Belum Ditetapkannya RUU Perlindungan Data Pribadi menjadi Undang-Undang, Ada Apa?
Oleh : Iwan Kareung
Penyalahgunaan data pribadi untuk kepentingan kegiatan perekonomian, perdagangan dan pendidikan semakin sering dirasakan dampaknya oleh masyarakat khususnya di era perekonomian yang bermigrasi ke ekonomi digital. Situasi paradoksnya adalah era perekonomian digital diwarnai kebocoran data acap kali terjadi, sehingga membuat Indonesia berada dalam urgensi untuk memperbaiki ekosistem tata kelola data pribadi karena kasus pemanfaatan data pribadi semakin meningkat. Oleh karena itu negara harus hadir untuk memberikan perlindungan bagi seluruh warga negara dengan memberikan perlindungan data pribadi tersebut melalui Undang-Undang Perlindungan Data Pribadi (PDP) perlu segera disahkan. Saat ini, ada 126 negara yang memiliki peraturan setingkat undang-undang mengenai PDP. Dari 180 negara, Indonesia menjadi salah satu negara dengan pengguna internet terbesar yang belum memiliki regulasi.
Sebelumnya, Kemkominfo dan DPR RI telah menyepakati secara substansial dan konseptual mengenai urgensi hadirnya Undang-Undang Pelindungan Data Pribadi (UU PDP) di Indonesia. Urgensi tersebut semakin dirasakan tertutama saat terjadinya pandemi yaitu transaksi elektronik menjadi transaski utama yang dilatarbelakangi oleh pengisian data pribadi sebelum melakukan transaksi tertentu, sehingga perlindungan tersebut mutlak diperlukan sebagaimana negara menjamin keamanan data warga negaranya.
Menurut penulis, ada sejumlah substansi permasalahan yang menyebabkan RUU Perlindungan Data Pribadi (PDP) belum disahkan, karena masih terjadi menyisakan sejumlah pembahasan yang belum tuntas, khususnya terkait sejumlah materi/pokok permasalahan antara lain : pertama, Pemerintah agar membentuk badan pelindungan data yang independen, yang bukan berasal dari kelompok yang mengendalikan atau memproses data pribadi, sehingga kompetensi dan akuntabilitas badan tersebut menjadi berwibawa dan dipercaya oleh masyarakat.
Kedua, adanya 2 (dua) kelemahan yang menjadi sumber terjadinya pelanggaran data pribadi, yakni tidak adanya konsep norma dalam RUU PDP yang jelas akibat beragamnya definisi data pribadi, pada beberapa instansi di daerah bahkan belum memahami tugas dan wewenang pihak pengendali serta pemroses data, apalagi mengenai perlindungannya.
Terdapat 46 regulasi sektoral yang berkaitan data pribadi, diantaranya Permenkominfo Nomor 20 Tahun 2016 tentang Perlindungan data Pribadi dalam Sistem Elektronik yang dinilai belum mampu diimplementasikan pada lintas sektoral dan tidak ada mekanisme rigid/pasti berkaitan dengan berbagi data antar K/L.
Ketiga, adanya perdebatan mengenai komisi pelindungan data serta pemilahan data pribadi mana yang dapat dijual dan tertutup berpotensi menimbulkan “deadlock” pada pembahasan RUU PDP.
Indonesia sudah memiliki regulasi yang di dalamnya terdapat pasal-pasal yang mengatur terkait perlindungan data pribadi. Ada kurang lebih 14 Undang-Undang di Indonesia yang memiliki pasal-pasal tersebut namun sampai saat ini belum ada satu payung hukum yang komprehensif membahas perlindungan data pribadi. Hal ini menyebabkan regulasi tersebut masih bersifat sektoral, dan juga memiliki pemahaman atau definisi terkait data pribadi yang berbeda-beda, sehingga meningkatnya kasus kebocoran data. Secara yuridis Rancangan Undang-Undang Perlindungan Data Pribadi merupakan kewajiban negara melalui konstitusi yang diatur dalam Pasal 28G dan Pasal 28J Undang-Undang Dasar 1945. UU Perlindungan Data Pribadi dapat menjadi solusi sebagai payung hukum yang penting untuk melindungi individual terkait data pribadi demi mewujudkan ruang digital yang lebih aman bagi warga negara Indonesia. Oleh karena itu, pengaturan dalam RUU PDP dibutuhkan untuk mewujudkan instrumen hukum yang lebih holistik. RUU PDP mengatur jenis data pribadi, subyek data pribadi, kewajiban pengendali data pribadi, pemrosesan data, dan transfer data termsuk pengaturan mengenai sanksi, penyelesaian sengketa, kerja sama internasional, hingga peran pemerintah dan masyarakat dalam PDP.
