Terbitnya UU PDP Bukan Solusi Akhir Masalah Perlindungan dan Kebocoran Data

REPUBLIKA.CO.ID, oleh Fauziah Mursid, Nawir Arsyad Akbar

Undang-Undang Perlindungan Data Pribadi (UU PDP) telah resmi disahkan hari ini, Selasa (20/9). Implementasi UU PDP yang diharapkan menjawab berbagai persoalan perlindungan data pribadi di Indonesia namun berpotensi problematis dan lemah penegakannnya.

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar mengatakan, ada ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum dan kuatnya kompromi politik. Khususnya berkaitan dengan Lembaga Pengawas Pelindungan Data Pribadi.

Wahyudi mengatakan, kunci efektivitas implementasi UU PDP ini ada berada lembaga pengawas pelindungan data yang independen, untuk memastikan kepatuhan pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data di sektor privat maupun badan publik (kementerian/lembaga). "Sayangnya, undang-undang ini justru mendelegasikan kepada Presiden untuk membentuk Lembaga Pemerintah Non-Kementerian (LPNK), yang bertanggung jawab kepada Presiden. Artinya otoritas ini pada akhirnya takubahnya dengan lembaga pemerintah (eksekutif) lainnya," kata Wahyudi, dalam keterangan tertulisnya kepada wartawam, Selasa (20/9/2022).

Dia menjelaskan, padahal salah satu mandat utama lembaga pengawas pelindungan data ini adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran. Dia pun meragukan lembaga pengawas pelindungan ini dapat memberikan sanksi pada sesama institusi pemerintah yang lain.

"Belum lagi UU PDP juga seperti memberikan cek kosong pada Presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini, sehingga ‘kekuatan’ dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ Presiden yang akan merumuskannya," ujarnya.

Selain itu, Wahyudi juga menyoal substansi UU PDP tentang rumusan sanksi yang tidak setara antara sektor publik dan privat ketika melakukan pelanggaran. Dia mengatakan, untuk sektor publik yang melakukan pelanggaran hanya mungkin dikenakan sanksi administrasi seperti tertuang pada pasal 57 ayat dua yang berbunyi, sanksi administratif sebagaimana dimaksud pada ayat (1) berupa: a. peringatan tertulis; b. penghentian sementara kegiatan pemrosesan Data Pribadi; c. penghapusan atau pemusnahan Data Pribadi; dan/atau d. denda administratif

Sedangkan untuk sektor privat selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan yang diatur dalam pasal 57 ayat 3. Bahkan, mengacu pasal 67-70, bisa dikenakan hukuman pidana denda.

"Meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data, namun dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik," katanya.

Wahyudi menambahkan, UU PDP juga berpotensi menimbulkan kriminalisasi berlebih dengan adanya kelenturan rumusan pasal ancaman pidana bagi seseorang yang mengungkapkan data pribadi bukan miliknya secara melawan hukum. Dalam aturan di UU PDP, pemrosesan data pribadi, termasuk pengungkapan, sepanjang tidak memenuhi dasar hukum pemrosesan (persetujuan/konsen, kewajiban hukum, kewajiban kontrak, kepentingan publik, kepentingan vital, dan kepentingan yang sah), maka dapat dikatakan telah melawan hukum.

"Ketidakjelasan batasan frasa ‘melawan hukum’ dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya, yang berisiko disalahgunakan, untuk tujuan mengkriminalkan orang lain," kata dia.

Karena itu, dia menilai pengesahan UU PDP ini bukan solusi akhir mengatasi persoalan perlindungan data pribadi termasuk rentetan insiden kebocoran data pribadi. Dia pun mendorong penyiapan dan pembentukan berbagai regulasi pelaksana mulai dari Peraturan pemerintah, pengaturan presiden, lembaga lebih detil.

"Termasuk penyiapan berbagai regulasi pelaksana dan pembentukan kelembagaan otoritas perlindungan data pribadi, selain juga pengendali/pemroses data, baik sektor publik maupun privat harus segera pula melakukan pembenahan internal untuk memastikan kepatuhannya pada UU PDP," kata dia,

"Dengan besarnya tantangan yang demikian, selain diperlukan kepemimpinan politik dari Presiden, yang diberikan mandat untuk mengimplementasikan undang-undang ini, juga dibutuhkan peran serta dan itikad baik dari seluruh pemangku kepentingan, untuk dapat memperbaiki tata kelola ekosistem perlindungan data pribadi di Indonesia," tambahnya.

