Tantangan Tiga Tahun Implementasi EU GDPR: Pembelajaran bagi RUU Pelindungan Data Pribadi

Siaran Pers

Tantangan Tiga Tahun Implementasi EU GDPR: Pembelajaran bagi RUU Pelindungan Data Pribadi

Tepat hari ini, 25 Mei 2021, the European Union General Data Protection Regulation (EU GDPR), tiga tahun berlaku mengikat bagi negara-negara Uni Eropa, dan yang menundukan diri pada hukum EU. EU GDPR dianggap sebagai instrumen pelindungan data pribadi yang paling modern dan komprehensif, sehingga banyak menjadi rujukan bagi pembaruan legislasi perlindungan data pribadi di berbagai negara, termasuk Indonesia. Namun demikian, meski digadang-gadang sebagai standar pelindungan data yang paling komprehensif saat ini, dalam implementasinya juga masih ditemukan sejumlah tantangan dan permasalahan. Dalam laporan evaluasi implementasi tiga tahun EU GDPR, yang diadopsi oleh Parlemen Eropa pada 25 Maret 2021 lalu, dikatakan bahwa: tantangan utama saat ini adalah penguatan implementasi GDPR oleh platform digital, khususnya yang bergerak dalam sektor online advertising, micro-targeting, algorithmic profiling, dan praktik penggolongan, penyebaran dan amplifikasi konten di platform digital.

Lebih jauh, setidaknya terdapat beberapa catatan dalam implementasi GDPR, yakni: (1) penyalahgunaan dasar hukum kepentingan yang sah (legitimate interest) dalam pemrosesan data, yang dilakukan tanpa uji keseimbangan kepentingan (balance of interests test) oleh pengendali data; (2) urgensi untuk memfasilitasi pelaksanaan hak subjek data, khususnya yang terkait dengan hak-hak portabilitas data, dalam konteks pemrosesan data secara otomatis, termasuk pemrofilan; (3) pemberlakuan EU GDPR bagi UMKM, start-ups, organisasi dan asosiasi, termasuk sekolah, juga menuai berbagai tantangan, dan digarisbawahi perihal pentingnya dukungan informasi dan pelatihan guna meningkatkan kepatuhan terhadap EU GDPR; (4) terdapat ketidakmerataan penegakan dan perbedaan interpretasi EU GDPR, khususnya dalam hal penggunaan klausul ‘kepentingan publik’, sebagai dasar hukum pemrosesan data pribadi; (5) penyalahgunaan EU GDPR oleh pejabat publik untuk menekan jurnalis dan organisasi masyarakat sipil dalam hal kebebasan berekspresi dan informasi.

Hal lainnya yang juga menjadi catatan penting dari penegakan EU GDPR sejauh ini adalah terkait peran Otoritas Pelindungan Data Pribadi (Otoritas PDP). European Parliament menjelaskan bahwa dari 21 Otoritas PDP (dari total 30 Negara yang tunduk pada EU GDPR), secara eksplisit menyuarakan permasalahan sumber daya manusia, teknis dan keuangan, bangunan dan infrastruktur yang memadai untuk secara efektif menjalankan tugas dan wewenangnya. Hal serupa disampaikan oleh Access Now dalam “Three Years under the EU GDPR: An Implementation Progress Report”, yang menjelaskan bahwa dalam rentang waktu Mei 2018 hingga Maret 2021, Otoritas PDP telah memungut 596 denda dan sanksi dengan total € 278.549.188. Selain itu, data tentang penggunaan mekanisme denda dalam penegakan EU GDPR, juga menunjukkan perbedaan yang besar dalam penerapannya, dari masing-masing Otoritas PDP di tiap negara anggota, dalam menggunakan kewenangan mereka.

Sebagai perbandingan, Otoritas PDP Spanyol misalnya, didaulat sebagai Otoritas PDP yang paling aktif menggunakan kewenangan mereka, dengan total jumlah denda sebanyak 223, sedangkan Otoritas PDP Luxembourg dan Slovenia, belum menggunakan mekanisme denda sama sekali dalam penggunaan wewenangnya. Meskipun ada peningkatan jumlah denda yang dikenakan oleh Otoritas PDP terhadap pengendali data, akan tetapi sejumlah besar pengaduan dari individu subjek data, tetap belum tertangani secara optimal, terutama pada kasus-kasus yang bersifat cross-border yang cenderung sangat lambat penanganannya. Situasi tersebut sesungguhnya memberikan pembelajaran penting tentang besarnya tantangan dalam implementasi sebuah legislasi pelindungan data pribadi, untuk memastikannya bekerja secara efektif, dan dapat melindungi hak-hak dari subjek data secara optimal.

