Undang-undang Pelindungan Data Pribadi (UU PDP) disahkan oleh DPR, Selasa (20/9), yang terdiri atas 371 daftar inventarisasi masalah (DIM) dan 16 bab serta 76 pasal. Menurut ahli, pengesahan UU PDP dikhawatirkan hanya akan menjadi macan kertas.
Dalam keterangan resminya pada Selasa (20/9), Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha menilai ini sebagai titik di mana Indonesia lebih serius dalam menghadapi persaingan dan pergeseran global yang semakin terdigitalisasi.
“UU PDP ini titik start kita bersama menghadapi tantangan globalisasi yang semakin digital,” katanya.
Menurutnya, setelah ini harus segera membentuk lembaga otoritas Perlindungan Data Pribadi yang kuat, independen dan powerful. “Jangan sampai Komisi PDP nanti tidak sekuat yang kita cita-citakan,” jelasnya.
Pratama mengatakan, bahwa perlu dibuat aturan turunan mengenai sanksi yang tegas untuk Penyelenggara Sistem Elektronik (PSE) lingkup Publik atau Pemerintah. Sehingga mempertegas posisi UU Pelindungan Data Pribadi terhadap PSE yang mengalami kebocoran data.
“Aturan terkait standar teknologi, SDM dan manajemen data seperti apa yang harus dipenuhi oleh para PSE,” jelas Pratama.
Berdasarkan isi dari UU PDP, Pratama menilai bahwa pembentukan komisi PDP tidak diamanatkan secara eksplisit.
Dalam pasal 64 disebutkan sengketa perlindungan data peribadi harus diselesaikan lewat lembaga yang diatur oleh UU. “Karena disinilah nanti Komisi PDP harus dibentuk dengan jalan tengah, lewat Peraturan Presiden, hal yang disepakati sebagai jalan tengah antara DPR dan Kominfo,” jelas Pratama.
Menurutnya, posisi Komisi PDP sangat krusial. “Karena baik pemerintah dan DPR menempatkan orang yang tepat serta memiliki kompetensi untuk memimpin lembaga otoritas PDP atau Komisi PDP ini,” katanya.
Pratama menegaskan, bahwa perlindungan data pribadi ini bila perlu dibuat Pakta Integritas untuk pejabat pemerintah yang bertanggung jawab terhadap data pribadi dan siap mundur jika terjadi kebocoran data pribadi. “Karena selama ini kebocoran data pribadi dari sisi penyelenggara negara sudah sangat memprihatinkan”, tegasnya.
Ia berpendapat bahwa perlunya memberikan wewenang yang cukup untuk lembaga otoritas PDP dalam menegakkan UU PDP. Ia berkata, “jangan sampai menjadi macan ompong dan nanti dituduh menghabiskan anggaran negara saja”.
Pratama menambahkan bahwa keberadaan lembaga otoritas PDP dinilai akan menjadi warisan yang sangat baik dari pemerintahan Presiden Joko Widodo. Bila bisa mendorong lahirnya Lembaga Otoritas PDP yang kuat, kredibel dan bisa menjadi pelindung serta tempat terakhir meminta keadilan bagi masyarakat terkait sengketa perlindungan data pribadi.
Pengesahan UU PDP ini harus direspon dengan segera melakukan audit keamanan informasi di semua PSE, baik lingkup Private atau Publik. Apalagi kasus kebocoran data masih menjadi perhatian masyarakat luas dengan kasus Bjorka.
“Nantinya Lembaga Otoritas PDP bisa bersama BSSN membuat aturan standar tentang pengaman data pribadi di lingkup Private dan lingkup Publik,” kata Pratama. “Sehingga nantinya penegakan UU PDP bisa lebih detail dan jelas”.
Sementara itu, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar menilai bahwa substansi materi UU PDP yang disepakati memang telah mengikuti standar dan prinsip umum perlindungan data pribadi yang berlaku secara internasional. Terutama adanya kejelasan rumusan mengenai definisi data pribadi, jangkauan material yang berlaku mengikat bagi badan publik dan sektor privat, perlindungan khusus bagi data spesifik, adopsi prinsip-prinsip pemrosesan data pribadi, batasan dasar hukum pemrosesan data pribadi, perlindungan hak-hak subjek data, serta kewajiban pengendali dan pemroses data.
“Artinya, dengan klausul demikian, mestinya legislasi ini dapat memberikan kepastian hukum dan perlindungan hukum yang menyeluruh dalam pemrosesan data pribadi di Indonesia,” katanya, Selasa (20/9).
Meski begitu, Wahyudi menilai bahwa implementasi dari undang-undang ini berpotensi problematis, hanya menjadi macan kertas, lemah dalam penegakannya. Hal tersebut dikarenakan ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum, sebagai imbas kuatnya kompromi politik, khususnya berkaitan dengan Lembaga Pengawas Perlindungan Data Pribadi.
Belajar dari praktik di negara lain, kunci efektivitas implementasi UU PDP berada pada otoritas perlindungan data, sebagai lembaga pengawas yang akan memastikan kepatuhan pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data.