Pascapengesahan UU PDP, penting pula ada lembaga otoritas pelindungan data pribadi yang independen dan powerfull. Pakar keamanan siber Pratama Persadha mengatakan, lembaga otoritas PDP independen ini penting untuk mengatasi permasalahan data di Indonesia.

"Pasca ini, segera bentuk Lembaga Otoritas Pelindungan Data Pribadi yang kuat, independen dan powerful. Jangan sampai Komisi PDP nanti tidak sekuat yang kita cita-citakan," kata Pratama.

Chairman lembaga riset keamanan siber CISSReC (Communication & Information System Security Research Center) ini menilai lembaga otoritas PDP menjadi hal krusial yang perlu diperhatikan pembentukannya. Karena itu, wajib nantinya baik pemerintah dan DPR menempatkan orang yang tepat serta memiliki kompetensi untuk memimpin Lembaga Otoritas PDP atau Komisi PDP ini.

Dia mengatakan UU PDP memang tidak secara eksplisit mengamanatkan pembentukan Komisi PDP. Sebab, dalam pasal 64 disebutkan sengketa perlindungan data pribadi harus diselesaikan lewat lembaga yang diatur oleh UU. "Karena di sinilah nanti Komisi PDP harus dibentuk dengan jalan tengah, lewat Peraturan Presiden, hal yang disepakati sebagai jalan tengah antara DPR dan Kominfo," kata Pratama.

Pratama juga mendorong perlunya memberikan wewenang yang cukup untuk Lembaga Otoritas PDP dalam menegakkan UU PDP. Ini agar jangan sampai lembaga itu hanya menjadi macan ompong dan nanti dituduh menghabiskan anggaran negara saja.

“Ini akan menjadi legacy atau warisan yang sangat baik dari pemerintahan Presiden Joko Widodo bila bisa mendorong lahirnya Lembaga Otoritas PDP yang kuat, kredibel dan bisa menjadi pelindung serta tempat terakhir meminta keadilan bagi masyarakat terkait sengketa perlindungan data pribadi," kata Pratama.

Selain itu, dia menilai masalah perlindungan data pribadi ini juga perlu dibuat pakta integritas untuk pejabat pemerintah yang bertanggung jawab terhadap data pribadi dengan siap mundur jika terjadi kebocoran data pribadi. Karena, kata dia, selama ini kebocoran data pribadi dari sisi penyelenggara negara sudah sangat memprihatinkan. Dia juga berharap pengesahan UU PDP ini harus direspons dengan segera melakukan audit keamanan informasi di semua penyelenggara sistem elektronik, baik lingkup privat atau publik.

Apalagi kasus kebocoran data masih menjadi perhatian masyarakat luas dengan kasus Bjorka. Menurutnya, perlu dibuat aturan turunan mengenai sanksi yang tegas untuk PSE lingkup Publik /Pemerintah. Ini akan mempertegas posisi UU PDP terhadap PSE yang mengalami kebocoran data. Aturan terkait standar teknologi, SDM dan manajemen data seperti apa yang harus dipenuhi oleh para PSE.

“Nantinya Lembaga Otoritas PDP bisa bersama BSSN membuat aturan standar tentang pengaman data pribadi di lingkup Private dan lingkup Publik. Sehingga nantinya penegakan UU PDP bisa lebih detail dan jelas," kata Pratama.

Komisi I DPR berharap UU PDP menjadi landasan hukum bagi negara dalam melindungi data pribadi masyarakat. "UU PDP ini diharapkan benar-benar menjadi landasan hukum yang kuat dan memastikan bahwa negara menjamin dan memastikan perlindungan data pribadi warga negara," ujar Wakil Ketua Komisi I Abdul Kharis dalam rapat paripurna, hari ini.

Komisi I, jelas Kharis, telah melaksanakan rapat kerja hingga rapar dengar pendapat dengan berbagai pihak. Termasuk dengan kementerian/lembaga terkait, pakar, akademisi, hingga lembaga swadaya masyarakat (LSM).

"Untuk mendapatkan masukan terhadap RUU PDP untuk memperkaya dasar-dasar filosofis, sosiologis, dan yuridis terhadap materi muatan yang terkandung di dalamnya," ujar Kharis.

Komisi I dan pemerintah sendiri telah menyepakati 16 Bab dan 76 pasal dalam RUU PDP yang hari ini disahkan menjadi undang-undang. Proses pembahasan disebutnya terjadi lewat proses yang sangat dinamis.

