Di balik denda 10% dari omset: pengawasan data telah memasuki tingkat dewan direksi

Tanya AI · Bagaimana Perpindahan Tanggung Jawab Dewan Direksi Membentuk Ulang Rantai Pengambilan Keputusan Perlindungan Data?

10 Maret 2026, Korea Selatan melakukan revisi baru terhadap Undang-Undang Perlindungan Informasi Pribadi.

Revisi ini bukan sekadar penyesuaian sistematis yang terisolasi, melainkan terjadi dalam konteks yang sangat spesifik—beberapa tahun terakhir, Korea Selatan terus mengalami insiden kebocoran data berskala besar, melibatkan berbagai industri seperti keuangan, telekomunikasi, e-commerce, dan lain-lain, serta penegakan regulasi yang semakin ketat. Di bawah tekanan realitas ini, sistem yang sebelumnya berorientasi pada kepatuhan sudah semakin sulit memenuhi ekspektasi pengawasan.

Dalam konteks ini, terdapat perubahan yang sangat menarik dari revisi kali ini: bukan sekadar memperkuat pengawasan dengan “menambah kewajiban”, tetapi mulai mengatur masalah yang lebih mendasar—bagaimana perusahaan memperlakukan risiko data.

Di satu sisi, aturan dipindahkan ke depan. Dengan memperkenalkan mekanisme kewajiban pemberitahuan saat mencapai standar risiko yang ditetapkan secara hukum, kepatuhan tidak lagi dimulai dari “kejadian telah terjadi”, melainkan dipercepat ke tahap identifikasi risiko; di sisi lain, tanggung jawab juga dipindahkan ke atas. Dengan memperkuat tanggung jawab pejabat perusahaan, memperkenalkan mekanisme denda hingga 10% dari pendapatan terkait, dan memasukkan penanggung jawab perlindungan informasi pribadi ke dalam sistem pengambilan keputusan dan pelaporan di tingkat dewan direksi, perlindungan data secara resmi dimasukkan ke dalam kerangka tata kelola perusahaan.

Jika mengamati perubahan sistem ini bersama dengan serangkaian kasus penegakan hukum yang terjadi belakangan, akan terlihat sebuah pergeseran yang lebih penting daripada sekadar pengawasan yang semakin ketat: inti perhatian pengawasan mulai bergeser dari “apakah perusahaan sudah patuh” ke “apakah ada orang di dalam perusahaan yang mampu menilai risiko data dan bertanggung jawab atas konsekuensinya”.

Sebelum dan sesudah revisi, Korea Selatan terus mengalami sejumlah insiden kebocoran data yang representatif. Ada lembaga keuangan yang menulis nomor identitas warga secara terbuka dalam log sistem, sehingga jutaan data pengguna bocor; ada merek yang diretas karena kontrol akses dan mekanisme otentikasi yang lemah, sehingga data pelanggan langsung diambil oleh pelaku serangan; serta perusahaan platform yang karena kekurangan langkah keamanan dasar, menyebabkan kebocoran data yang lebih luas.

Insiden-insiden ini secara permukaan memiliki satu label umum—“diserang”. Tapi jika mengikuti logika peninjauan pengawasan, masalahnya bukan terletak pada serangan itu sendiri.

Masalah sebenarnya adalah—perusahaan kurang memiliki kemampuan penilaian risiko yang paling dasar di bagian-bagian penting. Data mana yang membutuhkan perlindungan tingkat tinggi, di bagian mana dari sistem terdapat kerentanan struktural, dan apakah perilaku abnormal dapat dikenali secara cepat—pertanyaan-pertanyaan ini seharusnya terus-menerus diproses dalam operasi harian, tetapi dalam banyak kasus, justru tidak dilakukan.

Oleh karena itu, yang terungkap dari kasus-kasus ini bukanlah satu insiden keamanan tunggal, melainkan kegagalan sistemik dalam pengenalan risiko, pengendalian internal, dan mekanisme respons perusahaan.

Dari sisi desain sistem, perubahan paling langsung adalah pemindahan kewajiban pemberitahuan ke depan.

Di sebagian besar yurisdiksi, logika dasar kepatuhan data masih berputar di sekitar kejadian setelah terjadi. Setelah kebocoran terkonfirmasi, perusahaan harus melaporkan ke regulator dan pengguna dalam waktu yang ditentukan. Ini adalah mekanisme respons pasca kejadian yang khas.

Revisi Korea kali ini secara sengaja mematahkan urutan waktu tersebut.

Berdasarkan Pasal 34 yang direvisi, dalam kondisi tertentu, bahkan sebelum kebocoran terkonfirmasi, selama risiko yang memenuhi standar hukum sudah ada, perusahaan harus memulai kewajiban pemberitahuan. Ini berarti, perusahaan tidak bisa lagi menunda keputusan dengan alasan “belum terjadi”, melainkan harus membuat penilaian dalam keadaan tidak pasti.

