ELSAM : Pengesahan UU PDP Hanya Lahirkan Macan Kertas

Batasan usia dalam penggunaan medis sosial merupakan adopsi dari General Data Protection Regulation (GDPR), Undang-Undang Perlindungan Data Pribadi di Uni Eropa. Freepik.com

TEMPO.CO, Jakarta - DPR akhirnya mengesahkan RUU Pelindungan Data Pribadi (PDP) menjadi undang-undang dalam rapat paripurna, Selasa 20 September 2022, atau butuh 2,5 tahun sejak diajukan usul inisiatif oleh Presiden pada 24 Januari 2020. Tapi, kenapa masih ada keraguan UU PDP dapat menjawab berbagai permasalahan perlindungan data pribadi di Indonesia?

Wahyudi Djafar, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), mengatakan meski telah mengakomodasi berbagai standar dan memberikan garansi perlindungan bagi subyek data, tetapi implementasi dari undang-undang ini berpotensi problematis. Dia menyebut hanya akan menjadi macan kertas, lemah dalam penegakannya.

"Situasi tersebut hampir pasti terjadi, akibat ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum, sebagai imbas kuatnya kompromi politik, khususnya berkaitan dengan Lembaga Pengawas Pelindungan Data Pribadi,” tulis Wahyudi.

Dia menerangkan, belajar dari praktik di banyak negara, kunci efektivitas implementasi UU PDP berada pada otoritas perlindungan data, sebagai lembaga pengawas, yang akan memastikan kepatuhan pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data. Apalagi ketika UU PDP berlaku mengikat tidak hanya bagi sektor privat, tetapi juga badan publik (kementerian/lembaga).

"Maka independensi dari otoritas ini menjadi mutlak adanya, untuk memastikan ketegasan dan fairness dalam penegakan hukum PDP," kata Wahyudi dalam keterangan tertulisnya.

UU PDP justru mendelegasikan kepada Presiden untuk membentuk Lembaga Pemerintah NonKementerian (LPNK), yang bertanggung jawab kepada Presiden. Artinya otoritas ini pada akhirnya tak ubahnya dengan lembaga pemerintah (eksekutif) lainnya. Padahal salah satu mandat utamanya adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran.

"Apakah mungkin satu institusi pemerintah memberikan sanksi pada institusi pemerintah yang lain?" Wahyudi mempertanyakan. 

Selain itu, UU PDP juga dinilainya seperti memberikan cek kosong pada Presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini. Akibatnya, ‘kekuatan’ dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ Presiden yang akan merumuskannya.

Ketidaksetaraan Rumusan Sanksi

Wahyudi juga membahas tentang kondisi yang problematis dengan ketidaksetaraan rumusan sanksi yang dapat diterapkan terhadap sektor publik dan sektor privat, ketika melakukan pelanggaran. Bila melakukan pelanggaran, sektor publik hanya mungkin dikenakan sanksi administrasi (Pasal 57 ayat (2)).

Sedangkan sektor privat selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan (Pasal 57 ayat (3)), bahkan dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70. 

“Dengan rumusan demikian, meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data, namun dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik,” kata Wahyudi.

Tangkapan layar jual beli data 1,3 miliar kartu SIM telepon Indonesia yang bocor dari Kementerian Kominfo. FOTO/Twitter

 

Over-Criminalisation, Pasal Karet dan Multi-Tafsir

Ia juga melihat adanya risiko over-criminalisation dari berlakunya undang-undang ini, khususnya akibat kelenturan rumusan Pasal 65 ayat (2) jo. Pasal 67 ayat (2). Pasal-pasal itu pada intinya mengancam pidana terhadap seseorang (individu atau korporasi), yang mengungkapkan data pribadi bukan miliknya secara melawan hukum. 

Dalam hukum PDP, pemrosesan data pribadi, termasuk pengungkapan, sepanjang tidak memenuhi dasar hukum pemrosesan (persetujuan/konsen, kewajiban hukum, kewajiban kontrak, kepentingan publik, kepentingan vital, dan kepentingan yang sah), maka dapat dikatakan telah melawan hukum. Ketidakjelasan batasan frasa ‘melawan hukum’ dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya, yang berisiko disalahgunakan, untuk tujuan mengkriminalkan orang lain.

 

Tantangan Implementasi

Hal lain yang disoroti ELSAM adalah tantangan saat melakukan implementasi UU PDP, yaitu pada penyiapan dan pembentukan berbagai regulasi pelaksana, mulai dari Peraturan Pemerintah, Peraturan Presiden, peraturan lembaga, hingga berbagai panduan teknis lainnya. Menurutnya, detail dan kedalaman dari berbagai peraturan teknis yang dirumuskan, akan sangat menentukan dapat berlaku tidaknya undang-undang ini. 

Belum lagi problem batasan waktu (timeline) dalam pemenuhan hak subjek data oleh pengendali data, yang diatur secara rigid dan berlaku untuk semua sektor (keseluruhannya dirumuskan 3×24 jam). Ketentuan tersebut tentunya akan menjadi kendala bagi pengendali data dari beragam sektor, dengan corak dan model bisnis yang berbeda-beda, termasuk juga sektor publik, untuk dapat memastikan kepatuhan pada UU PDP.

