REPUBLIKA.CO.ID, oleh Fauziah Mursid, Nawir Arsyad Akbar
Undang-Undang Perlindungan Data Pribadi (UU PDP) telah resmi disahkan hari ini, Selasa (20/9). Implementasi UU PDP yang diharapkan menjawab berbagai persoalan perlindungan data pribadi di Indonesia namun berpotensi problematis dan lemah penegakannnya.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar mengatakan, ada ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum dan kuatnya kompromi politik. Khususnya berkaitan dengan Lembaga Pengawas Pelindungan Data Pribadi.
Wahyudi mengatakan, kunci efektivitas implementasi UU PDP ini ada berada lembaga pengawas pelindungan data yang independen, untuk memastikan kepatuhan pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data di sektor privat maupun badan publik (kementerian/lembaga). "Sayangnya, undang-undang ini justru mendelegasikan kepada Presiden untuk membentuk Lembaga Pemerintah Non-Kementerian (LPNK), yang bertanggung jawab kepada Presiden. Artinya otoritas ini pada akhirnya takubahnya dengan lembaga pemerintah (eksekutif) lainnya," kata Wahyudi, dalam keterangan tertulisnya kepada wartawam, Selasa (20/9/2022).
Dia menjelaskan, padahal salah satu mandat utama lembaga pengawas pelindungan data ini adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran. Dia pun meragukan lembaga pengawas pelindungan ini dapat memberikan sanksi pada sesama institusi pemerintah yang lain.
"Belum lagi UU PDP juga seperti memberikan cek kosong pada Presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini, sehingga ‘kekuatan’ dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ Presiden yang akan merumuskannya," ujarnya.
Selain itu, Wahyudi juga menyoal substansi UU PDP tentang rumusan sanksi yang tidak setara antara sektor publik dan privat ketika melakukan pelanggaran. Dia mengatakan, untuk sektor publik yang melakukan pelanggaran hanya mungkin dikenakan sanksi administrasi seperti tertuang pada pasal 57 ayat dua yang berbunyi, sanksi administratif sebagaimana dimaksud pada ayat (1) berupa: a. peringatan tertulis; b. penghentian sementara kegiatan pemrosesan Data Pribadi; c. penghapusan atau pemusnahan Data Pribadi; dan/atau d. denda administratif
Sedangkan untuk sektor privat selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan yang diatur dalam pasal 57 ayat 3. Bahkan, mengacu pasal 67-70, bisa dikenakan hukuman pidana denda.
"Meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data, namun dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik," katanya.
Wahyudi menambahkan, UU PDP juga berpotensi menimbulkan kriminalisasi berlebih dengan adanya kelenturan rumusan pasal ancaman pidana bagi seseorang yang mengungkapkan data pribadi bukan miliknya secara melawan hukum. Dalam aturan di UU PDP, pemrosesan data pribadi, termasuk pengungkapan, sepanjang tidak memenuhi dasar hukum pemrosesan (persetujuan/konsen, kewajiban hukum, kewajiban kontrak, kepentingan publik, kepentingan vital, dan kepentingan yang sah), maka dapat dikatakan telah melawan hukum.
"Ketidakjelasan batasan frasa ‘melawan hukum’ dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya, yang berisiko disalahgunakan, untuk tujuan mengkriminalkan orang lain," kata dia.
Karena itu, dia menilai pengesahan UU PDP ini bukan solusi akhir mengatasi persoalan perlindungan data pribadi termasuk rentetan insiden kebocoran data pribadi. Dia pun mendorong penyiapan dan pembentukan berbagai regulasi pelaksana mulai dari Peraturan pemerintah, pengaturan presiden, lembaga lebih detil.
"Termasuk penyiapan berbagai regulasi pelaksana dan pembentukan kelembagaan otoritas perlindungan data pribadi, selain juga pengendali/pemroses data, baik sektor publik maupun privat harus segera pula melakukan pembenahan internal untuk memastikan kepatuhannya pada UU PDP," kata dia,
"Dengan besarnya tantangan yang demikian, selain diperlukan kepemimpinan politik dari Presiden, yang diberikan mandat untuk mengimplementasikan undang-undang ini, juga dibutuhkan peran serta dan itikad baik dari seluruh pemangku kepentingan, untuk dapat memperbaiki tata kelola ekosistem perlindungan data pribadi di Indonesia," tambahnya.
Pascapengesahan UU PDP, penting pula ada lembaga otoritas pelindungan data pribadi yang independen dan powerfull. Pakar keamanan siber Pratama Persadha mengatakan, lembaga otoritas PDP independen ini penting untuk mengatasi permasalahan data di Indonesia.
"Pasca ini, segera bentuk Lembaga Otoritas Pelindungan Data Pribadi yang kuat, independen dan powerful. Jangan sampai Komisi PDP nanti tidak sekuat yang kita cita-citakan," kata Pratama.
Chairman lembaga riset keamanan siber CISSReC (Communication & Information System Security Research Center) ini menilai lembaga otoritas PDP menjadi hal krusial yang perlu diperhatikan pembentukannya. Karena itu, wajib nantinya baik pemerintah dan DPR menempatkan orang yang tepat serta memiliki kompetensi untuk memimpin Lembaga Otoritas PDP atau Komisi PDP ini.
Dia mengatakan UU PDP memang tidak secara eksplisit mengamanatkan pembentukan Komisi PDP. Sebab, dalam pasal 64 disebutkan sengketa perlindungan data pribadi harus diselesaikan lewat lembaga yang diatur oleh UU. "Karena di sinilah nanti Komisi PDP harus dibentuk dengan jalan tengah, lewat Peraturan Presiden, hal yang disepakati sebagai jalan tengah antara DPR dan Kominfo," kata Pratama.
Pratama juga mendorong perlunya memberikan wewenang yang cukup untuk Lembaga Otoritas PDP dalam menegakkan UU PDP. Ini agar jangan sampai lembaga itu hanya menjadi macan ompong dan nanti dituduh menghabiskan anggaran negara saja.
“Ini akan menjadi legacy atau warisan yang sangat baik dari pemerintahan Presiden Joko Widodo bila bisa mendorong lahirnya Lembaga Otoritas PDP yang kuat, kredibel dan bisa menjadi pelindung serta tempat terakhir meminta keadilan bagi masyarakat terkait sengketa perlindungan data pribadi," kata Pratama.
Selain itu, dia menilai masalah perlindungan data pribadi ini juga perlu dibuat pakta integritas untuk pejabat pemerintah yang bertanggung jawab terhadap data pribadi dengan siap mundur jika terjadi kebocoran data pribadi. Karena, kata dia, selama ini kebocoran data pribadi dari sisi penyelenggara negara sudah sangat memprihatinkan. Dia juga berharap pengesahan UU PDP ini harus direspons dengan segera melakukan audit keamanan informasi di semua penyelenggara sistem elektronik, baik lingkup privat atau publik.
Apalagi kasus kebocoran data masih menjadi perhatian masyarakat luas dengan kasus Bjorka. Menurutnya, perlu dibuat aturan turunan mengenai sanksi yang tegas untuk PSE lingkup Publik /Pemerintah. Ini akan mempertegas posisi UU PDP terhadap PSE yang mengalami kebocoran data. Aturan terkait standar teknologi, SDM dan manajemen data seperti apa yang harus dipenuhi oleh para PSE.
“Nantinya Lembaga Otoritas PDP bisa bersama BSSN membuat aturan standar tentang pengaman data pribadi di lingkup Private dan lingkup Publik. Sehingga nantinya penegakan UU PDP bisa lebih detail dan jelas," kata Pratama.