Selain itu, pemberitahuan sendiri tidak lagi sekadar menginformasikan apa yang terjadi. Perusahaan juga harus secara jelas menjelaskan langkah hukum yang dapat diambil pengguna, termasuk ganti rugi kerugian, ganti rugi secara hukum, dan mekanisme penyelesaian sengketa. Dengan demikian, pemberitahuan beralih dari sekadar tindakan pengungkapan informasi menjadi tindakan kepatuhan yang memiliki konsekuensi hukum.

Namun, jika hanya dipahami sebagai pemindahan kewajiban, ini masih sebatas permukaan. Yang lebih penting adalah perubahan ini memaksa perusahaan memiliki kemampuan—untuk membuat penilaian saat risiko belum sepenuhnya terwujud.

Dibandingkan dengan pemindahan kewajiban, yang lebih patut diperhatikan adalah perubahan struktur tanggung jawab.

Revisi kali ini tidak secara langsung menetapkan denda atau tanggung jawab pidana terhadap pemilik atau perwakilan perusahaan, tetapi melalui serangkaian pengaturan sistem, tanggung jawab perlindungan data secara tegas dimasukkan ke dalam struktur tata kelola perusahaan. Pengelola atau perwakilan perusahaan tidak lagi sekadar pernyataan abstrak sebagai penanggung jawab akhir, tetapi harus bertanggung jawab secara substantif melalui pengalokasian sumber daya, pembangunan sistem, dan pengawasan efektivitas langkah-langkah keamanan. Selain itu, penanggung jawab perlindungan informasi pribadi dimasukkan ke dalam sistem pengambilan keputusan dan pelaporan dewan direksi, dan penunjukan, perubahan, serta pelaksanaan tugas mereka harus terus-menerus diawasi di tingkat tata kelola perusahaan.

Dengan pengaturan sistem seperti ini, kepatuhan data sudah sangat sulit dipahami sebagai fungsi yang bisa diselesaikan oleh satu departemen saja, atau bahkan seharusnya tidak dilakukan secara terpisah oleh satu departemen tertentu.

Pengolahan data secara alami melibatkan desain produk, arsitektur teknologi, proses operasional, pengambilan keputusan bisnis, hingga kerja sama eksternal. Risiko tidak terkonsentrasi di satu titik, melainkan tersebar secara sistematis di seluruh proses bisnis. Karena itu, kepatuhan data sejak awal bukan lagi pekerjaan terbatas di bidang hukum, kepatuhan, atau teknologi, melainkan harus dipahami sebagai pekerjaan holistik yang membutuhkan sumber daya perusahaan, dipimpin oleh profesional, dan melibatkan kolaborasi lintas departemen.

Dulu, banyak perusahaan menganggap ini sebagai tugas satu fungsi saja karena kurangnya pemahaman manajemen tentang sifat dan pentingnya pekerjaan ini, bukan karena pekerjaan itu memang seharusnya dibatasi. Oleh karena itu, ketika kewajiban pemberitahuan dipindahkan ke depan, penilaian risiko harus dilakukan dalam ketidakpastian, dan alokasi sumber daya menjadi faktor penilaian pengawasan, semua masalah ini akhirnya mengarah ke satu tingkat yang sama—manajemen.

Batas denda 10% tentu menjadi bagian paling mencolok dari revisi ini. Tapi jika hanya melihat dari sisi peningkatan sanksi, kita bisa melewatkan cara kerja sebenarnya dari mekanisme ini.

Aturan yang direvisi mengaitkan denda tinggi dengan situasi tertentu, seperti pengulangan pelanggaran besar, kebocoran data besar yang disebabkan oleh kesengajaan atau kelalaian berat, atau terjadinya insiden berulang tanpa perbaikan. Selain itu, sistem juga secara tegas menyatakan bahwa jika perusahaan telah menginvestasikan sumber daya yang cukup (termasuk tenaga, anggaran, dan langkah teknis) untuk perlindungan informasi pribadi, maka pengurangan sanksi dapat dipertimbangkan.

Ini secara praktis memperkenalkan logika evaluasi yang lebih spesifik, yaitu pengawasan tidak lagi hanya menilai hasilnya, tetapi juga menilai apakah perusahaan telah membuat penilaian yang wajar dan mengalokasikan sumber daya yang sesuai sebelum hasil terjadi.

Dan di sinilah, sanksi mulai berhubungan dengan struktur tanggung jawab yang telah disebutkan sebelumnya. Denda tidak lagi sekadar hukuman atas hasil, tetapi juga memaksa pertanyaan yang lebih spesifik—siapa yang membuat keputusan ini, dan apakah keputusan tersebut didasarkan pada dasar yang cukup.

Dengan kata lain, fokus dari sanksi mulai bergeser dari hasil itu sendiri ke proses pengambilan keputusan.