Butuh Itikad Baik dari Seluruh Pemangku Kepentingan

Adanya UU PDP sebagai legislasi perlindungan data yang komprehensif, tentunya bukanlah solusi akhir atas semua persoalan perlindungan data pribadi, termasuk rentetan insiden kebocoran data pribadi. Hadirnya UU PDP ini justru memperlihatkan luas dan dalamnya masalah perlindungan data pribadi di Indonesia, yang harus segera ditangani dan diperbaiki, dengan mengacu pada UU PDP baru. 

Ilustrasi - Hacker atau peretas mencoba membongkar keamanan siber. Pemerintah Indonesia menganggap banyak data pribadi yang dibocorkan Bjorka dari berbagai institusi bukanlah ancaman bagi negara dan data bersifat umum. (ANTARA/Shutterstock/am)

Jangka waktu dua tahun masa transisi tentu sangat terbatas untuk dapat melakukan sinkronisasi berbagai regulasi terkait perlindungan data, yang selama ini tersebar dalam berbagai sektor. Termasuk penyiapan berbagai regulasi pelaksana dan pembentukan kelembagaan otoritas perlindungan data pribadi, selain juga pengendali/pemroses data, baik sektor publik maupun privat harus segera pula melakukan pembenahan internal untuk memastikan kepatuhannya pada UU PDP. 

“Dengan besarnya tantangan yang demikian, selain diperlukan kepemimpinan politik dari Presiden, yang diberikan mandat untuk mengimplementasikan undang-undang ini, juga dibutuhkan peran serta dan itikad baik dari seluruh pemangku kepentingan, untuk dapat memperbaiki tata kelola ekosistem perlindungan data pribadi di Indonesia,” kata Wahyudi.

Baca juga:
Pertalite Lebih Boros Pasca-naik Harga? Dosen ITB Ungkap Masalahnya


Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.






Pelaku Bisnis Dinilai Perlu Bikin Kerangka Kerja Perlindungan Data Pribadi

2 hari lalu

Pelaku Bisnis Dinilai Perlu Bikin Kerangka Kerja Perlindungan Data Pribadi

Ada beberapa hal yang sebaiknya dipersiapkan para pelaku bisnis untuk mematuhi aturan Undang Undang Perlindungan Data Pribadi.


BCA Soal Rekening Nasabah Rp 320 Juta Dibobol: Pelakunya Bukan Tukang Becak, tapi Thoha

2 hari lalu

BCA Soal Rekening Nasabah Rp 320 Juta Dibobol: Pelakunya Bukan Tukang Becak, tapi Thoha

BCA memastikan pembobolan rekening nasabah atas nama Muin Zachry bukanlah tukang becak, tapi ada aktor lain yang merupakan otak pelaku kejahatan itu.


Pentingnya Literasi Digital demi Perlindungan Data Pribadi

17 hari lalu

Pentingnya Literasi Digital demi Perlindungan Data Pribadi

Pemerintah mengingatkan masyarakat untuk meningkatkan literasi digital demi perlindungan data pribadi.


Kiat Menjaga Keamanan Data Pribadi

22 hari lalu

Kiat Menjaga Keamanan Data Pribadi

Biasakan lima langkah sederhana namun memiliki manfaat besar dalam menjaga keamanan data pribadi. Berikut kiatnya


CfDS dan Tokopedia Beberkan Modus Pencuri Data Pribadi dan Solusi Pencegahan

44 hari lalu

CfDS dan Tokopedia Beberkan Modus Pencuri Data Pribadi dan Solusi Pencegahan

Center for Digital Society (CfDs) dan Tokopedia merilis modul literasi digital untuk mengedukasi masyarakat tentang perlindungan data di marketplace.


Bos Tokopedia Buka Suara Soal Dampak UU Perlindungan Data Pribadi bagi Marketplace

44 hari lalu

Bos Tokopedia Buka Suara Soal Dampak UU Perlindungan Data Pribadi bagi Marketplace

Pendiri sekaligus Vice Chairman Tokopedia, Leontinus A. Edison buka suara soal dampak disahkannya Undang-undang Perlindungan Data Pribadi (UU PDP).


Pengadilan Australia Tolak Gugatan terhadap Google atas Penggunaan Data Pribadi

50 hari lalu

Pengadilan Australia Tolak Gugatan terhadap Google atas Penggunaan Data Pribadi

Gugatan badan persaingan Australia terhadap Google tentang perluasan penggunaan data pribadi konsumen untuk iklan bertarget ditolak pengadilan


RKUHP Bakal Disahkan dalam Sidang Paripurna DPR Besok

54 hari lalu

RKUHP Bakal Disahkan dalam Sidang Paripurna DPR Besok

Aliansi Reformasi KUHP menggelar aksi tabur bunga di depan Gedung DPR dalam rangka menolak pengesahan RKUHP.


RKUHP Tuai Penolakan Masyarakat, Pimpinan DPR: Kami Bahas dengan Hati

54 hari lalu

RKUHP Tuai Penolakan Masyarakat, Pimpinan DPR: Kami Bahas dengan Hati

Dasco menerangkan bahwa pembuatan RKUHP dari waktu ke waktu dibahas dengan hati. Menurut dia, pasal-pasal yang kontroversial telah dikupas


Pasal Demonstrasi di RKUHP Jadi Sorotan, Anggota DPR Sebut Perlu Sosialisasi ke Penegak Hukum

54 hari lalu

Pasal Demonstrasi di RKUHP Jadi Sorotan, Anggota DPR Sebut Perlu Sosialisasi ke Penegak Hukum

Kelompok masyarakat sipil menilai RKUHP masih memuat sejumlah pasal karet. Salah satunya pasal 256 tentang Pawai, Unjuk Rasa, atau Demonstrasi