"Setelah proses pembahasan yang sangat dinamis, ada perubahan sistematika. RUU PDP dari mulanya 15 bab dan 72 pasal, menjadi 16 bab 76 pasal," ujar Ketua Panitia Kerja (Panja) RUU PDP itu.

Ketua DPR Puan Maharani mengatakan, UU PDP akan melindungi setiap warga negara dari segala bentuk penyalahgunaan data pribadi. Terutama dalam melindungi data pribadi masyarakat dari oknum yang ingin mengeruk keuntungan pribadi.

Komisi I DPR dan pemerintah sendiri telah membahas RUU PDP sejak 2016, yang terdiri dari 371 daftar inventarisasi masalah (DIM) dan menghasilkan 16 Bab dan 76 pasal. Bertambah empat pasal dari usulan awal pemerintah pada akhir 2019, yakni sebanyak 72 pasal.

"Ini akan memberi kepastian hukum agar setiap warga negara, tanpa terkecuali, berdaulat atas data pribadinya. Dengan demikian, tidak ada lagi tangisan rakyat akibat pinjaman online yang tidak mereka minta, atau doxing yang membuat meresahkan warga," ujar Puan.

Menteri Komunikasi dan Informatika (Menkominfo) Johnny G Plate mengatakan UU PDP akan membawa kemajuan di delapan sektor. Pertama adalah dari segi tata negara dan pemerintahan. UU PDP dapat dimaknai sebagai pengejawantahan kehadiran negara dalam melindungi hak fundamental warga negara untuk perlindungan data pribadi, khususnya di ranah digital.

"Lebih dari itu, UU PDP akan memperkuat peran dan kewenangan pemerintah dalam menegakkan dan mengawasi kepatuhan dan kewajiban seluruh pihak yang memproses data pribadi, baik publik maupun privat, swasta," ujar Johnny.

Kedua adalah dari sisi hukum. UU PDP dapat dimaknai sebagai kehadiran sebuah payung hukum perlindungan data pribadi yang lebih komprehensif, memadai, berorientasi ke depan, serta memberikan kesetaraan dan keseimbangan hak subjek data pribadi dengan kewajiban pengendali data pribadi di mata hukum.

Ketiga, dalam bidang tata kelola pemrosesan data pribadi. Kehadiran UU PDP akan mendorong reformasi praktik pemrosesan data pribadi di seluruh pengendali data pribadi.  

"Baik di sektor pemerintahan maupun privat atau swasta, untuk menghormati hak subjek data pribadi, mematuhi prinsip perlindungan data pribadi, memenuhi dasar pemrosesan data pribadi, serta melaksanakan keseluruhan kewajiban perlindungan data pribadi," ujar Johnny.

Selanjutnya adalah dari sisi ekonomi dan bisnis. Pemerintah berharap agar kepatuhan terhadap kewajiban-kewajiban perlindungan data pribadi dalam UU PDP tidak dipandang sebagai beban, melainkan dapat dimaknai sebagai kesempatan untuk meningkatkan standar industri, menjawab kebutuhan dan tuntutan konsumen terhadap perlindungan data pribadi yang memadai.

Kelima, dari aspek pengembangan teknologi. UU PDP akan mengedepankan penggunaan perspektif perlindungan data pribadi dalam setiap pengembangan teknologi baru, sehingga  akan mendorong inovasi yang beretika, bertanggung jawab, dan menghormati hak asasi manusia.

"Enam dari sisi budaya, Undang-Undang PDP akan memicu penyesuaian kesadaran dan kebiasaan masyarakat untuk lebih menyadari dan menjaga data pribadinya, serta menghormati hak perlindungan data pribadi orang lain," ujar Johnny.

Ketujuh, dari sumber daya manusia. UU PDP akan mendorong pengembangan ekosistem untuk memperbanyak talenta baru, sumber daya manusia dalam bidang perlindungan data pribadi yang ke depan akan menjadi pejabat, petugas perlindungan data pribadi di instansi pengendali data pribadi dan pemrosesan data pribadi.

Terakhir, dari sisi hubungan internasional.  UU PDP akan memperkuat kepercayaan dan rekognisi terhadap kepemimpinan Indonesia dalam tata kelola data global. Hal ini sejalan dengan upaya-upaya Indonesia dalam G20 yang menginisiasi pengadopsian prinsip dalam data free flow with trust (DFFT) dan cross border data flow (CBDF).

Ikuti Whatsapp Channel Republika