Pengaturan mengenai perlindungan data pribadi dipandang belum cukup efektif karena masih tersebar dalam beberapa pengaturan yang bersifat sektoral sehingga belum memberikan perlindungan yang optimal, namun perlindungan tersebut juga perlu memperhatikan kedudukan negara melalui lembaga/institusi negara yang sekaligus berkedudukan sebagai regulator, fasilitator dan user. Adapun secara substantif RUU PDP juga sangat berpotensi beririsan dengan kewenangan penyadapan yang dimiliki oleh K/L tertentu berdasarkan atribusi kewenangan oleh UU yang melekat pada kelembagaan negara tertentu.
Banyak kalangan menilai bahwa Pemerintah Indonesia juga belum memberikan sosialisasi dan edukasi bagi warga negara untuk menjaga data pribadi sehingga awareness warga negara tentang perlindungan data pribadi belum terbentuk sehingga menjadi faktor pendukung penyebab maraknya pencurian data pribadi. Penyalahgunaan data pribadi ini akan berdampak pada kestabilan politik Indoensia yaitu potensi terjadinya eksploitasi data pribadi dalam pemilihan umum di Indonesia. Hal ini mengingat pada Pemilu 2019 dan Pilkada 2020 memperlihatkan penggunaan data untuk politik termasuk profiling terutama media sosial meningkat, sehingga potensi eksploitasi data untuk kepentingan politik juga akan meningkat.
Ada beberapa dampak jika RUU PDP terlalu lama tidak segera disahkan antara lain : pertama, Indonesia sebagai negara dengan jumlah pengguna internet terbesar keempat di dunia pada tahun 2021, dengan pengguna akses internet mencapai 202 juta orang atau 73 % dari 274 juta penduduk pada tahun 2020, merupakan salah satu pangsa pasar transasksi digital terbesar yang rentan terhadap pencurian data. Disahkannya UU PDP dapat memberikan manfaat langsung kepada nilai ekonomi termasuk jaminan kepastian hukum dan keamanan transaksi keuangan serta perlindungan data.
Kedua, adanya Pengawas Independen yang menjadi titik sentral perlindungan data pribadi perlu dibentuk sehingga mampu mendapatkan legitimasi tidak hanya dari Pemerintah namun juga dari sektor privat. Sementara adanya lembaga pengawas tersebut dapat melekat pada fungsi Komisi Informasi Pusat (KIP) atau Komisi Penyiaran Indonesia (KPI) dalam rangka melaksanakan amanat UU PDP, sebelum dibentuk oleh Pemerintah dan diisi oleh Komisioner yang mampu bekerja secara profesional dan berintegritas dalam memberikan pengawasan terhadap keamanan dan perlindungan data pribadi.
Ketiga, kebocoran data pribadi ini dikarenakan lemahnya sistem keamanan siber pemerintah Indonesia. Tidak hanya itu, ketiadaan regulasi yang mengatur dan melindungi juga dituding menjadi penyebab maraknya pencurian data pribadi. Ketiadaan regulasi ini membuat lembaga negara dan swasta cenderung serampangan dalam mengelola data pribadi karena tak bisa dituntut saat ada kasus peretasan dan kebocoran data.
Terkait masalah serius ini, menurut penulis maka Presiden dapat segera memerintahkan Kemenkumham, Kemenkominfo, BSSN, KIP dan KPI agar mengawal RUU PDP sebagai agenda prioritas untuk menjaga keamanan dan kedaulatan data nasional sesuai kaidah dan norma UU. Disamping itu, memerintahkan Kemenkominfo dan BSSN agar mampu mengidentifikasi dan mentakedown konten hoax maupun propaganda negatif terkait isu perlindungan data pribadi di berbagai media massa yang menyudutkan Pemerintah dan mengedepankan strategi persuasi di media sosial terkait RUU PDP.
*Penulis adalah pemerhati media massa. Tinggal di Bireuen, Aceh
