The DUAA Complaints Framework Is Now Enforceable: Every UK Data Controller Needs an Internal Front Door

Seorang subjek data mengirim email pukul 11 malam yang menyatakan bahwa perusahaan Anda menggunakan data pribadi mereka tanpa dasar yang sah. Di bawah rezim lama, mereka bisa langsung membawa pengaduan tersebut ke Information Commissioner's Office keesokan paginya. Mulai 19 Juni 2026, mereka tidak bisa lagi melakukan hal itu. Data (Use and Access) Act 2025 kini mewajibkan individu untuk menyampaikan pengaduan kepada Anda terlebih dahulu, dan mengharuskan Anda memiliki proses formal yang terdokumentasi untuk menerimanya.

Apa yang Sebenarnya Diubah oleh Undang-Undang Ini

DUAA mendapat Royal Assent pada 19 Juni 2025, menurut Mayer Brown. Undang-undang ini mengamendemen, namun tidak menggantikan, UK GDPR dan Data Protection Act 2018. Sebagian besar ketentuan perlindungan data dalam undang-undang ini mulai berlaku pada 5 Februari 2026 berdasarkan Data (Use and Access) Act 2025 (Commencement No. 6 and Transitional and Saving Provisions) Regulations 2026, sebagaimana dicatat oleh Clifford Chance maupun blog Privacy Matters milik DLA Piper. Kewajiban penanganan pengaduan ditunda untuk tanggal berlaku tersendiri: 19 Juni 2026, tepat satu tahun setelah Royal Assent.

Mekanisme intinya adalah persyaratan keterlibatan pra-pengaduan yang bersifat wajib. Menurut Mintz, sebelum seseorang dapat mengajukan pengaduan ke ICO, mereka harus terlebih dahulu menyampaikan kekhawatiran tersebut langsung kepada pengendali data yang bersangkutan dan memberikan jangka waktu yang wajar bagi pengendali untuk merespons. ICO telah mengindikasikan bahwa periode ini umumnya adalah 45 hari, meskipun Mintz mencatat bahwa hal itu dapat bervariasi tergantung pada kompleksitas permasalahan. Dampak praktisnya adalah adanya lapisan triase pertama yang berada di antara individu dan regulator, yang dirancang, sebagaimana dijelaskan oleh Mintz, untuk mendorong penyelesaian dini dan memungkinkan ICO memusatkan sumber dayanya pada hal-hal yang lebih serius.

Siapa yang Tercakup dan Apa

yang Harus Mereka Bangun Blog Privacy Matters milik DLA Piper sangat jelas mengenai cakupannya: DUAA memperkenalkan persyaratan proses pengaduan formal bagi semua pengendali, tanpa pengecualian. Frasa tersebut penting dalam praktiknya. Yayasan kecil, startup dengan pendiri tunggal, pemberi kerja skala menengah, dan platform global semuanya berada dalam kategori yang sama di bawah kewajiban ini. Squire Patton Boggs, dalam tulisannya di Employment Law Worldview, menyebutnya sebagai hak hukum baru bagi karyawan untuk mengadu kepada pengendali terkait pelanggaran UK GDPR, yang berarti hubungan kerja saja sudah dapat menghasilkan pengaduan dalam cakupan ini, sepenuhnya terlepas dari pemrosesan data yang menghadap pelanggan.

Blog Data Matters milik Sidley memberikan klarifikasi yang berguna mengenai apa yang sebenarnya memicu proses ini: tidak semua komunikasi dari subjek data memenuhi syarat sebagai pengaduan yang diatur. Organisasi perlu membedakan pertanyaan rutin dan permintaan akses subjek dari ekspresi ketidakpuasan tentang cara data pribadi ditangani. Membuat perbedaan yang tepat akan membuat proses Anda tetap proporsional dan menghindari perlakuan terhadap setiap pesan masuk sebagai peristiwa kepatuhan formal.

