Pelaksanaan UU Pelindungan Data Pribadi Memerlukan Kebijakan Teknis

ELSAM, Jakarta—Sejumlah ketentuan dalam RUU Pelindungan Data Pribadi (RUU PDP) yang kini dalam tahap proses pembahasan di DPR sulit dilakasanakan tanpa adanya aturan turunan yang lebih teknis.

Berangkat dari persoalan tersebut ELSAM menggelar diskusi kelompok terbatas dengan topik “Mengidentifikasikan Kebutuhan Kebijakan Teknis dalam Pelaksanaan Undang-Undang Pelindungan Data Pribadi”, Rabu (19/8). Diskusi dihadiri perwakilan dari sektor bisnis, pemerintahan, kesehatan, akademisi, dan Lembaga Swadaya Masyarakat (LSM).

Tony Seno dari Perhimpunan Rumah Sakit Seluruh Indonesia (PERSI) mengungkapkan bahwa ketentuan tentang hak subjek data yang ada di sektor kesehatan berbeda dengan yang diatur dalam RUU PDP. Tony mencontohkan tentang data rekam medis. Di bidang kesehatan data tersebut menurutnya merupakan milik rumah sakit di mana pasien tersebut diperiksa atau dirawat. Pasien juga tidak berhak meminta data tersebut dihapus.

”Setelah RUU PDP ini selesai, Kementerian Kesehatan memiliki tugas untuk menyesuaikan peraturan-peraturan yang terkait,” pungkas Tony.

Demikian juga di sektor perbankan. Lutfi Ekaputra dari OJK mengungkapkan terdapat pengaturan yang berbeda mengenai data pribadi dalam RUU PDP dan UU Rahasia Bank. Dalam sektor perbankan kata Lutfi data pribadi masih dapat dibuka atas izin OJK.

“Dalam sektor perbankan jarang dilakukan penghapusan data karena terdapat kebutuhan untuk track record perbankan,” jelas Lutfi.

Ardhanti Nurwidya, Senior Manager of Public Policy and Government Relations Gojek Group, mengusulkan beberapa bentuk regulasi turunan UU PDP. Aturan tersebut menurutnya bisa berupa Peraturan Otoritas PDP, Guidelines Otoritas PDP, atau kode etik asosiasi.

“Mengenai jangka waktu, sanksi, dan DPO (data protection officer) dapat diatur melalui Peraturan Otoritas PDP. Selanjutnya, mengenai ruang lingkup data pribadi dan explicit consent dapat diatur melalui Guidelines Otoritas PDP yang bersifat non-binding. Adapun, Kode Etik Asosiasi mengatur mengenai kebutuhan secara sektoral,” tutur Ardhanti.

Kebutuhan akan aturan turunan juga ditekankan oleh Dimas Kuncoro dari Tokopedia. Misalnya mengenai kewajiban pengendali data dalam memberikan notifikasi kepada regulator dan masyarakat saat terjadi kegagalan pelindungan data. Pelaksanaan kewajiban tersebut menurut Dimas sangat rumit sehingga memerlukan aturan yang lebih rinci.

Yudi Rahmanu dari XL Axiata memberi tambahan mengenai ruang lingkup data pribadi. Jenis dan kewajiban perusahaan untuk memberikan rekam jejak kepada subjek data menurutnya juga perlu diperjelas. 

“Tipe data pribadi juga perlu untuk diatur dalam peraturan turunan. Selain itu, perlu juga diperjelas mengenai sejauh mana perusahaan harus menyediakan rekam jejak data pribadi sebagai hak subjek data,” kata Yudi.

Penulis: Shevierra Danmadiyah