TEMPO.CO, Jakarta - DPR akhirnya mengesahkan RUU Pelindungan Data Pribadi (PDP) menjadi undang-undang dalam rapat paripurna, Selasa 20 September 2022, atau butuh 2,5 tahun sejak diajukan usul inisiatif oleh Presiden pada 24 Januari 2020. Tapi, kenapa masih ada keraguan UU PDP dapat menjawab berbagai permasalahan perlindungan data pribadi di Indonesia?
Wahyudi Djafar, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), mengatakan meski telah mengakomodasi berbagai standar dan memberikan garansi perlindungan bagi subyek data, tetapi implementasi dari undang-undang ini berpotensi problematis. Dia menyebut hanya akan menjadi macan kertas, lemah dalam penegakannya.
"Situasi tersebut hampir pasti terjadi, akibat ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum, sebagai imbas kuatnya kompromi politik, khususnya berkaitan dengan Lembaga Pengawas Pelindungan Data Pribadi,” tulis Wahyudi.
Dia menerangkan, belajar dari praktik di banyak negara, kunci efektivitas implementasi UU PDP berada pada otoritas perlindungan data, sebagai lembaga pengawas, yang akan memastikan kepatuhan pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data. Apalagi ketika UU PDP berlaku mengikat tidak hanya bagi sektor privat, tetapi juga badan publik (kementerian/lembaga).
"Maka independensi dari otoritas ini menjadi mutlak adanya, untuk memastikan ketegasan dan fairness dalam penegakan hukum PDP," kata Wahyudi dalam keterangan tertulisnya.
UU PDP justru mendelegasikan kepada Presiden untuk membentuk Lembaga Pemerintah NonKementerian (LPNK), yang bertanggung jawab kepada Presiden. Artinya otoritas ini pada akhirnya tak ubahnya dengan lembaga pemerintah (eksekutif) lainnya. Padahal salah satu mandat utamanya adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran.
"Apakah mungkin satu institusi pemerintah memberikan sanksi pada institusi pemerintah yang lain?" Wahyudi mempertanyakan.
Selain itu, UU PDP juga dinilainya seperti memberikan cek kosong pada Presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini. Akibatnya, ‘kekuatan’ dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ Presiden yang akan merumuskannya.
Ketidaksetaraan Rumusan Sanksi
Wahyudi juga membahas tentang kondisi yang problematis dengan ketidaksetaraan rumusan sanksi yang dapat diterapkan terhadap sektor publik dan sektor privat, ketika melakukan pelanggaran. Bila melakukan pelanggaran, sektor publik hanya mungkin dikenakan sanksi administrasi (Pasal 57 ayat (2)).
Sedangkan sektor privat selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan (Pasal 57 ayat (3)), bahkan dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70.
“Dengan rumusan demikian, meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data, namun dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik,” kata Wahyudi.
Tangkapan layar jual beli data 1,3 miliar kartu SIM telepon Indonesia yang bocor dari Kementerian Kominfo. FOTO/Twitter
Over-Criminalisation, Pasal Karet dan Multi-Tafsir
Ia juga melihat adanya risiko over-criminalisation dari berlakunya undang-undang ini, khususnya akibat kelenturan rumusan Pasal 65 ayat (2) jo. Pasal 67 ayat (2). Pasal-pasal itu pada intinya mengancam pidana terhadap seseorang (individu atau korporasi), yang mengungkapkan data pribadi bukan miliknya secara melawan hukum.
Dalam hukum PDP, pemrosesan data pribadi, termasuk pengungkapan, sepanjang tidak memenuhi dasar hukum pemrosesan (persetujuan/konsen, kewajiban hukum, kewajiban kontrak, kepentingan publik, kepentingan vital, dan kepentingan yang sah), maka dapat dikatakan telah melawan hukum. Ketidakjelasan batasan frasa ‘melawan hukum’ dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya, yang berisiko disalahgunakan, untuk tujuan mengkriminalkan orang lain.
Tantangan Implementasi
Hal lain yang disoroti ELSAM adalah tantangan saat melakukan implementasi UU PDP, yaitu pada penyiapan dan pembentukan berbagai regulasi pelaksana, mulai dari Peraturan Pemerintah, Peraturan Presiden, peraturan lembaga, hingga berbagai panduan teknis lainnya. Menurutnya, detail dan kedalaman dari berbagai peraturan teknis yang dirumuskan, akan sangat menentukan dapat berlaku tidaknya undang-undang ini.
Belum lagi problem batasan waktu (timeline) dalam pemenuhan hak subjek data oleh pengendali data, yang diatur secara rigid dan berlaku untuk semua sektor (keseluruhannya dirumuskan 3×24 jam). Ketentuan tersebut tentunya akan menjadi kendala bagi pengendali data dari beragam sektor, dengan corak dan model bisnis yang berbeda-beda, termasuk juga sektor publik, untuk dapat memastikan kepatuhan pada UU PDP.
Butuh Itikad Baik dari Seluruh Pemangku Kepentingan
Adanya UU PDP sebagai legislasi perlindungan data yang komprehensif, tentunya bukanlah solusi akhir atas semua persoalan perlindungan data pribadi, termasuk rentetan insiden kebocoran data pribadi. Hadirnya UU PDP ini justru memperlihatkan luas dan dalamnya masalah perlindungan data pribadi di Indonesia, yang harus segera ditangani dan diperbaiki, dengan mengacu pada UU PDP baru.
Ilustrasi - Hacker atau peretas mencoba membongkar keamanan siber. Pemerintah Indonesia menganggap banyak data pribadi yang dibocorkan Bjorka dari berbagai institusi bukanlah ancaman bagi negara dan data bersifat umum. (ANTARA/Shutterstock/am)
Jangka waktu dua tahun masa transisi tentu sangat terbatas untuk dapat melakukan sinkronisasi berbagai regulasi terkait perlindungan data, yang selama ini tersebar dalam berbagai sektor. Termasuk penyiapan berbagai regulasi pelaksana dan pembentukan kelembagaan otoritas perlindungan data pribadi, selain juga pengendali/pemroses data, baik sektor publik maupun privat harus segera pula melakukan pembenahan internal untuk memastikan kepatuhannya pada UU PDP.
“Dengan besarnya tantangan yang demikian, selain diperlukan kepemimpinan politik dari Presiden, yang diberikan mandat untuk mengimplementasikan undang-undang ini, juga dibutuhkan peran serta dan itikad baik dari seluruh pemangku kepentingan, untuk dapat memperbaiki tata kelola ekosistem perlindungan data pribadi di Indonesia,” kata Wahyudi.
Baca juga:
Pertalite Lebih Boros Pasca-naik Harga? Dosen ITB Ungkap Masalahnya
Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.