Sidley juga mencatat bahwa persyaratan DUAA didukung oleh panduan ICO terbaru tentang cara mempersiapkan dan menangani pengaduan perlindungan data, yang menyediakan titik acuan praktis untuk membangun prosedur internal. Dari sisi dokumentasi, Mayer Brown menyarankan agar organisasi meninjau praktik perlindungan data mereka, memperbarui kebijakan dan prosedur, serta menjadikan kepatuhan terhadap DUAA sebagai prioritas yang berkelanjutan sepanjang 2026. Pemberitahuan privasi juga perlu diperbarui, sebagaimana dikonfirmasi oleh Squire Patton Boggs bahwa organisasi yang tunduk pada UK GDPR harus mencerminkan hak penanganan pengaduan baru dalam pemberitahuan yang mereka publikasikan mulai 19 Juni 2026.

Mengapa Hal Ini Paling Berdampak Saat Terjadi Insiden Siber

Lapisan kepatuhan yang dijelaskan di atas beroperasi dalam kondisi normal. Sekarang pertimbangkan apa yang terjadi ketika sebuah organisasi mengalami kebocoran data. Jam pemberitahuan ICO sudah berjalan. Individu yang terdampak mulai menghubungi organisasi. Sebagian dari kontak tersebut akan merupakan pengaduan formal di bawah kerangka DUAA, bukan sekadar pertanyaan yang mengkhawatirkan. Tanpa proses pengaduan internal yang terdokumentasi, organisasi tersebut sekaligus mengelola respons insiden, pemberitahuan regulasi, dan volume kewajiban pengaduan yang tidak terdefinisi yang tidak memiliki prosedur untuk ditangani.

Mayer Brown mencatat bahwa ICO telah mengisyaratkan pendekatan yang terukur terhadap penegakan hukum selama masa transisi ini, khususnya di mana panduan belum final. Hal itu perlu dibaca dengan cermat: terukur tidak berarti tidak ada. Briefing yang sama memperjelas bahwa kepatuhan harus diperlakukan sebagai prioritas yang berkelanjutan, bukan ditunda hingga pemberitahuan penegakan tiba. Bagi tim yang berkaitan dengan keamanan, implikasi praktisnya adalah bahwa runbook respons insiden kini memerlukan cabang penanganan pengaduan: siapa yang menerima pengaduan data formal selama insiden, apa jadwal pengakuan dan responsnya, serta bagaimana pengaduan tersebut berinteraksi dengan proses pemberitahuan ICO yang berjalan secara paralel.

Apa yang Harus Dilakukan Organisasi Sekarang

Kewajiban ini sudah berlaku. Pertanyaannya adalah apakah proses internal Anda sudah terdokumentasi, dikomunikasikan, dan diuji. Berdasarkan panduan yang dikumpulkan dari Mayer Brown, Mintz, Sidley, dan Squire Patton Boggs, daftar periksa praktisnya adalah sebagai berikut.

Pertama, tetapkan saluran yang jelas untuk menerima pengaduan perlindungan data, terpisah dari antrean layanan pelanggan umum. Kedua, dokumentasikan prosedur respons yang mengakui jangka waktu indikatif 45 hari yang telah ditetapkan ICO dan mengidentifikasi siapa dalam organisasi yang bertanggung jawab atas setiap tahap. Ketiga, perbarui pemberitahuan privasi untuk mencerminkan hak pengaduan baru. Keempat, latih siapa pun yang menangani komunikasi masuk untuk mengenali kapan sebuah pesan beralih dari pertanyaan rutin menjadi pengaduan yang diatur.

Panduan yang diterbitkan ICO tentang penanganan pengaduan perlindungan data adalah referensi utama untuk mengkalibrasi proses tersebut. Organisasi yang sudah memiliki alur kerja permintaan akses subjek yang matang memiliki keunggulan struktural: infrastruktur pemetaan data dan kepemilikan respons yang mendasarinya dapat dialihkan. Mereka yang belum memilikinya harus memperlakukan Juni 2026 bukan sebagai tenggat waktu yang sudah terlewat, melainkan sebagai titik di mana membangun proses tersebut menjadi tidak opsional. Sikap penegakan yang terukur dari ICO menciptakan jendela toleransi praktis yang singkat; itu tidak menciptakan perlindungan permanen.