Ironisnya, alasan yang keliru itu digunakan untuk tidak bertindak secara layak dalam bentuk investigasi ketika terjadi dugaan kebocoran data pribadi. Akibatnya, masalah ini terus berulang karena penyelesaiannya tidak tuntas. Wahyudi mencatat terlalu luasnya klausul pengecualian dalam UU 27/2022 yang menggunakan frasa ‘untuk kepentingan umum dalam rangka penyelenggaraan negara’. Institusi pemerintah kerap salah tafsir terhadap ketentuan itu karena diartikan mengecualikan diri dari kewajiban kepatuhan terhadap UU 27/2022.
Wahyudi melihat dalam menindaklanjuti amanat UU 27/2022 pemerintah melalui Kementerian Komunikasi dan Informatika (Kemenkominfo) telah menyusun Rancangan Peraturan Pemerintah tentang Peraturan Pelaksana UU 27/2022 (RPP PDP). Nah, RPP PDP terdiri 10 bab, 245 pasal, dan total 45 bagian. Secara teknis perumusan, draf RPP ini banyak mengulang materi-materi pasal yang serupa, yang pada dasarnya dapat digabungkan.
Tak hanya itu, Wahyudi menyebut frasa ‘sesuai ketentuan peraturan perundang-undangan’ hampir ditemukan di semua bab. Hal ini dapat dipahami karena adanya ketentuan peraturan perundang-undangan lain yang secara langsung maupun tidak langsung berkaitan dengan kerangka hukum pelindungan data pribadi. Akan tetapi, penggunaan frasa tersebut dalam beberapa pasal cenderung tidak jelas, sehingga berpotensi menimbulkan kebingungan dalam pelaksanaan RPP ini.
Menurut Wahyudi ketentuan dalam PP PDP perlu penyesuaian yang lugas terhadap pasal-pasal yang memiliki irisan dengan peraturan perundang-undangan lain, dengan memperjelas rujukannya. Sedikitnya ada 3 catatan terhadap RPP PDP. Pertama, draf RPP belum mengakomodasi beberapa isu krusial dalam pemrosesan data pribadi yang beririsan dengan pemenuhan HAM. Salah satunya kejelasan terkait pelaksanaan beberapa klausul, khususnya persinggungan antara hak atas privasi dengan hak lainnya, seperti hak atas informasi dan kebebasan berekspresi, termasuk pula kebebasan pers.
“Materi peraturan ini seharusnya memberikan detail pengaturan terkait hal itu, agar dalam implementasinya nanti tidak membuka ruang ketegangan dan konflik diantara sejumlah hak tersebut,” usul Wahyudi.
Kedua, perumusan draf RPP terfokus pada pengaturan pelaksanaan kewajiban dan penegakan hukum yang melibatkan pengendali/prosesor data yang berasal dari korporasi (sektor swasta), tetapi masih membuka sejumlah pertanyaan terkait efektivitas penerapannya terhadap pengendali/prosesor data badan publik. Selain itu, RPP PDP belum mengurai gradasi dalam pelaksanaan kewajiban pengendali data, dengan memperhatikan jangkauan dan kapasitas pemrosesan data yang dilakukan.
Begitu juga pengaturan terkait sanksi, khususnya denda administratif, yang juga tidak merumuskan gradasi dalam penegakannya, dengan melihat tingkat usaha dari pengendali data (kecil, menengah, besar). Belum menjelaskan pula rujukan “total pendapatan/penerimaan” tahunan sebagai basis penerapan sanksi, apakah mengacu pada pendapatan/penerimaan secara keseluruhan (global) atau sebatas operasi mereka di Indonesia?