Pemerintah dan Dewan Perwakilan Rakyat (DPR) menargetkan Undang-Undang Perlindungan Data Pribadi (UU PDP) terbit pada kuartal pertama tahun depan. Target ini mundur dari rencana awal November, lalu berubah menjadi Desember 2020.
Direktur Jenderal Aplikasi Informatika (Aptika) Kementerian Komunikasi dan Informatika Semuel Abrijani menjelaskan, target penyelesaian pembahasan rancangan UU PDP mundur karena pandemi corona. Pagebluk ini menghambat proses diskusi.
Selain itu, ada 300 lebih isu sehingga pembahasan Daftar Inventarisasi Masalah (DIM) yang harus dibahas. “Saat ini baru 60% yang selesai,” kata Semuel dalam acara US Indonesia Investment Summit 2020, Jumat (11/12).
Salah satu usulan yang dibahas yakni pengguna media sosial dibatasi 17 tahun. Pengguna di bawah usia ini harus memperoleh persetujuan orang tua, jika ingin membuat akun.
Jika usulan tersebut disetujui, maka UU akan mensyaratkan adanya mekanisme identifikasi yang melibatkan orang tua ketika anak di bawah 17 tahun akan membuka akun media sosial. Ini artinya, ada banyak tahapan yang harus dilewati jika anak di bawah umur ingin membuat akun.
Kebijakan tersebut mengadopsi UU perlindungan data pribadi di Uni Eropa yang dikenal dengan General Data Protection Regulation (GDPR). Regulasi ini menetapkan, pengguna di bawah 16 tahun harus mendapatkan izin dari orang tua jika ingin membuat akun media sosial.
Setiap negara anggota boleh membuat batasan tersendiri sepanjang di bawah 16 tahun dan di atas 13 tahun.
Selain itu, salah satu isu yang disepakati yakni pengguna bisa menggugat perusahaan, jika terjadi pelanggaran pemrosesan data pribadi. Ini diatur dalam pasal 13 RUU PDP yang berbunyi, “subjek data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan perundang-undangan.”
Dengan begitu, perusahaan yang mengelola data pengguna seperti e-commerce Tokopedia hingga Bukalapak, maupun teknologi financial (fintech) bisa digugat jika terjadi kebocoran data. Sedangkan pelakunya bisa dituntut di pengadilan.
Semuel berharap, UU tersebut segera tersebit. “Memang kita cukup terlambat dibandingkan GDPR,” ujar dia.
Setelah UU Perlindungan Data Pribadi itu terbit, pemerintah memberi waktu dua tahun untuk menerapkan aturan ini. Perusahaan yang mengelola data sensitif juga diimbau untuk membuat proses pengelolaan yang tepercaya. "Harus memitigasi sistem agar jangan sampai data bocor," katanya.
Meski begitu, ia menegaskan bahwa UU PDP tidak mengekang perusahaan dalam mengelola data. Justru ini memberi kejelasan dan ruang bagi entitas bisnis untuk memanfaatkan data dengan benar.
Selain pengendali data, pemerintah mendorong pengguna untuk menjaga datanya dengan baik. "Setiap pekan ada sosialisasi kepada masyarakat. Setelah ada sUU PDP, kesadaran masyarakat terhadap data pribadi seharusnya meningkat," ujarnya.
Staf Ahli Bidang Transformasi Digital, Kreativitas, dan Sumber Daya Manusia Kemenko Perekonomian Mira Tayyiba mengatakan, RUU PDP mengatur tentang hak dan akses pemilik atas data pribadinya. "Misalnya, pembeli dan penjual atau merchant di e-commerce ingin menghapus data setelah bertransaksi, itu bisa minta," katanya.
Pemilik data juga bisa menggugat perusahaan, jika terjadi pelanggaran pemrosesan data pribadi. Namun, ia menyoroti juga kesadaran masyarakat sebagai pemilik data. “Harus ada edukasi masif," ujarnya.
Pada tahun ini, terjadi beberapa kasus kebocoran data di e-commerce dan teknologi finansial (fintech). Sebanyak 91 juta data pengguna Tokopedia dikabarkan bocor pada awal Mei lalu (2/5). CEO Tokopedia William Tanuwijaya pun menyurati para pengguna layanannya dan mengakui bahwa ada pencurian data oleh pihak ketiga.
Pada bulan yang sama, ada peretas yang mengklaim telah mendapatkan 1,2 juta data pengguna Bhinneka. Kemudian lebih dari 800 ribu data nasabah fintech Kredit Plus bocor di forum internet pada Juli. Informasi yang bocor berupa nama, KTP, alamat e-mail, status pekerjaan dan lainnya.
Kemudian 2,9 juta data pengguna fintech agregator Cermati bocor pada bulan ini. Informasi yang diretas berupa nama lengkap, e-mail, alamat, nomor ponsel, rekening, pekerjaan, nomor induk kependudukan (NIK), nomor pokok wajib pajak (NPWP) hingga nama ibu kandung pengguna. Data ini dijual US$ 2.200.