“Apalagi ketika UU PDP berlaku mengikat tidak hanya bagi sektor privat, tetapi juga badan publik (kementerian/lembaga),” kata Wahyudi. “Maka independensi dari otoritas ini menjadi mutlak adanya, untuk memastikan ketegasan dan fairness dalam penegakan hukum PDP”.
Meski UU PDP ditegaskan berlaku mengingat baik bagi korporasi maupun pemerintah, undang-undang ini justru mendelegasikan kepada Presiden untuk membentuk Lembaga Pemerintah Non Kementerian (LPNK) yang bertanggung jawab kepada Presiden.
“Artinya otoritas ini pada akhirnya tak ubahnya dengan lembaga pemerintah (eksekutif) lainnya,” kata Wahyudi. Ia menjelaskan bahwa salah satu mandat utama lembaga tersebut adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran.
“Apakah mungkin satu institusi pemerintah memberikan sanksi pada institusi pemerintah yang lain,” katanya.
Wahyudi menilai, UU PDP seperti memberikan cek kosong pada Presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini. “Sehingga ‘kekuatan’ dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ Presiden yang akan merumuskannya,” jelasnya.
Menurutnya, kondisi tersebut makin problematis dengan ‘ketidaksetaraan’ rumusan sanksi yang dapat diterapkan terhadap sektor publik dan sektor privat ketika melakukan pelanggaran.
Alasannya, sektor publik hanya mungkin dikenakan sanksi administrasi (Pasal 57 ayat (2)), sedangkan sektor privat selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan (Pasal 57 ayat (3)). “Bahkan dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70,” ujarnya.
Meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat sebagai pengendali atau pemroses data, namun dalam penerapannya akan lebih bertaji pada korporasi dan tumpul terhadap badan publik.
“Risiko over-criminalisation juga mengemuka dari berlakunya undang-undang ini, khususnya akibat kelenturan rumusan Pasal 65 ayat (2) jo,” katanya. Pasal 67 ayat (2) pada intinya mengancam pidana terhadap seseorang (individu atau korporasi) yang mengungkapkan data pribadi bukan miliknya secara melawan hukum.
Wahyudi menjelaskan, bahwa dalam hukum PDP, pemrosesan data pribadi termasuk pengungkapan, sepanjang tidak memenuhi dasar hukum pemrosesan maka dikatakan telah melawan hukum. Dasar hukum pemrosesan yaitu persetujuan/konsen, kewajiban hukum, kewajiban kontrak, kepentingan publik, kepentingan vital, dan kepentingan yang sah.
Tantangan Implementasi UU PDP
Ia menilai ketidakjelasan batasan frasa ‘melawan hukum’ dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya. Yang berisiko disalahgunakan, untuk tujuan mengkriminalkan orang lain.
Tidak hanya itu, tantangan besar implementasi UU PDP adalah pada penyiapan dan pembentukan berbagai regulasi pelaksana. Mulai dari Peraturan Pemerintah, Peraturan Presiden, peraturan lembaga, hingga berbagai panduan teknis lainnya.
Menurutnya, detail dan kedalaman dari berbagai peraturan teknis yang dirumuskan akan sangat menentukan dapat berlaku tidaknya undang-undang ini.
Bila lembaga pengawas perlindungan data yang merupakan institusi eksekutif memiliki tugas, fungsi, dan wewenang yang terbatas, sehingga tidak dilengkapi dengan wewenang penyelesaian sengketa melalui mekanisme ajudikasi non-litigasi, dan kewenangan mengeluarkan putusan mediasi terkait ganti kerugian.
Masalah lainnya adalah batasan waktu (timeline) dalam pemenuhan hak subjek data oleh pengendali data, yang diatur secara rigid dan berlaku untuk semua sektor (keseluruhannya dirumuskan 3x24 jam).
“Ketentuan tersebut tentunya akan menjadi kendala bagi pengendali data dari berbagai sektor,” kata Wahyudi. “Dengan corak dan model bisnis yang berbeda-beda, termasuk juga sektor publik, untuk dapat memastikan kepatuhan pada UU PDP”.
Wahyudi menilai lahirnya UU PDP sebagai legislasi perlindungan data yang komprehensif, bukanlah solusi akhir atas semua persoalan perlindungan data pribadi. Namun, hadirnya UU PDP ini justru memperlihatkan luas dan dalamnya masalah perlindungan data pribadi di Indonesia yang harus segera ditangani dan diperbaiki, dengan mengacu pada UU PDP baru.
Jangka waktu dua tahun masa transisi tentu sangat terbatas untuk dapat melakukan sinkronisasi berbagai regulasi terkait perlindungan data, yang selama ini tersebar dalam berbagai sektor. “Termasuk penyiapan berbagai regulasi pelaksana dan pembentukan kelembagaan otoritas perlindungan data pribadi,” ujar Wahyudi.
Pengendali atau pemroses data, baik sektor publik maupun privat harus segera pula melakukan pembenahan internal untuk memastikan kepatuhannya pada UU PDP. Menurut Wahyudi, selain diperlukan kepemimpinan politik dari Presiden yang diberikan mandat untuk mengimplementasikan undang-undang ini, juga dibutuhkan peran serta dan itikad baik dari seluruh pemangku kepentingan.
“Untuk dapat memperbaiki tata kelola ekosistem perlindungan data pribadi di Indonesia,” katanya.