Naskah Rancangan Undang-Undang tentang Pelindungan Data Pribadi (RUU PDP) telah secara resmi diserahkan Presiden Joko Widodo kepada Ketua Dewan Perwakilan Rakyat RI melalui Surat Presiden No. R-05/Pres/01/2020 tanggal 24 Januari 2020 lalu.
Ini menjadi babak baru bagi perjalanan RUU PDP untuk disahkan tahun ini.
Sebelumnya, di era Menkominfo Rudiantara regulasi ini sempat digeber namun, draft RUU PDP dikembalikan kembali oleh Sekretariat Negara ke Kementrian Komunikasi dan Informatika (Kominfo) untuk dibahas bersama kementrian lainnya.
Salah satu kendala dalam penyusunan RUU PDP di era Rudiantara adalah menyesuaikan aturan tentang data pribadi yang tersebar dalam 32 regulasi. Status RUU PDP sendiri saat ini telah selesai proses harmonisasi dan finalisasi antar kementerian/lembaga, untuk selanjutnya disampaikan kepada DPR.
Kabarnya, ada tujuh pasal yang perlu direvisi dalam draf RUU PDP yakni Pasal 20 mengenai permintaan data pribadi. Pasal 1 angka 7 mengenai definisi korporasi. Pasal 7 mengenai hak memperbarui dan memperbaiki data pribadi. Pasal 10 mengenai hak untuk mengajukan keberatan.
Berikutnya, Pasal 17 ayat 2 huruf a mengenai prinsip perlindungan data pribadi. Pasal 22 ayat 2 mengenai pengecualian alat pemroses atau pengolah data visual. Pasal 44 mengenai pengecualian kewajiban pengendalian perlindungan data pribadi. Kementerian Dalam Negeri dan Kejaksaan Agung juga meminta dipertimbangkan agar RUU PDP ini mengatur ketentuan mengenai alat bukti yang sah, termasuk alat bukti elektronik.
Kedaulatan Data
Banyak kalangan menilai RUU PDP sebagai roadmap pemerintah dalam mewujudkan kedaulatan data.
Begitu RUU PDP disahkan menjadi Undang-undang, Indonesia akan menjadi negara kelima di Asia Tenggara yang memiliki aturan terkait pelindungan data pribadi. Di negara-negara ASEAN saat ini ada 4 negara yang punya General Data Protection Regulation (GDPR) atau Regulasi Perlindungan Data, yaitu; Singapura, Malaysia, Thailand, dan Filipina. Di dunia telah ada 126 negara yang punya GDPR.
Rancangan UU PDP ini akan menjadi standar pengaturan nasional tentang pelindungan data pribadi, baik data pribadi yang berada di Indonesia maupun data pribadi warga negara Indonesia yang berada di luar negeri.
Jangkauan pengaturan rancangan undang-undang ini akan berlaku untuk sektor publik (pemerintah) dan sektor privat (perorangan maupun korporasi baik yang badan hukum maupun tidak badan hukum).
Setidaknya ada empat unsur penting yang menjadi perhatian pemerintah dalam RUU PDP.
Pertama terkait data sovereignty dan data security, kedaulatan data dan data demi kepentingan keamanan negara.
Kedua, terkait dengan data owner, pemilik data baik data pribadi maupun data spesifik lainnya yang sudah diatur secara jelas dalam draft ini.
Ketiga, data user yang membutuhkan data yang akurat yang terverifikasi dengan baik. Dalam hal ini pengaturan lalu lintas data, khususnya antar negara atau cross-border data flow.
RUU PDP memuat beberapa substansi pengaturan yang esensial untuk memberikan pelindungan terhadap masyarakat, ditujukan untuk menjadi kerangka regulasi yang lebih kuat serta dapat memayungi ketentuan perundang-undangan lain yang terkait dengan data pribadi namun masih tersebar ke beberapa sektor.
