkan, bantuan-bantuan tersebut adalah bantuan
sistem teknologi informasi, nasihat hukum, dan nasihat non-hukum. Ketiganya
mendapat persentase terendah dalam jenis bantuan yang diharapkan responden.

Grafik 3.6 Bantuan yang diharapkan perusahaan

"Apa saja bantuan yang dibutuhkan untuk mempermudah penerapan UU
Pelindungan Data Pribadi di perusahaan anda?" [MA]
Basis: seluruh responden
Usaha Menengah
Total Usaha Kecil - Besar
Pemberlakuan masa sosialisasi
sebelum benar-benar diterapkan 57,8% 57,1% 58,2%

Adanya peraturan turunan yang

menjelaskan lebih detail tentang PDP 48,1% 51,8% 45,6%

Pelibatan industri dalam penyusunan

45,9% 35,7% 53,2%
RUU dan turunannya

Bantuan sistem keamanan 34,1% 32,1% 35,4%

Bantuan sistem teknologi informasi 25,2% 32,1% 20,3%

Bantuan nasihat hukum 23,0% 17,9% 26,6%

Bantuan nasihat non-hukum 14,1% 19,6% 10,1%

Terkait sosialisasi, media yang paling diharapkan industri berbeda berdasarkan

skala usahanya. Perusahaan kecil lebih mengharapkan media sosialisasi berupa
layanan konsultasi daring (51,8%) untuk membantu memahami UU PDP. Sedangkan
perusahaan menengah-besar lebih mengharapkan pelatihan secara berkala (55,7%).

Jika RUU PDP disahkan, mayoritas responden menilai perlu ada lembaga yang
mengatur dan mengawasi penerapan UU tersebut. Responden berharap lembaga
tersebut melakukan pengawasan, menerima pengaduan, pelaporan, dan pembinaan.
 BAB 3
26
PERSEPSI DAN KESIAPAN INDUSTRI TERHADAP PELINDUNGAN DATA PRIBADI

Grafik 3.7 Lembaga yang mengatur UU PDP

"Menurut anda apakah perlu adanya institusi/lembaga yang mengatur dan
mengawasi penerapan UU Pelindungan Data Pribadi ?" [SA]
Basis: seluruh responden

Tidak
11,9%

Ya
88,1%

Grafik 3.7.1 Harapan terhadap lembaga yang mengatur UU PDP

"Jika ada institusi/lembaga yang ditujukan untuk mengatur dan mengawasi
penerapan UU PDP, apa harapan anda terhadap hadirnya lembaga tersebut?" [MA]
Basis: seluruh responden

Bisa melakukan pengawasan

74,8%
penerapan UU PDP

Bisa melakukan pengaduan dan

pelaporan terkait permasalahan 70,4%
data pribadi
Bisa melakukan pembinaan terkait
63,0%
pelindungan data pribadi

Dapat menjadi mediator 0,7%

Kehadiran UU PDP tentu diharapkan memberikan manfaat bagi industri.

Hampir seluruh responden setuju dan berharap UU PDP meningkatkan kepercayaan
konsumen terhadap transaksi digital. Selain itu UU PDP diharapkan meningkatkan
citra Indonesia sebagai negara yang aman dalam bertransaksi digital.

Grafik 3.8 Persepsi terhadap manfaat UU PDP

"Bagaimana tingkat kesetujuan Bapak/Ibu terhadap pernyataan-pernyataan
berikut?" Mohon menjawab 1=Sangat tidak setuju, hingga 4=Sangat setuju. [SA]
MEAN SKOR
Basis: seluruh responden (SKALA 1-4)

UU PDP diharapkan dapat meningkatkan

2,2% 31,9% 65,9% 3,64
kepercayaan konsumen terhadap transaksi digital
UU PDP diharapkan dapat meningkatkan citra
baik Indonesia sebagai negara yang aman dalam 2,2% 34,1% 63,7% 3,61
bertransaksi digital

UU PDP diharapkan dapat bermanfaat bagi 1,5% 38,5% 60,0% 3,59

konsumen

UU PDP diharapkan dapat meningkatkan sistem

3,0% 45,1% 51,9% 3,49
kelola perusahaan

Sangat tidak setuju Sangat setuju

 BAB 3
PERSEPSI DAN KESIAPAN INDUSTRI TERHADAP PELINDUNGAN DATA PRIBADI 27

3.3 Harapan terhadap Sistem PDP

Kalangan industri berharap upaya pelindungan data pribadi di Tanah Air memiliki
sistem proteksi yang baik sehingga dapat mencegah kebocoran data pribadi (81,5%).
Selain itu mereka UU PDP mudah diaplikasikan dan memberikan rasa aman bagi para
pengguna.

