Pemerintah telah secara resmi menyerahkan naskah Rancangan Undang-Undang tentang Perlindungan Data Pribadi kepada Dewan Perwakilan Rakyat RI melalui Surat Presiden No. R-05/Pres/01/2020 tanggal 24 Januari 2020 lalu. RUU ini diharapkan menjadi payung hukum dalam menjaga keamanan data pribadi masyarakat yang berada di Indonesia maupun luar negeri.
Menteri Komunikasi dan Informatika Johnny G Plate menjelaskan apabila RUU PDP disahkan maka Indonesia akan menjadi negara kelima di Asia Tenggara yang memiliki aturan terkait pelindungan data pribadi. Di negara-negara ASEAN saat ini ada 4 negara yang punya General Data Protection Regulation (GDPR) atau UU perlindungan data yaitu Singapura, Malaysia, Thailand, dan Filipina. Sedangkan, telah ada 126 negara yang punya GDPR di dunia.
Johnny menjelaskan RUU ini akan menjadi standar pengaturan nasional tentang pelindungan data pribadi, baik data pribadi yang berada di Indonesia maupun data pribadi warga negara Indonesia yang berada di luar negeri. “Bahkan data pribadi yang bukan terkait dengan WNI, perlu ada manajemen yang akuntabel dengan proses yang prudent. Ini bukan urusan main-main. Ini urusan data yang begitu pentingnya. Data tidak hanya secara komersial, punya peran-peran secara geostrategis, perlu ada satu manajemen yang pruden dan akuntabel,” katanya dalam keterangan pers, Selasa (28/1).
Dalam rancangan tersebut, jangkauan pengaturan rancangan undang-undang ini akan berlaku untuk sektor publik (pemerintah) dan sektor privat (perorangan maupun korporasi baik yang badan hukum maupun tidak badan hukum). Pemerintah mengklaim RUU ini di satu sisi untuk menjaga kedaulatan data, dan di sisi yang lain juga untuk memastikan membuka peluang yang ramah terhadap inovasi dan bisnis.
(Baca: Ini Tujuh RUU Menarik Perhatian Publik Sepanjang 2019)
Johnny dalam paparannya menjelaskan terdapat empat unsur penting yang menjadi perhatian pemerintah dalam UU ini. Pertama terkait data sovereignty dan data security, kedaulatan data dan data demi kepentingan keamanan negara. Yang kedua, terkait dengan data owner, pemilik data baik data pribadi maupun data spesifik lainnya yang sudah diatur secara jelas dalam draft (RUU PDP) ini. Ketiga, data user yang membutuhkan data yang akurat yang terverifikasi dengan baik. Juga dalam hal ini pengaturan lalu lintas data, khususnya antar negara atau cross-border data flow.
RUU PDP memuat beberapa substansi pengaturan yang esensial untuk memberikan pelindungan terhadap masyarakat, ditujukan untuk menjadi kerangka regulasi yang lebih kuat serta dapat memayungi ketentuan perundang-undangan lain yang terkait dengan data pribadi namun masih tersebar ke beberapa sektor.
(Baca: Pengumpulan Data Biometrik, Ancaman Perlindungan Data Pribadi)
Secara umum, RUU PDP mengatur tentang: (1) jenis data pribadi; (2) hak pemilik data pribadi; (3) pemrosesan data pribadi; (4) pengecualian terhadap pelindungan data pribadi; (5) pengendali dan prosesor data pribadi, termasuk kewajiban dan tanggung jawabnya; (6) pejabat/petugas/DPO; (7) pedoman perilaku pengendali data pribadi; (8) transfer data pribadi; (9) penyelesaian sengketa; (10) larangan dan ketentuan pidana; (11) kerjasama internasional; (12) peran pemerintah dan masyarakat; (13) sanksi administrasi.
Masih Belum Lengkap
Peneliti Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, mengatakan mayoritas RUU PDP mengacu pada Europaean Union GDPR (EUGDPR), regulasi perlindungan data Eropa. Namun, dia menilai rancangan aturan tersebut masih belum lengkap karena tidak memuat ketentuan tentang badan otoritas independen sebagai pengawas perlindungan data pribadi. Sebab, dalam RUU ini, tanggung jawab pengawasan tersebut dipegang Menteri.
Wahyudi menilai bentuk pengawasan tersebut dianggap tidak tepat karena badan publik atau pemerintah merupakan salah satu pengelola data pribadi. “Yang belum muncul keberadaan lembaga pengawas independen, sekarang masih diserahkan ke menteri. Ini problematis karena aturan ini berlaku bagi badan publik (pemerintah) dan privat. Harusnya, yang mengawasi bukan pemerintah apabila terjadi pelanggaran,” jelas Wahyudi kepada hukumonline, Rabu (29/1).
Saat ini, belum terdapat lembaga pengawas data pribadi. Tidak terdapatnya lembaga pengawas tersebut menyebabkan perlindungan data pribadi masih lemah. Lembaga tersebut harus dilengkapi dengan kewenangan memeriksa atau investigasi dari laporan masyarakat. Selain itu, lembaga independen tersebut juga berhak memutus persengketaan antara pemilik data dengan pengelola data.
“Bagaimana memastikan lembaga itu independen dan memenuhi kualifikasi. Menurut saya lembaga ini bukan bagian pemerintah. Lembaga yang bisa menjalankan pengawasan terhadap badan publik dan privat. Paling dekat seperti Komisi Informasi karena punya penyelesaian sengketa. Tapi bedanya, lembaga pengawas ini punya kewenangan investigatif sedangkan Komisi Informasi tidak punya kewenangan itu. Sehingga, dalam RUU ini harus eksplisit membentuk lembaga pengawas ini,” tambah Wahyudi.
Dia melanjutkan permasalahan tersebut berdampak terhadap penerapan sanksi yang berbeda-beda bagi pelanggar data pribadi. Dalam RUU tersebut menyatakan sanksi pidana penjara hanya berlaku pada pelanggar individu sedangkan badan publik dan korporasi mendapat pengecualian.
“Sehingga, menurut saya masih rancu karena ada pidana dan penerapan sanksi beda-beda antara badan publik dan privat, misalnya sanksi pidana tidak diterapkan ke badan publik sanksi penjara diserahkan pada individu sedangkan entitas korporasi tidak dikenakan sanksi penjara. Kerancuan perumusan sanksi ini karena tidak ada lembaga pengawas independen tersebut,” jelas Wahyudi.
Dia juga menambahkan seharusnya RUU PDP tidak perlu lagi memuat sanksi pidana dan mengedepankan sanksi administratif karena sudah termuat dalam UU Informasi dan Transaksi Elektronik (ITE). Menurutnya, RUU PDP ini lebih mengedepankan sanksi administratif karena tujuannya untuk memberi kompensasi kerugian bagi publik sebagai pemilik data.