Pembahasan Rancangan Undang-undang Pelindungan Data Pribadi (RUU PDP) oleh Kementerian Komunikasi dan Informatika (Kominfo) serta DPR memasuki masa persidangan ketiga. Namun, ada dua isu yang masih menjadi perdebatan yakni komisi independen dan segregasi data.
Anggota Komisi I DPR dari fraksi Golkar Christina Aryanti menyampaikan, Kominfo ingin kewenangan atas komisi pelindungan data independen di bawah kementerian. Ini merujuk pada peraturan di beberapa negara.
Sedangkan DPR ingin komisi tersebut bersifat independen. “Pemerintah kan salah satu pemroses data pribadi. Maka, sulit jika itu (komisi independen) dilakukan juga oleh pemerintah,” ujar dia dalam Katadata Forum Virtual Series ‘Identifikasi Kebutuhan Implementasi UU PDP’, Selasa (16/3).
Isu kedua yang masih menjadi perbedatan yakni segregasi data. Christina bercerita bahwa perusahaan teknologi saat ini menerapkan personalisasi pada platform, sehingga produk atau iklan yang tampil disesuaikan dengan minat konsumen.
Data yang dipersonalisasi tersebut bisa dijual oleh perusahaan. Oleh karena itu, menurutnya hal ini perlu diatur.
“Kedua isu itu, saya kira bisa menjadi deadlock jika tidak ada titik temu,” ujar Christina.
Ia pun menyampaikan enam temuan dari hasil pembahasan RUU PDP selama ini. Pertama, pengelolaan data pribadi dianggap sebagai milik dan kewenangan institusi, sehingga memungkinkan adanya pemanfaatan lanjutan ke pihak ketiga.
Kedua, badan yang memproses data pribadi belum memiliki aturan teknis terkait keamanan. “Perusahaan nanti perlu menunjuk pejabat atas petugas yang melaksanakan fungsi ini,” ujar dia.
Ketiga, kewenangan memproses data tidak dilekatkan dengan mekanisme perlindungan. Keempat, diperlukan aturan turunan berupa peraturan pemerintah (PP) agar dapat berlaku lintas kementerian dan lembaga (K/L).
Kelima, minimnya kesadaran masyarakat terkait hak pelindungan data pribadi. Terakhir, belum ada kesatuan pemahaman oleh pengendali dan pemroses data atas tanggung jawab melindungi data.
Kepala Subdirektorat Tata Kelola Perlindungan Data Pribadi Kementerian Kominfo Hendri Sasmita Yuda mengakui bahwa pembahasan RUU PDP memang dinamis. “Ada beberapa isu yang perlu dibicarakan bersama,” katanya.
Salah satu yang dikaji oleh Kominfo yakni regulasi sektoral yang dinilai kosong. Ia menyampaikan bahwa kementerian tetap melakukan sinkronisasi dengan pemerintah daerah (pemda).
Kementerian juga mengkaji kemampuan Usaha Mikro, Kecil, dan Menengah (UMKM) dalam memenuhi peraturan. Ia mencontohkan, kewajiban memiliki pejabat atau petugas khusus yang menangani pelindungan data atau data protection officer (DPO).
“Kami akan melakukan pendekatan, tetapi bukan pengecualian, seperti memberikan perlakuan tambahan kepada pihak yang membutuhkan. UMKM misalnya, mungkin DPO yang ditunjuk untuk satu organisasi bukan usaha,” katanya.
Dari sisi pelaku usaha, Chief Policy and Government Relations Gojek Shinto Nugroho mengatakan bahwa perusahaan sudah memiliki tim khusus yang menangani data pribadi. Gojek bahkan merekrut mantan Teknisi Keamanan Informasi (Information Security Engineer) National Aeronautics and Space Administration (NASA), George Do sebagai Chief Information Security Officer (CISO).
Terkait komisi khusus yang menangani pelindungan data pribadi, Shinto setuju jika lembaga ini bersifat independen. “Salah satunya terdiri dari ahli yang kami yakin mengikuti standar industri internasional. Ini karena Indonesia bagian dari ASEAN,” katanya.
Selain itu, pemerintah perlu meningkatkan literasi digital untuk menjamin bahwa semua orang memahami UU PDP. Dengan begitu, masyarakat paham cara menjaga data pribadinya.
Hal senada disampaikan oleh Dosen Fakultas Hukum Unika Atma Jaya Sih Yuliana Wayuningtyas. “Indonesia butuh otoritas pelindungan data yang independen,” kata dia.
Akan tetapi, berdasarkan riset ELSAM di Jakarta, Surabaya, Denpasar, dan Padang, ada kesenjangan antara realita dan praktik di lapangan terkait implementasi prinsip pelindungan data pribadi. “Keempat kota ini dipilih karena mendeklarasikan diri sebagai smart city,” kata peneliti ELSAM Lintang Setianti.
Dari riset tersebut, ELSAM menilai ada nir-perspektif pelindungan data pribadi. Pertama, ada ragam definisi data pribadi. Kedua, ada beberapa pihak yang belum mengidentifikasi diri sebagai aktor pengendali atau pemroses data.
Ketiga, terkait kewenangan institusi pengelola dianggap sebagi pemilik data pribadi. “Padahal konsep pemrosesan data tidak serta merta memberikan kepemilikan data pribadi,” ujar dia.