REPUBLIKA.CO.ID, JAKARTA -- Kebocoran data di Indonesia sudah terjadi berulang kali dan tidak disertai adanya solusi akhir yang jelas dari penanganannya. Prinsip-prinsip perlindungan data pribadi, termasuk yang ada pada Rancangan Undang Undang Perlindungan Data Pribadi (RUU PDP), masih perlu dievaluasi.
“Sementara pengesahan RUU PDP dibutuhkan untuk membangun ekosistem digital yang aman, best practices digital terbaik masih belum jelas dan hal ini terkait dengan tiga poin,” kata Head of Economic Opportunities Research dari Center for Indonesian Policy Studies (CIPS) Trissia Wijaya, dalam keterangan tertulisnya, Rabu (7/9/2022).
Trissia melanjutkan, yang pertama adalah perumusan RUU tersebut tidak ditopang pendekatan berbasis risiko, sehingga terlihat terlalu padat kepatuhan.
Di tengah informasi yang terbatas, beberapa klausul yang dapat diakses menyiratkan penekanan kuat pada kepatuhan data dan sanksi, sehingga menimbulkan parameter yang sangat kaku dan kurang tanggap terhadap dinamika inovasi teknologi itu dan model bisnis digital itu sendiri.
Dalam konteks ini, perusahaan yang tidak mematuhi ketentuan hukum privasi data dapat dikenakan sanksi, seperti denda dan hukuman lainnya. Sementara itu misalnya, ketentuan "hak untuk menghapus" atau yang juga dikenal sebagai "hak untuk dilupakan", yang berarti subjek data memiliki hak untuk meminta penghapusan dari pengontrol data, justru menimbulkan risiko bagi pengguna dan perusahaan skala kecil kalau tidak digunakan sebagaimana mestinya.
Ketentuan yang diusulkan mengharuskan perusahaan, yang semula mengumpulkan atau memproses data, untuk memenuhi permintaan penghapusan tanpa penundaan dalam waktu 3x24 jam sejak permintaan dibuat. "Jika menyangkut prosedur teknis, klausul ini sangat bermasalah karena perusahaan sebenarnya membutuhkan waktu berminggu-minggu untuk menghapus data," ujarnya.
Jika data pribadi telah dipublikasikan secara khusus di lingkungan online, perusahaan perlu mengambil langkah yang wajar untuk memberi tahu pengelola data lain yang memproses data pribadi untuk menghapus tautan ke atau mereplikasi data tersebut.
Ia mengatakan, jegagalan untuk melakukannya justru akan menyebabkan individu yang datanya diproses oleh perusahaan rentan terhadap risiko. “Oleh karena itu, waktu tambahan juga diperlukan untuk membantu subjek data memverifikasi keabsahan permintaan dan memungkinkan identifikasi jika ditemukan indikator potensi penipuan identitas,” ungkapnya.
Kedua, kata dia, ketentuan lokalisasi data tidak cukup meyakinkan dan tampaknya membuat Indonesia jauh dari apa yang dijanjikan tentang aliran data lintas batas atau cross border data flow. Ketentuan umum pelokalan data di Tanah Air saat ini agak dilonggarkan sejak diterbitkannya Peraturan Pemerintah Nomor 71 Tahun 2019 (PP 71) tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Berdasarkan aturan tersebut, hanya penyelenggara sistem elektronik publik yang harus memiliki pusat data dalam negeri dan Bank Indonesia mewajibkan seluruh transaksi domestik melalui Gerbang Pembayaran Nasional (GPN). Rancangan undang-undang tersebut masih dapat berubah tetapi mengungkapkan bahwa pemerintah akan memberlakukan persyaratan pada transfer data luar negeri.
Ia menuturkan, alasan di balik pelokalan data adalah untuk melindungi data pribadi yang penting, mencegah pencucian uang, dan untuk melindungi usaha kecil dan menengah lokal dari kasus hukum yang merugikan di luar yurisdiksi Indonesia.
Ketiga, RUU tersebut perlu mengamanatkan badan pengawas pengelolaan data pribadi yang independen dan bebas dari pengaruh kementerian dan lembaga negara lainnya. Kebutuhan akan badan yang independen tidak bisa dikesampingkan hanya dengan alasan perampingan institusi seperti yang disampaikan pemerintah.
Hal ini penting karena nantinya instansi tersebut juga akan melakukan pengawasan terhadap pengelolaan data pelayanan publik yang notabene merupakan sesama instansi pemerintah dan juga otoritas utama dalam hal-hal yang berkaitan dengan data pribadi.