Berikut harapan para pelaku usaha terhadap UU PDP:

“Pemerintah memenuhi ekspektasi kami, perusahaan atau segala institusi

yang mengelola data pribadi memiliki awareness dan upaya yang cukup dalam
mengelola data pribadi. Media dapat memfasilitasi masyarakat dengan berita-berita
atau informasi-informasi yang ringan tapi mengena, sedapat mungkin mengemas
isu dengan positif; kabar baik lebih diprioritaskan. Jika ada isu kabar buruk seperti
kebocoran data, media fokus mengedukasi hal-hal seperti penyebab utama
kebocoran, upaya mitigasi yang bisa dilakukan serta merta dan langkah-langkah
yang sudah diambil oleh institusi yang mengalami kebocoran”

—(CEO, Perusahaan IT)

“Adanya pelindungan data pribadi diharapkan dapat memberikan kenyamanan

pada konsumen karena data mereka terlindungi.”

—(Manajer, Perusahaan Asuransi)

“Harapannya sosialisasi lebih bagus ke pelaku industri tentang RUU Data

Pribadi dan ada pendampingan sebelum RUU disahkan.”

—(Owner, Jasa Layanan Kesehatan)

“Harapannya Undang-Undang & sistem Pelindungan Data Pribadi tidak

menghambat dan merugikan perusahaan.”

—(Pengusaha Travel)
 / <
>
 BAB 4
PENUTUP
 BAB 4
30
PENUTUP

4.1 Kesimpulan

Berdasarkan uraian di atas, berikut sejumlah kesimpulan yang dapat diambil

dari survei terhadap kalangan industri mengenai pelindungan data pribadi.

1. Manajemen pelaku usaha digital telah menerapkan pelindungan data

konsumen yang dimiliki. Terdapat 30,4% perusahaan yang telah memiliki
sertifikat manajemen informasi tetapi 69,9% perusahaan belum memiliki
sertifikat, terutama perusahaan dengan skala usaha kecil.

2. Kesadaran pelaku usaha terhadap pelindungan data pribadi ditunjukkan

dengan membuat SOP (72,6%) dan daftar kontrol akses (51,1%). Selain itu,
63,0% pelaku usaha digital juga menerapkan kebijakan pemusnahan data
(retensi).

3. Perusahaan mengharapkan UU PDP mampu meningkatkan kepercayaan

konsumen dan citra baik Indonesia dalam bertransaksi digital. Dalam
pelaksanaan undang-undang tersebut, perusahaan membutuhkan waktu
untuk sosialisasi (57,8%) dan aturan turunannya (48,1%).

4.2 Temuan

Berikut sejumlah temuan yang dapat diambil dari survei terhadap kalangan
industri mengenai pelindungan data pribadi.

• Mayoritas pelaku usaha berbasis digital yang dirangkum dalam survei ini
mengumpulkan kurang dari 20.000 data konsumen. Adapun data pribadi
konsumen yang dikumpulkan paling banyak merupakan data yang bersifat
umum seperti nama, alamat, kontak pribadi, dan kartu identitas. Sementara
data pribadi karyawan ragamnya lebih banyak, selain data umum tadi juga
data yang bersifat khusus seperti riwayat pekerjaan, riwayat kesehatan, dan
data keuangan.

• Hampir seluruh perusahaan meminta izin terlebih dahulu sebelum

meminta/mengumpulkan data pribadi, terbanyak berupa pemberitahuan
tujuan pengumpulan data dan informasi kontak perusahaan. Sementara
informasi batasan penggunaan dan penyebaran data baru sedikit dilakukan
pelaku usaha.

• Hampir seluruh responden telah menyimpan data pribadi dalam bentuk

digital, sebagian besar disimpan dalam server fisik/komputer/luring, dan
seluruhnya telah memiliki pengaman.

