Pengesahan RUU Pelindungan Data Pribadi: ‘Terancam’ Menjadi Macan Kertas

Dalam Rapat Paripurna 20 September 2022, DPR akhirnya mengesahkan RUU Pelindungan Data Pribadi (PDP) menjadi undang-undang. Pengesahan ini menjadi cukup bersejarah, mengingat panjang dan penuh dramanya proses perdebatan RUU tersebut, setidaknya sejak diajukan usul inisiatif oleh Presiden pada 24 Januari 2020, hingga kemudian disahkan setelah lebih dari 2,5 tahun proses pembahasan. Publik sendiri telah menunggu lama hadirnya legislasi PDP yang komprehensif di Indonesia, mengingat karut-marutnya perlindungan data pribadi, salah satunya sebagai akibat sektoralisme hukum PDP, yang berdampak pada ketidakpastian hukum dalam perlindungan.

Pertanyaannya kemudian, apakah RUU yang dihasilkan ini dapat menjawab berbagai permasalahan perlindungan data pribadi di Indonesia? Secara umum membaca substansi materi UU PDP yang disepakati memang telah mengikuti standar dan prinsip umum perlindungan data pribadi yang berlaku secara internasional. Terutama adanya kejelasan rumusan mengenai definisi data pribadi, jangkauan material yang berlaku mengikat bagi badan publik dan sektor privat, perlindungan khusus bagi data spesifik, adopsi prinsip-prinsip pemrosesan data pribadi, batasan dasar hukum pemrosesan data pribadi, perlindungan hakhak subjek data, serta kewajiban pengendali dan pemroses data. Artinya dengan klausul demikian, mestinya legislasi ini dapat memberikan kepastian hukum dan perlindungan hukum yang menyeluruh dalam pemrosesan data pribadi di Indonesia.

Meski telah mengakomodasi berbagai standar dan memberikan garansi perlindungan bagi subyek data, akan tetapi implementasi dari undang-undang ini berpotensi problematis, hanya menjadi macan kertas, lemah dalam penegakkannya. Mengapa demikian? Situasi tersebut hampir pasti terjadi, akibat ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum, sebagai imbas kuatnya kompromi politik, khususnya berkaitan dengan Lembaga Pengawas Pelindungan Data Pribadi.

Pada dasarnya, belajar dari praktik di banyak negara, kunci efektivitas implementasi UU PDP berada pada otoritas perlindungan data, sebagai lembaga pengawas, yang akan memastikan kepatuhan pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data. Apalagi ketika UU PDP berlaku mengikat tidak hanya bagi sektor privat, tetapi juga badan publik (kementerian/lembaga), maka independensi dari otoritas ini menjadi mutlak adanya, untuk memastikan ketegasan dan fairness dalam penegakan hukum PDP.

Sayangnya, meski UU PDP ditegaskan berlaku mengingat baik bagi korporasi maupun pemerintah, undang-undang ini justru mendelegasikan kepada Presiden untuk membentuk Lembaga Pemerintah NonKementerian (LPNK), yang bertanggung jawab kepada Presiden. Artinya otoritas ini pada akhirnya takubahnya dengan lembaga pemerintah (eksekutif) lainnya, padahal salah satu mandat utamanya adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran. Pertanyaan besarnya, apakah mungkin satu institusi pemerintah memberikan sanksi pada institusi pemerintah yang lain? Belum lagi UU PDP juga seperti memberikan cek kosong pada Presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini, sehingga ‘kekuatan’ dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ Presiden yang akan merumuskannya.

Kondisi tersebut makin problematis dengan ‘ketidaksetaraan’ rumusan sanksi yang dapat diterapkan terhadap sektor publik dan sektor privat, ketika melakukan pelanggaran. Bila melakukan pelanggaran, sektor publik hanya mungkin dikenakan sanksi administrasi (Pasal 57 ayat (2)), sedangkan sektor privat selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan (Pasal 57 ayat (3)), bahkan dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70. Dengan rumusan demikian, meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data, namun dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik.