Lantas bagaimana dengan Indonesia? Apabila kita membaca kembali naskah RUU Pelindungan Data Pribadi usul inisiatif pemerintah, yang saat ini tengah dibahas di DPR, usulan pembentukan pelindungan data pribadi yang independen ini belum mengemuka. Padahal, sebagaimana telah disinggung sebelumnya, Otoritas PDP merupakan salah satu pilar utama dalam memastikan efektif dan optimalnya penegakan perlindungan data pribadi. Selain itu, keberadaan otoritas ini juga akan sangat menentukan level kesetaraan (adequacy) hukum perlindungan data pribadi Indonesia dengan negara lain, yang akan sangat berpengaruh pada proses penyelesaian permasalahan perlindungan data yang bersifat lintas batas. Apalagi, hukum pelindungan data pribadi Indonesia nantinya, tidak hanya berlaku mengikat bagi sektor privat, tetapi juga badan-badan publik pemerintah (pusat dan daerah), sehingga keberadaan otoritas ini menjadi sangat penting dan relevan, untuk menjamin penegakan hukum yang adil dalam pelindungan data pribadi.

Catatan penting lainnya dari sisi substansi RUU PDP, beberapa materi penting perlu dikaji mendalam untuk memastikan terciptanya legislasi pelindungan data pribadi yang komprehensif dan dapat diimplementasikan (applicable). Isu-isu krusial seperti, klasifikasi data pribadi spesifik dan mekanisme pelindungannya; pelindungan data pribadi anak; hak-hak subjek data, khususnya terkait dengan hak akses, portabilitas data, penghapusan, pemrofilan dan pengambilan keputusan secara otomatis, serta hak atas pemulihan; dan pengecualian dalam pelindungan data, harus dipastikan sesuai dengan prinsip-prinsip pelindungan data pribadi dan HAM. Selain itu, beberapa hal kunci seperti tanggung jawab pengendali dan pemroses data, independensi dari Otoritas PDP, serta pengaturan sanksi, juga menjadi materi penting untuk didiskusikan secara mendalam, guna menjamin efektifitas dalam aplikasinya.

Berangkat dari gambaran situasi di atas, terutama belajar dari tantangan tiga tahun implementasi EU GDPR, serta beberapa permasalahan dalam pelindungan data pribadi di Indonesia, Lembaga Studi dan Advokasi Masyarakat (ELSAM) merekomendasikan hal-hal berikut:

  1. DPR dan Pemerintah untuk segera melakukan proses percepatan pembahasan dan pengesahan RUU Pelindungan Data Pribadi, terutama mengingat rangkaian insiden kebocoran data pribadi dalam beberapa waktu belakang, dengan tetap menjamin partisipasi publik dalam prosesnya, dan memastikan kesesuaian materinya dengan prinsip-prinsip pelindungan data pribadi.
  2. DPR RI dan Pemerintah, untuk segera menemukan titik temu terkait kebutuhan pembentukan Otoritas Pelindungan Data Pribadi, sebagai salah satu pilar utama yang akan memastikan penegakan hukum pelindungan data  pribadi yang efektif, dalam implementasinya nanti.
  3. DPR RI dan Pemerintah perlu menyiapkan dan menyusun strategi pembahasan RUU Pelindungan Data Pribadi, dengan mengacu pada Daftar Inventarisasi Masalah (DIM), guna menjamin ketepatan waktu target pengesahannya.
  4. Seluruh pemangku kepentingan, termasuk pemerintah dan sektor swasta, perlu untuk terus mengembangkan untuk secara baik menerjemahkan pelaksanaan prinsip-prinsip pelindungan data pribadi, dalam seluruh kegiatan yang melibatkan pemrosesan data pribadi, sebagai langkah persiapan sebelum berlaku mengikatnya UU Pelindungan Data Pribadi.
  5. Seluruh pemangku kepentingan untuk terus melakukan upaya-upaya literasi digital, khususnya terkait dengan kebutuhan untuk melindungi data pribadi, sebagai bagian dari peningkatan kesadaran publik untuk melindungi data pribadinya, sekaligus mengenalkan rangkaian hak-hak sebagai subjek data pribadi.

Jakarta, 25 Mei 2021

 

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Direktur Eksekutif ELSAM), telepon: 081382083993, Lintang Setianti (Peneliti ELSAM) telepon: 085711624684, Alia Yofira (Peneliti ELSAM), telepon: 081217015759.