The DUAA Deadline That Catches Builders Off Guard: It Is Not About Your Data Practice, It Is About Your Process

Sebagian besar organisasi yang menangani data pengguna di UK telah menghabiskan tahun 2025 dan awal 2026 untuk memikirkan hal-hal yang tepat: dasar hukum pemrosesan, minimisasi data, mekanisme transfer. Namun yang belum disadari oleh banyak dari mereka adalah bahwa Data (Use and Access) Act 2025 menyisipkan kewajiban tersendiri yang bersifat prosedural ke dalam hukum UK — kewajiban yang sama sekali tidak berkaitan dengan apakah praktik data mendasar Anda sudah bersih atau belum. Persyaratannya mudah dijelaskan, namun mengejutkan betapa mudahnya terlewat: paling lambat 19 Juni 2026, setiap pengendali data yang tunduk pada hukum perlindungan data UK harus memiliki proses yang terdokumentasi dan operasional untuk menerima serta menangani keluhan dari individu mengenai bagaimana data pribadi mereka digunakan. Tidak ada pengecualian. Tidak ada masa tenggang untuk organisasi kecil. Tidak ada pengecualian bagi platform yang belum pernah menerima keluhan formal.

Apa yang Sebenarnya Diwajibkan oleh Hukum

Pasal 103 dari Data (Use and Access) Act 2025 menyisipkan pasal baru 164A ke dalam Data Protection Act 2018, menurut Hunton Andrews Kurth. Ketentuan tersebut mewajibkan setiap pengendali untuk menerapkan mekanisme atau prosedur yang memungkinkan subjek data mengajukan keluhan terkait data pribadi mereka. DUAA itu sendiri mendapat Persetujuan Kerajaan pada 19 Juni 2025, yang berarti kewajiban keluhan ini dapat ditegakkan tepat satu tahun kemudian, sebagaimana dikonfirmasi oleh Katten Muchin Rosenman di JDSupra.

ICO menerbitkan panduan operasional terperinci pada 12 Februari 2026, setelah konsultasi publik yang mendapat lebih dari 85 tanggapan, menurut siaran berita ICO sendiri. Panduan tersebut membedakan antara apa yang harus dilakukan pengendali (standar minimum undang-undang), seharusnya dilakukan (praktik terbaik), dan dapat dilakukan (pendekatan yang lebih komprehensif). Tingkat harus adalah tempat di mana risiko hukum Anda berada.

Panduan ICO merinci langkah-langkah operasional inti: berikan individu cara yang jelas untuk mengajukan keluhan, konfirmasi penerimaan dalam 30 hari, ambil langkah-langkah yang tepat untuk merespons tanpa penundaan yang tidak semestinya, terus informasikan pelapor selama proses berlangsung, dan sampaikan hasilnya — menurut analisis ZwillGen atas panduan ICO. Langkah-langkah tersebut harus terdokumentasi dan dapat dibuktikan.

ICO telah mengisyaratkan pendekatan yang terukur terhadap penegakan hukum selama masa transisi, terutama di mana panduannya sendiri belum final, menurut Mayer Brown. Namun terukur tidak berarti absen, dan panduan tentang penanganan keluhan telah tersedia sejak Februari 2026.

Mengapa Kesenjangan Proses Adalah Risiko Nyata

Inilah bagian yang terasa berlawanan dengan intuisi. Sebuah organisasi bisa saja memiliki praktik data yang benar-benar dapat dipertahankan — dasar hukum terdokumentasi, jadwal retensi berlaku, permintaan akses subjek ditangani dengan segera — namun tetap menghadapi risiko penegakan hukum langsung pada 19 Juni 2026 jika tidak memiliki prosedur keluhan yang formal. Persyaratan prosedural ini berdiri sendiri.