• Divisi atau bagian pengumpul data merupakan penanggung jawab dan

dapat mengakses data pribadi, namun ada 21% responden yang seluruh
C-Level manajemennya dapat mengakses data pribadi konsumen.
 BAB 4
31
PENUTUP

• Mayoritas responden menggunakan data pribadi konsumennya untuk

inventarisasi data, dan sebagian juga menggunakannya untuk peningkatan
layanan konsumen serta kepentingan promosi internal. Data pribadi yang
diberikan kepada pihak lain untuk kepentingan bisnis, hanya disebutkan
oleh kurang dari 5% responden.

• Umumnya perusahaan memiliki kebijakan untuk tidak bisa mengakses

layanan jika konsumen/calon konsumen tidak bersedia memberikan data,
karena data pribadi tersebut menyangkut persyaratan mengikat yang wajib
dipenuhi. Lalu 94% responden telah memiliki kebijakan privasi, sementara
kebijakan retensi baru dimiliki 63% pelaku usaha.

• Sebagian besar responden telah membuat Standar Operasional Prosedur (SOP)

dan daftar kontrol akses dalam upaya melindungi data pribadi konsumennya.
Namun terkait sertifikat manajemen sistem informasi, baru 35% responden
pelaku usaha yang memilikinya, dan yang terbanyak ISO 27001.

• Lebih separuh responden masih menjadikan fungsi Data Protection Officer

(DPO) sebagai bagian dari divisi Teknologi Informasi. Ada 23% responden
yang telah memiliki fungsi DPO secara khusus, sementara 19% lainnya belum
memiliki fungsi DPO sama sekali

• Umumnya responden sudah mengetahui pelindungan data pribadi

secara umum, tetapi berkaitan dengan RUU PDP baru diketahui oleh 31%
responden. Namun persepsi responden pada UU PDP tergolong baik dan
positif, UU PDP dipersepsikan oleh 97% responden tidak akan menghambat
bisnis.

• Kendala yang paling banyak disebutkan, antara lain pemahaman PDP dan
aturan di dalamnya serta belum adanya sertifikasi terkait pengelolaan PDP.
Sementara faktor kesiapan teknologi dan SDM relatif tidak dipermasalahkan
oleh pelaku usaha. Dengan demikian, bantuan yang paling banyak
diharapkan adalah berupa pemberlakuan masa sosialisasi terlebih dahulu
dan adanya aturan turunan yang menjelaskan lebih detail mengenai UU
PDP.

• Pelatihan dan layanan konsultasi daring merupakan media sosialisasi yang

paling banyak diinginkan pelaku usaha.
 BAB VII
32
PENUTUP
 BAB 4
33
PENUTUP

4.3 Rekomendasi

Dari temuan tersebut, berikut sejumlah langkah yang dapat dilakukan untuk
meningkatkan upaya pelindungan data pribadi di kalangan pelaku usaha.

1. Terus meningkatkan kesadaran perusahaan tentang pentingnya menjaga

keamanan data pribadi konsumen. Perusahaan perlu memiliki sistem yang
senantiasa memprioritaskan keamanan data konsumen, disertai dengan
penguatan kapasitas sumber daya manusia.

2. Memfasilitasi forum-forum yang melibatkan kalangan industri terutama

perusahaan digital untuk mendiskusikan sekaligus memandu cara
pengelolaan data serta penyusunan perangkat aturan dalam perusahaan
dan mengatur pengamanan data.

3. Menyediakan panduan-panduan dasar termasuk rujukan SOP maupun

pengaturan struktur internal untuk pelindungan data pribadi dalam
perusahaan untuk mendorong dan memberikan kemudahan bagi industri
turut serta dalam upaya ini.

4. Menggencarkan sosialisasi RUU Pelindungan Data Pribadi agar perusahaan

yang mengumpulkan data pribadi siap mengimplementasikan UU tersebut.
Media daring dan sosial dapat menjadi pilihan kanal sosialisasi yang relevan
karena relatif banyak responden menggunakan keduanya sebagai sumber
informasi.

5. Apabila RUU Pelindungan Data Pribadi disahkan, perlu ada pendampingan

terhadap pelaku usaha untuk memahami dan melaksanakan peraturan
tersebut. Di samping itu, perlu diberlakukan pula masa sosialisasi dan
keterlibatan kalangan industri dalam penyusunan aturan turunannya.
Dengan demikian, implementasi UU PDP dapat berjalan lancar dan dapat
diantisipasi oleh seluruh pemangku kepentingan.