Jika kita melihat semua perubahan ini secara bersamaan, akan terlihat sebuah pergeseran yang lebih mendalam.

Revisi ini bukan sekadar meningkatkan ambang batas kepatuhan, tetapi mengubah cara perusahaan mengelola masalah data. Perlindungan data tidak lagi sekadar kewajiban “memenuhi” regulasi, melainkan menjadi aspek bisnis yang harus terus-menerus dinilai dan didukung sumber daya.

Perusahaan tidak hanya menghadapi aturan itu sendiri, tetapi juga harus mampu membuat keputusan di tengah ketidakpastian, di mana aturan belum sepenuhnya jelas dan risiko belum sepenuhnya terjadi. Dalam proses ini, risiko data mulai menjadi bagian dari logika operasional perusahaan. Ia tidak lagi sekadar masalah pasca kejadian yang harus direspons secara pasif, tetapi menjadi variabel yang harus terus dievaluasi, dipertimbangkan, dan dikelola sejak awal proses bisnis.

Oleh karena itu, “siapa yang bertanggung jawab” bukan lagi pertanyaan tambahan, tetapi secara alami muncul setelah proses pengalihan tanggung jawab ini—ketika penilaian risiko menjadi bagian dari operasi harian, tanggung jawab ini tidak bisa lagi hanya dipegang oleh pelaksana, melainkan harus berada di tingkat manajemen yang memiliki sumber daya dan kewenangan pengambilan keputusan.

Perubahan ini sangat nyata bagi perusahaan yang beroperasi secara internasional.

Banyak perusahaan—terutama perusahaan luar negeri—yang kekurangan mekanisme internal yang sistematis, serta sumber daya dan dukungan profesional yang stabil. Kepatuhan data sering tersebar di antara tim hukum, teknologi, produk, dan keamanan, dan mereka bekerja secara terpisah. Ketika risiko terjadi, mereka harus merancang solusi darurat secara sementara. Kondisi ini mungkin masih bisa dipertahankan di masa lalu, tetapi di bawah logika pengawasan saat ini, semakin sulit untuk didukung.

Karena yang terus ditanyakan sekarang bukan lagi “apakah sistem sudah ada” atau “dokumen lengkap”, melainkan apakah perusahaan mampu mengidentifikasi masalah secara cepat, membuat penilaian, dan mendorong kolaborasi lintas departemen untuk mengubah penilaian tersebut menjadi hasil yang dapat diterima pengawas. Bagi kebanyakan perusahaan luar negeri, ini bukan kemampuan yang bisa diperoleh secara otomatis melalui proses internal.

Masalah utama pun bergeser—bukan lagi soal seberapa besar perusahaan menganggap penting, tetapi bagaimana mengubah perhatian ini menjadi mekanisme yang berkelanjutan. Risiko mana yang harus diidentifikasi terlebih dahulu, masalah mana yang harus dinaikkan ke tingkat manajemen, bagaimana membangun kolaborasi efektif antara bisnis, teknologi, dan kepatuhan, serta bagaimana menjaga konsistensi dan keterjelasan penilaian di tengah perubahan aturan yang terus berlangsung.

Dari pengalaman praktis, perusahaan yang mampu membangun kemampuan ini dengan cepat biasanya bukan melalui proses trial-and-error internal, melainkan melalui kerangka pengalaman yang matang, melakukan pengkajian dan restrukturisasi sistem secara sistematis, sehingga tanggung jawab yang tersebar, batasan yang kabur, dan respons yang tertunda dapat diubah menjadi mekanisme tata kelola yang berkelanjutan.

Oleh karena itu, dampak nyata dari perubahan ini bukan sekadar perusahaan sudah melakukan kepatuhan, tetapi apakah mereka mampu menutup kekurangan kemampuan ini secepat mungkin dan menempatkan tanggung jawab tersebut secara nyata dalam struktur organisasi.

Fenomena serupa juga terlihat di China. Pengembangan sistem Penanggung Jawab Perlindungan Informasi Pribadi secara substansial mendorong konsentrasi tanggung jawab ke tingkat yang memiliki sumber daya dan kemampuan pengaturan. Meskipun ada perbedaan dalam desain sistem di berbagai yurisdiksi, logika dasarnya semakin menyatu.

Bagi perusahaan, pertanyaan yang benar-benar diajukan oleh perubahan ini sangat spesifik:

Dalam kondisi risiko data yang belum terjadi dan aturan yang belum sepenuhnya jelas, apakah ada orang di dalam perusahaan yang mampu membuat penilaian dan bertanggung jawab atas konsekuensinya.

Jika pertanyaan ini tidak bisa dijawab, maka kepatuhan itu sendiri sudah tidak lagi menjadi batas risiko yang nyata. Yang benar-benar menentukan tingkat risiko perusahaan adalah kemampuan mereka untuk membuat penilaian di tengah ketidakpastian, dan apakah penilaian tersebut ditempatkan di tingkat yang tepat.