TEMPO.CO, Jakarta - Pengamat keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, melihat ada ketidakadilan perlakuan antara lembaga pemerintah dan swasta dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang baru saja disahkan.
“Contoh, aksi eksploitasi nomor telepon nasabah untuk kegiatan telemarketing. Jika korporasi atau bank swasta melakukan telemarketing, maka korporasi melanggar UU PDP Pasal 65, sedangkan lembaga publik atau bank pemerintah dikecualikan dari larangan ini,” tulis Alfons, Selasa, 1 November 2022.
Awal Ketidakadilan
Alfons melihat UU PDP tajam pada lembaga swasta, namun tumpul pada lembaga pemerintah. Padahal data pribadi yang diolah adalah data yang sama-sama milik masyarakat Indonesia dan jika dieksploitasi tidak pandang bulu, baik oleh institusi swasta atau institusi pemerintah, risiko dan kerugiannya tidak berbeda.
“Malah faktanya, jika ditelaah kasus-kasus kebocoran data yang pernah terjadi, lembaga publik pemerintah secara de facto mengalami kebocoran data yang lebih banyak dan lebih masif dibandingkan lembaga swasta,” kata Alfons. Menurutnya, akan sangat tidak adil dan tidak mendidik jika lembaga publik pemerintah justru diperlakukan lebih lunak dibandingkan lembaga swasta.
Definisi Setiap Orang dan Badan Publik
UU PDP memberikan definisi "Setiap Orang" adalah orang perseorangan atau koporasi, sedangkan "Badan Publik" adalah lembaga atau badan yang sebagian atau seluruh dananya berasal dari APBN atau APBD.
Jadi secara hubungan finansial, dapat diumpamakan kalau Badan Publik adalah anak kandung pemerintah karena dananya berasal dari APBN atau APBD, dan Setiap Orang tidak menerima APBN atau APBD sehingga dapat dikatakan sebagai anak tiri, meskipun dua-duanya sama-sama hidup di Indonesia, memberikan manfaat kepada masyarakat dan membayar pajak.
Pasal Ibu Tiri
Dalam aturan itu disebutkan Pengendali Data Pribadi adalah setiap orang, badan publik atau organisasi internasional yang melakukan kendali pemrosesan Data Pribadi, sedangkan Prosesor Data Pribadi adalah pihak yang melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.
Pada Pasal 65-67, terdapat Larangan Dalam Penggunaan Data Pribadi di mana dalam ketiga pasal tersebut, larangan hanya ditujukan pada Setiap Orang yang dilarang secara melawan hukum:
- Memperoleh dan mengumpulkan Data Pribadi untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
- Mengungkapkan Data Pribadi yang bukan miliknya.
- Menggunakan Data Pribadi yang bukan miliknya.
Pasal 66 melarang Setiap Orang memalsukan Data Pribadi, sedangkan Pasal 67 dan 78 memuat ketentuan pidana dan denda atas pelanggaran tersebut.
Alfon melihat larangan ini hanya ditujukan pada ‘Setiap Orang’ yang artinya perseorangan dan korporasi dan secara tidak langsung artinya Badan Publik atau Organisasi Internasional tidak termasuk dalam Larangan Dalam Penggunaan Data Pribadi (Bab XIII pasal 65 dan 66) atau eksploitasi Data Pribadi.
Ia memberi contoh eskploitasi data dapat dilihat pada aktivitas debt collector atau telemarketing yang melanggar UU PDP pasal 65. Ketidakadilan muncul karena jika pelanggaran dilakukan oleh perorangan atau korporasi, jerat hukum sudah menanti dengan pasal yang dilanggar jelas dan ancaman hukuman pidana mencapai 4 tahun dan denda Rp 4 miliar. Tetapi, jika yang melakukan pelanggaran adalah Badan Publik atau Organisasi Internasional, tidak melanggar pasal.
Selain itu, menurut Alfons, UU PDP mematikan kreativitas. Karena takut ancaman hukuman mengelola data, dunia usaha jadi takut untuk melakukan terobosan yang bisa memberikan manfaat dan kemajuan bagi perkembangan ekonomi dan dunia digital Indonesia.
Perusahan takut dihukum karena risiko mengelola data, sehingga tidak mau melakukan inovasi. Layanan digital dengan value added baru membutuhkan biaya yang sangat tinggi karena dikekang oleh peraturan yang sangat ketat sehingga sebelum membuahkan hasil pun sudah harus mengeluarkan biaya sangat tinggi untuk compliance.
Hal ini tentu memberikan dampak buruk untuk perkembangan ekonomi kreatif Indonesia, khususnya yang berhubungan dengan digitalisasi. "Hal ini harus disadari oleh Lembaga PDP dalam menegakkan aturan agar jangan sampai kontra produktif ingin mengamankan Data Pribadi membabi buta, malahan membuat masyarakat takut berkreasi," ujarnya.
“Lembaga PDP harusnya bisa memberikan pedoman bagaimana standar pengelolaan data pribadi yang baik. Kalau perlu Lembaga PDP memberikan supervisi standar minimal apa yang harus dipenuhi oleh Badan Publik atau Setiap Orang yang mengelola data, seperti memberikan template database yang aman dan baik, misalnya menerapkan enkripsi dan pengelolaan kredensial yang baik dan terpisah,” harapnya.
Baca:
4 Situs Ini Bisa Deteksi Data Pribadi Alami Kebocoran atau Tidak
Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.