Risiko over-criminalisation juga mengemuka dari berlakunya undang-undang ini, khususnya akibat kelenturan rumusan Pasal 65 ayat (2) jo. Pasal 67 ayat (2), yang pada intinya mengancam pidana terhadap seseorang (individu atau korporasi), yang mengungkapkan data pribadi bukan miliknya secara melawan hukum. Dalam hukum PDP, pemrosesan data pribadi, termasuk pengungkapan, sepanjang tidak memenuhi dasar hukum pemrosesan (persetujuan/konsen, kewajiban hukum, kewajiban kontrak, kepentingan publik, kepentingan vital, dan kepentingan yang sah), maka dapat dikatakan telah melawan hukum. Ketidakjelasan batasan frasa ‘melawan hukum’ dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya, yang berisiko disalahgunakan, untuk tujuan mengkriminalkan orang lain.

Lebih jauh, selain ragam catatan permasalahan di atas, tantangan besar implementasi UU PDP adalah pada penyiapan dan pembentukan berbagai regulasi pelaksana, mulai dari Peraturan Pemerintah, Peraturan Presiden, peraturan lembaga, hingga berbagai panduan teknis lainnya. Detail dan kedalaman dari berbagai peraturan teknis yang dirumuskan, akan sangat menentukan dapat berlaku tidaknya undang-undang ini. Besarnya tantangan ini misalnya sebagai akibat terbatasnya tugas, fungsi, dan wewenang yang dimiliki oleh Lembaga Pengawas Perlindungan Data, yang merupakan bagian dari institusi eksekutif, sehingga tidak dilengkapi dengan wewenang penyelesaian sengketa melalui mekanisme ajudikasi non-litigasi, dan kewenangan mengeluarkan putusan mediasi terkait ganti kerugian. Belum lagi problem batasan waktu (timeline) dalam pemenuhan hak subjek data oleh pengendali data, yang diatur secara rigid dan berlaku untuk semua sektor (keseluruhannya dirumuskan 3×24 jam). Ketentuan tersebut tentunya akan menjadi kendala bagi pengendali data dari beragam sektor, dengan corak dan model bisnis yang berbeda-beda, termasuk juga sektor publik, untuk dapat memastikan kepatuhan pada UU PDP.

Sebagai penutup, lahirnya UU PDP sebagai legislasi perlindungan data yang komprehensif, tentunya bukanlah solusi akhir atas semua persoalan perlindungan data pribadi, termasuk rentetan insiden kebocoran data pribadi. Hadirnya UU PDP ini justru memperlihatkan luas dan dalamnya masalah perlindungan data pribadi di Indonesia, yang harus segera ditangani dan diperbaiki, dengan mengacu pada UU PDP baru. Jangka waktu dua tahun masa transisi tentu sangat terbatas untuk dapat melakukan sinkronisasi berbagai regulasi terkait perlindungan data, yang selama ini tersebar dalam berbagai sektor. Termasuk penyiapan berbagai regulasi pelaksana dan pembentukan kelembagaan otoritas perlindungan data pribadi, selain juga
pengendali/pemroses data, baik sektor publik maupun privat harus segera pula melakukan pembenahan internal untuk memastikan kepatuhannya pada UU PDP. Dengan besarnya tantangan yang demikian, selain diperlukan kepemimpinan politik dari Presiden, yang diberikan mandat untuk mengimplementasikan undang-undang ini, juga dibutuhkan peran serta dan itikad baik dari seluruh pemangku kepentingan, untuk dapat memperbaiki tata kelola ekosistem perlindungan data pribadi di Indonesia.

Jakarta, 20 September 2022
Lembaga Studi dan Advokasi Masyarakat (ELSAM)
Wahyudi Djafar
Direktur Eksekutif

Similar Posts