Subjek data yang percaya bahwa datanya telah ditangani secara tidak benar — benar atau tidak — kini memiliki hak hukum untuk mengajukan keluhan tersebut kepada pengendali terlebih dahulu, sebelum meningkatkannya ke ICO. Tujuannya, sebagaimana dijelaskan oleh Hunton, adalah untuk memastikan keluhan dipertimbangkan oleh pengendali sebelum sampai ke regulator. Jika tidak ada prosedur untuk menerima keluhan tersebut, organisasi telah gagal memenuhi kewajiban hukum yang tersendiri — terlepas dari bagaimana praktik data mendasarnya terlihat.

ZwillGen merumuskan ini dengan tepat: perubahan ini tidak memerlukan program privasi yang sepenuhnya baru, namun memang mengharuskan organisasi memastikan keluhan dikenali, diarahkan, dikonfirmasi, diselidiki, dan diselesaikan dengan cara yang dapat ditunjukkan kepada ICO jika diperlukan. Klausa terakhir itu memiliki bobot nyata. ICO dapat meminta melihat proses Anda. Jika Anda tidak dapat menunjukkannya, ketidakhadiran itu sendiri adalah pelanggarannya.

Bagi platform pendidikan dan para pengembang edtech khususnya — di mana Anda hampir pasti memproses data pribadi siswa, orang tua, dan staf di bawah UK GDPR — Anda adalah pengendali. Bahasa tanpa pengecualian dalam panduan ICO, yang dikonfirmasi oleh Bratby Law dan DLA Piper's Privacy Matters, berarti ukuran platform, sektor, atau riwayat kepatuhan sebelumnya tidak menciptakan perlindungan aman.

Apa yang Harus Dilakukan oleh Para Pengembang dan Tim Kepatuhan Sekarang

Implementasi praktisnya tidak rumit, meskipun memerlukan upaya yang disengaja, bukan sekadar mencentang kotak. Menurut Mayer Brown, organisasi masih memiliki jendela waktu untuk meninjau praktik perlindungan data, memperbarui kebijakan dan prosedur, serta mempersiapkan diri untuk kewajiban penanganan keluhan.

Secara konkret, itu berarti: menunjuk siapa yang menerima keluhan (kotak surat bernama, formulir, atau saluran yang terdokumentasi), menetapkan alur kerja konfirmasi internal yang memenuhi batas waktu 30 hari, mendokumentasikan langkah-langkah penyelidikan, dan membuat templat untuk mengomunikasikan hasil kepada pelapor. Panduan ICO, yang diterbitkan pada Februari dan diperbarui pada Mei 2026, memandu setiap tahapan dan tersedia untuk umum tanpa biaya.

Bagi organisasi yang diatur, Bratby Law menandai lapisan tambahan yang perlu diaudit: jika Anda tunduk pada aturan keluhan Ofcom atau FCA, kewajiban DUAA tumpang tindih dengan kerangka kerja yang sudah ada tersebut, menciptakan interaksi kepatuhan yang perlu dipetakan. Ini merupakan kelompok yang lebih kecil, namun perusahaan edtech dengan produk keuangan tertanam atau layanan komunikasi yang diatur tidak boleh berasumsi bahwa proses keluhan regulator sektoral mereka secara otomatis memenuhi pasal 164A.

Wakil Komisioner ICO untuk Kebijakan Regulasi mencatat pada Mei 2026 bahwa organisasi yang lebih kecil kemungkinan besar belum memiliki prosedur penanganan keluhan yang ada, dan secara khusus mendorong mereka untuk membaca panduan serta mengambil langkah-langkah sederhana yang diperlukan untuk mematuhinya. Itu bukan ancaman; itu adalah daftar bacaan.

Panduannya sudah ada, tenggat waktunya sudah ditetapkan, dan persyaratannya tidak memiliki pengecualian. Bagi siapa pun yang membangun produk yang menyentuh data pengguna UK, pertanyaannya bukan lagi apakah ini berlaku. Pertanyaannya adalah apakah proses Anda dapat bertahan ketika regulator meminta untuk melihatnya.