Rancangan Undang-Undang (RUU) tentang Perlindungan Data Pribadi (PDP) memasuki babak baru. Pembahasan draf RUU (PDP) di tingkat pertama digelar antara pemerintah dengan Komisi I DPR. Sejumlah pengaturan tentang mekanisme perlindungan hingga memuat lima prinsip memproses data pribadi.
Menteri Komunikasi dan Informasi (Menkominfo) Jhonny G Plate memaparkan dalam draf RUU PDP mengatur lima prinsip yang mesti dipedomani dalam perlindungan data pribadi. Pertama, pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, patut, dan transparan.
Kedua, memproses data pribadi dilakukan sesuai dengan tujuannya, secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan. Ketiga, pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, dan pengubahan secara tidak sah, serta penyalahgunaan, perusakan, dan/atau kehilangan data pribadi.
Keempat, dalam hal terjadi kegagalan dalam pelindungan data pribadi (data breach), pengendali data pribadi wajib memberitahukan kegagalan tersebut pada kesempatan pertama kepada pemilik data pribadi. Kelima, data pribadi wajib dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan pemilik data pribadi (right to erasure).
“Kecuali ditentukan lain oleh peraturan perundang-undangan,” ujar Jhonny G Plate dalam paparannya di depan anggota Komisi I DPR di Komplek Gedung Parlemen, Selasa (25/2/2020). Baca Juga: Tiga Fokus Pembahasan RUU Perlindungan Data Pribadi
Dia melanjutkan dalam RUU PDP memuat tentang pihak-pihak yang terlibat dalam pemrosesan data pribadi yakni pemilik data pribadi, pengendali data pribadi, dan prosesor data pribadi. Pemilik data pribadi, kata Jhonny, selaku subyek data memiliki hak. Antara lain hak untuk meminta informasi, hak melengkapi, mengakses, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi miliknya.
Kemudian, hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi miliknya (right to erasure). Selanjutnya, hak menarik kembali persetujuan pemrosesan, hak mengajukan keberatan atas tindakan profiling, hak terkait penundaan atau pembatasan pemrosesan. “Dan hak untuk menuntut dan menerima ganti rugi,” lanjutnya.
Mantan anggota DPR periode 2014-2019 itu menerangkan data pribadi merupakan pihak yang menentukan tujuan dan melakukan kendali pemprosesan data pribadi. Dengan demikian, pengendali data pribadi bertanggung jawab atas seluruh pemrosesan data pribadi. Di lain pihak, prosesor data pribadi merupakan pihak yang melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Menurutnya, lingkup kewajiban pengendali data pribadi ataupun prosesor data pribadi dapat berbeda. Hanya saja, tetap memiliki kewajiban dasar yang sama. Seperti, menjaga kerahasiaan data pribadi, melindungi dan memastikan keamanan data pribadi, termasuk menjaga data pribadi diakses secara tidak sah. Kemudian, melakukan pengawasan terhadap seluruh aktivitas pemrosesan data pribadi, melakukan perekaman aktivitas pemrosesan data pribadi. Serta menjamin akurasi, kelengkapan, perbaikan dan konsistensi data pribadi.
Untuk memastikan efektivitas penegakan hukum perlindungan data pribadi, terdapat sanksi administratif, sanksi pidana, dan ganti rugi berdasarkan penyelesaian sengketa perdata. Sanksi administratif dapat berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan/pemusnahan data pribadi, ganti rugi, dan/atau denda administratif. Sedangkan sanksi pidana ditujukan terhadap penyalahgunaan data pribadi.
“Penyelesaian sengketa perdata dilakukan terhadap gugatan ganti rugi para pihak,” ujarnya.
Potensi penyalahgunaan negara
Anggota Komisi I DPR Willy Aditya mengingatkan adanya potensi penyalahgunaan kekuasaan oleh negara dalam RUU PDP. Menurutnya, terlihat dari tidak jelasnya ketentuan aturan sanksi terhadap lembaga negara, bila tejadi dugaan penyalahgunaan data pribadi masyarakat. Dia menilai RUU RDP hanya mengatur sengketa antar pribadi dan sengketa pribadi dengan korporasi.
Wakil Ketua Badan Legislasi (Baleg) ini berpendapat kedaulatan data pribadi harus menjadi semangat utama RUU PDP. Bukan sebaliknya, data pribadi sebagai komoditas. Dia menilai tak hanya korporasi, namun lembaga negara pun berpotensi menyalahgunakan data pribadi warga negaranya. Willy pun mendorong perlu dipertimbangkan sebuah kelembagaan khusus bertindak sebagai regulator dan pengawas dalam rangka perlindungan data pribadi.
Politisi Partai Nasional Demokrat ini menilai keberadaan lembaga tersebut bersifat independen seperti lembaga-lembaga lainnya. Seperti Komisi Nasional Hak Asasi Manusia (Komnas Ham), Komisi Penyiaran Indonesia (KPI), Komisi Pemberantasan Korupsi (KPK) dan lainya. ”Lembaga independen yang dibentuk oleh negara. Ini saya kira perlu dipertimbangkan keberadaannya.”