RUU PDP: Kapan Harus Disahkan?

Masifnya segala hal yang saat ini berbentuk online – seperti transaksi dan kebutuhan informasi – juga menimbulkan peningkatan kerentanan dari sisi keamanan. Pada April 2020, data jutaan pengguna Tokopedia bocor. Pada Juni 2020, data pasien COVID-19 juga bocor. Pada pekan ini, terdapat laporan bahwa data pribadi Denny Siregar – penulis dan penggiat media sosial – juga bocor.

Kebocoran data bukanlah perihal yang enteng. Keamanan data dianggap serius dan banyak tokoh hingga parpol mendorong pemerintah untuk mengambil langkah tegas seperti agar segera mengesahkan RUU Perlindungan Data Pribadi (PDP). RUU ini sudah lama digagas sejak 2012, dengan harapan kasus kebocoran data tidak terulang.

Pengaturan dan Poin Penting RUU

Secara garis besar, RUU mengatur beberapa hal, yakni: Definisi Data Pribadi; Macam Data Pribadi; Pihak yang Bersangkutan; Kewajiban Data Controller, Data Processor, dan Hak Data Owner; dan Sanksi. Berikut sedikit gambarannya.

Mudahnya, dalam Pasal 1 angka 1, Data Pribadi adalah setiap data tentang seseorang yang teridentifikasi dan/atau dapat diidentifikasi baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non-elektronik.

Macam Data Pribadi

Pasal 3 ayat (2) menyebut Data Umum mencakup nama lengkap; jenis kelamin; kewarganegaraan; agama; dan/atau Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Pasal 3 ayat (3) menyebut Data Sensitif mencakup data dan informasi kesehatan; data biometrik; data genetika; kehidupan/orientasi seksual; pandangan politik; dll. Kesensitifan data ini dikarenakan seseorang dapat diidentifikasi hal-hal sensitif seumur hidupnya (seperti riwayat kesehatan), sehingga dapat kerap menjadi sumber permasalahan stigmatisasi, diskriminasi, dan eksklusivisme.

Pihak dalam RUU PDP

Terdapat tiga pihak penting yang dijelaskan dalam Pasal 1, yakni:

  1. Data Owner, atau pemilik data pribadi tersebut;
  2. Data Controller, atau pihak yang memiliki control atau pengendalian atas data milik Data Owner guna memroses data tersebut
  3. Data Processor, atau pihak yang memroses data milik Data Owner.

Dalam hal pelaksanaan fungsi perlindungan data pribadi, terdapat pihak yang disebut sebagai Pejabat atau Petugas yang ketentuannya dalam pelaksanaan fungsi perlindungan data pribadi diatur dalam Pasal 45 dan 46.

Kewajiban Data Controller, Data Processor, dan Hak Data Owner

Pasal 4 hingga Pasal 16 yang mengatur hak Data Owner seperti dalam Pasal 4, Data Owner memiliki hak untuk meminta informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi, dll.

Kewajiban Controller terdapat dalam Pasal 24 hingga 42. Bentuk kewajibannya seperti memberi informasi tentang legalitas, tujuan, dll. untuk mendapat persetujuan pemrosesan data, dll.

Kewajiban Processor Pasal 43 hingga Pasal 44. Bentuk kewajibannya seperti Processor Data Pribadi wajib melakukan pemrosesan Data Pribadi berdasarkan instruksi atau perintah Data Controller kecuali ditentukan lain berdasarkan ketentuan peraturan perundang-undangan.

Ketentuan Sanksi

Sanksi memiliki dua jenis, yakni sanksi administratif yang diatur dalam Pasal 50 dan Sanksi Pidana yang tecantum dalam Ketentuan Pidana dalam Pasal 61 hingga 69.

Lebih lanjut, berikut beberapa poin yang juga penting, yakni:

  1. Pasal 70 menyebut bahwa, pihak-pihak terkait yang menjadi cakupan dari RUU PDP ini harus dapat menyesuaikan kebutuhan-kebutuhan yang diatur dalam RUU ini setidaknya dua tahun sejak RUU ini disahkan;
  2. Data Controller harus secara eksplisit mendapatkan persetujuan dari Data Owner untuk melakukan pemrosesan data, baik secara umum maupun spesifik tergantung informasi apa yang ingin dikumpulkan. Jika tidak, sesuai Pasal 20 maka perjanjian dinyatakan batal demi hukum
  3. Pasal 40 mengatur tentang kewajiban Data Controller untuk memberikan notifikasi kepada Data Owner dan Kementerian terkait ketika terjadi breach dalam kurun waktu maksimal 72 jam.