Secara umum, RUU PDP mengatur tentang: (1) jenis data pribadi; (2) hak pemilik data pribadi; (3) pemrosesan data pribadi; (4) pengecualian terhadap pelindungan data pribadi; (5) pengendali dan prosesor data pribadi, termasuk kewajiban dan tanggung jawabnya; (6) pejabat/petugas/DPO; (7) pedoman perilaku pengendali data pribadi; (8) transfer data pribadi; (9) penyelesaian sengketa; (10) larangan dan ketentuan pidana; (11) kerjasama internasional; (12) peran pemerintah dan masyarakat; (13) sanksi administrasi.
Kelemahan
Sayangnya, dalam draft RUU ini masih banyak titik kelemahan yang justru tidak memperkuat posisi Indonesia di era digital.
Membaca naskah draft RUU yang dikirimkan ke DPR terdapat beberapa catatan yang diharapkan menjadi pertimbangan tinjauan RUU ini menjadi lebih lengkap dan baik.
Pertama, draft RUU ini masih kebingungan untuk menentukan data mana yang dilindungi, apakah data spesifik atau data umum. Soal tanggal lahir saja tidak bisa ditentukan apakah data umum atau data spesifik.
Kedua, draft RUU ini banyak mengadopsi atau mencontek dari GDPR. Dan memang masih banyak ketidakjelasan, lubang dan PR bilamana RUU ini disahkan jadi UU. Apalagi semua penyelenggaraan pelindungan data pribadi ada di Menteri. Namun Menteri yang mana yang bertanggung jawab, tidak jelas.
Ketiga, ada dua pasal mengatur pengecualian, ini perlu dipilah lagi mana yang tetap harus dilindungi dan mana yang dikecualikan.
Keempat, sanksi-sanksinya terutama terkait pidana sangat berat, apalagi kalau lihat ancaman kurungan dan atau ancaman denda hingga puluhan miliar. Ini harus dibuka dasar menghitungnya dari mana. Sebab kalau GDPR kan yang kena denda lebih ke lembaga atau organisasi yang besarnya 4% dari turnover. Nah di RUU ini kan masuk ke individu juga.
Kelima, ada juga ketentuan data-data juga bisa dipindah-pindahkan dari satu Pengendali Data Pribadi ke lainnya dalam satu wilayah RI dengan tanpa ada aturan bahwa itu perlu persetujuan Pemilik Data Pribadi. Ini sangat-sangat berbahaya.
Keenam, tidak terlihat adanya suatu Lembaga Pengawas/Pemberi Pelindungan Data Pribadi. Beberapa negara ada lembaga itu. Kalau semua di bawah Menteri, tapi tidak jelas Menteri yang mana. Dikhawatirkan nantinya kita punya UU nantinya, tapi yang mengatur, mengawasi dan mengendalikannya tidak ada. Bisa seperti macan ompong
Ketujuh, tidak terlihat juga adanya aturan kewajiban penempatan Data Pribadi orang Indonesia di wlayah hukum Indonesia. Ini perlu diperjuangkan. Harusnya baik pengendali maupun pemroses data pribadi harus berbadan hukum Indonesia dan menempatkan data pribadi orang Indonesia di dalam wilayah Indonesia.
Kedelapan, RUU ini terlihat masih memisahkan Pengendali Data Pribadi dan Pemroses Data Pribadi.
Padahal, seperti Facebook, Twitter, WhatsApp dan Over The Top (OTT) lainnya tidak hanya Pengendali Data Pribadi, tapi juga Pemroses Data Pribadi. Nah ini yang belum terlihat secara tegas mengaturnya, karena seperti dua sisi mata uang. Dan tentunya bagaimana menjatuhkan sanksi bila mereka melanggar juga tidak jelas nantinya.
Semoga catatan-catan ini menjadi perhatian ketika DPR membahasnya agar tujuan dari UU PDP benar-benar tercapai yakni tak hanya melindungi data warga negara tetapi juga menjaga kekayaan Indonesia tak lari ke luar negeri.
Ingat, di era digital, data adalah sumber kekayaan baru!
@IndoTelko