Meski sekilas RUU ini terlihat komprehensif, ternyata menurut beberapa tokoh justru sebaliknya. Dilansir dari Katadata, terkait unsur-unsur yang ada, pihak Menkominfo meminta: Pertama, kedaulatan data. Pemerintah ingin data yang ada di dalam negeri tak diolah dan dikuasai pihak asing; Kedua, terkait kepemilikan data baik pribadi maupun yang spesifik lainnya; Ketiga, pengaturan lalu lintas data.

Dalam RUU ini terdapat prinsip Ekstra-Teritorial yang berarti keberlakuan RUU tersebut tidak hanya dalam Indonesia, namun juga teritorial mana pun yang mengelola, mendapatkan, memroses data warga negara Indonesia. Dengan kata lain, Selama sistem elektronik mengolah data warga Indonesia, RUU ini tetap berlaku. Namun, meskipun demikian, menurut Yohanes Sirait dalam sebuah Law Review (2019), regulasi dengan prinsip Ekstra-Teritorial tidak boleh melanggar kedaulatan negara lain.

Becermin dari Pengalaman Internasional

Sudah ada 136 negara lebih yang memiliki Undang-Undang tentang perlindungan data pribadi seperti General Data Protection Regulation (GDPR) yang dimiliki negara-negara Uni Eropa, hingga negara-negara tetangga Indonesia yang menyebabkan Indonesia menjadi negara ke-5 ASEAN jika mengesahkan RUU PDP. Mereka adalah:

  1. Malaysia, memiliki Personal Data Protection Act, tahun 2010.
  2. Filipina, memiliki Data Privacy Act, tahun 2012.
  3. Singapore, memiliki Personal Data Protection Act, tahun 2012.
  4. Thailand, memiliki Personal Data Protection Act, tahun 2019.

Menurut riset ELSAM (Lembaga Studi dan Advokasi Masyarakat) bahwa jika Uni Eropa membuat kodifikasi yang rigid dan detil dalam GDPR dan menempatkan perlindungan data pribadi sebagai pemenuhan privasi sebagai hak asasi, maka Amerika Serikat menggunakan banyak undang-undang sektoral yang komprehensif dan menempatkan PDP sebagai hak milik kebendaan. Melihat hal tersebut, dilansir dari Hukumonline, Wahyudi Djafar, Deputi Direktur Riset ELSAM menyebutkan bahwa RUU PDP adalah perpaduan antara GDPR Uni Eropa dan Konsep Amerika.

Contohnya, dalam hal Ekstra-Teritorial. Hal ini sama dengan apa yang tercantum dalam Pasal 3 GDPR tentang Territorial Scope bahwa GDPR tidak hanya berlaku untuk perusahaan di EU, tetapi juga untuk perusahaan di luar EU yang melayani (atau melacak, memroses, mengontrol data) penduduk EU. Kembali merujuk pada pendapat Yohanes Sirait dalam sebuah Law Review (2019) bahwa prinsip ini memiliki hubungan dengan konsep kedaulatan dalam Hukum Internasional.

Sesuai yang disebutkan dalam regulasi European Union terkait perlindungan data pribadi, bahwa perlindungan data pribadi adalah hak yang fundamental. Indonesia adalah negara terbesar ASEAN, memiliki jumlah penduduk yang besar maka sudah sepatutnya Indonesia memiliki UU Perlindungan Data Pribadi ini.

Jika ditanya kapan mustinya pemerintah mengesahkan regulasi terkait perlindungan data ini, maka jawabannya adalah harus sangat segera daripada membahas regulasi yang urgensinya masih di bawah RUU Perlindungan Data Pribadi.

Meskipun sudah ada beberapa regulasi terkait perlindungan data pribadi – seperti Permenkes Nomor 20 Tahun 2016 tentang PDP dalam sistem Elektronik, dll. – pemerintah tetap dan sudah sangat harus untuk meninjau ulang, menetapkan, serta mengesahkan RUU PDP sebagai UU khusus agar dapat memberikan keamanan yang seharusnya bagi data warga Indonesia, lebih-lebih agar Indonesia tidak tertinggal lebih jauh dari negara-negara lain.

Baca artikel lain oleh Brilian:

  1. Sahabat Pengadilan: Dalam Bingkai Kecil dan Masa Depan di Indonesia
  2. Probabilitas Mahkamah Pidana Internasional Menyelesaikan Kasus Pelarungan ABK

kawanhukum.id merupakan platform digital berbasis website yang mewadahi ide Gen Y dan Z tentang hukum Indonesia. Tulisan dapat berbentuk opini, esai ringan, atau tulisan ringan lainnya dari ide-idemu sendiri. Ingin tulisanmu juga diterbitkan di sini? Klik tautan ini.

 



Pelajar penuh waktu tanpa hari minggu. Pendengar setia Patsy Cline, Willie Nelson, Queen, Scorpions, dkk. Ingin bercengkrama, bercerita, atau sekadar menyapa? Yuk, silahkan klik kontak berikut~

Tinggalkan Balasan