Agar Aturan Pelindungan Data Pribadi Efektif
Penerbitan Undang-Undang Pelindungan Data Pribadi (UU PDP) perlu diikuti oleh penguatan lembaga pelaksana dan pengawasnya.
Arif Perdana
Senin, 30 September 2024
INDONESIA menghadapi masalah serius dalam pelindungan data pribadi dengan serangkaian kebocoran data yang mengancam privasi warga. Meskipun telah ada Undang-Undang Pelindungan Data Pribadi (UU PDP) yang membawa kemajuan signifikan, seperti pengaturan hak subyek data dan mekanisme penyelesaian sengketa, implementasi aturan ini masih menghadapi beberapa tantangan.
Beberapa tantangan tersebut antara lain kekhawatiran publik mengenai independensi lembaga PDP, fleksibilitas aturan bagi badan publik, dan potensi penyalahgunaan pengecualian untuk kepentingan umum. Selain itu, lembaga pengawasan atas implementasi UU PDP yang berlaku mulai Oktober 2024 belum jelas.
Masyarakat menantikan apakah pemerintah akan memenuhi komitmen atau undang-undang ini hanyalah regulasi tanpa kekuatan nyata. Efektivitas undang-undang ini bergantung pada pembentukan lembaga pengawas yang kuat, pengawasan ketat, transparansi tinggi, dan akuntabilitas yang jelas bagi semua pihak, termasuk pemerintah.
Dalam rancangan peraturan pemerintah (RPP) sebagai turunan undang-undang ini, mekanisme pelindungan data pribadi menekankan peran spesifik berbagai pihak. Lembaga PDP bertanggung jawab terhadap penegakan aturan, penyelidikan pelanggaran, pemberian sanksi, dan penyusunan pedoman.
Pengendali data, yang menginstruksikan pemrosesan data pribadi, bertanggung jawab penuh atas pelanggaran yang terjadi dan dapat dikenai sanksi jika gagal mematuhi aturan. Pengendali data memiliki tanggung jawab pribadi terbesar. Prosesor data bertugas memproses data sesuai dengan instruksi pengendali data, dengan tanggung jawab pribadi terbatas terhadap pelanggaran kewajiban prosesor.
Pejabat petugas pelindung data pribadi memastikan kepatuhan organisasi terhadap aturan pelindungan data tanpa memiliki tanggung jawab pribadi melapor kepada manajemen puncak untuk memastikan penerapan aturan. Subyek data—sebagai pemilik data—memiliki hak akses, perbaikan, penghapusan, pembatasan pemrosesan, portabilitas data, dan hak untuk mencari kompensasi atas pelanggaran.
RPP PDP juga mengatur pengawasan ketat oleh lembaga PDP, termasuk kewenangan untuk memeriksa sistem elektronik yang digunakan oleh pengendali dan prosesor data. Pengendali data diwajibkan menilai dampak pelindungan data pribadi dalam situasi tertentu untuk mengurangi risiko pelanggaran.
Untuk penyelesaian sengketa, RPP memperkenalkan mekanisme mediasi di luar pengadilan dengan lembaga mediasi profesional yang memfasilitasi dialog untuk mencapai kesepakatan. Jika mediasi gagal, sengketa dapat dilanjutkan melalui arbitrase atau pengadilan. Lembaga PDP juga menerima laporan dari subyek data yang merasa dirugikan.
RPP juga secara detail mengatur transfer data pribadi ke luar negeri, mensyaratkan bahwa negara tujuan harus memiliki pelindungan data yang setara atau lebih tinggi, atau ada mekanisme pelindungan yang memadai. Mekanisme ini dirancang untuk memastikan pelindungan hak subyek data, tapi memerlukan pengawasan untuk mencegah penyalahgunaan.
Konsekuensi Penegakan UU PDP
UU PDP mengatur sanksi tegas bagi siapa pun yang lalai melindungi data pribadi, dari denda administratif hingga hukuman pidana. Sanksi administratif dapat berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif. Sementara itu, sanksi pidana dapat berupa pidana penjara dan/atau denda.
UU PDP dan RPP PDP memiliki aspek-aspek positif. Aturan ini berupaya menyesuaikan standar pelindungan data di Indonesia dengan standar internasional, memberikan hak-hak yang jelas kepada subyek data, dan menciptakan kerangka kerja yang komprehensif untuk pelindungan data pribadi. Tantangannya adalah memastikan implementasi dan penegakan aturan-aturan ini dilakukan secara efektif serta konsisten.
Namun efektivitas undang-undang ini berada di ujung tanduk karena ketiadaan lembaga pengawas yang seharusnya berperan sebagai "penjaga gerbang" pada era digital. Kondisi ini menciptakan kekosongan dalam mekanisme pengawasan, yang pada akhirnya dapat membuat aturan ini tidak lebih dari sekadar formalitas hukum.
Dari analisis terhadap UU PDP dan RPP PDP muncul kekhawatiran bahwa aturan ini bisa menjadi “pisau bermata dua” serta dimanfaatkan oleh pemerintah atau entitas lain untuk menghindari tanggung jawab atas pelanggaran data.
Beberapa ketentuan dalam RPP yang memperkuat kekhawatiran ini antara lain ketentuan yang terlihat fleksibel untuk badan publik. Lembaga PDP di Indonesia bertanggung jawab kepada presiden (Pasal 58 UU PDP) sehingga independensinya dalam mengawasi dan menegakkan pelindungan data pribadi tidak sekuat otoritas pengawas di Uni Eropa. Hal ini dapat mempengaruhi efektivitas lembaga dalam menjalankan tugasnya secara obyektif dan bebas dari pengaruh eksternal.
Pasal 67 RPP PDP memberikan ruang bagi badan publik untuk menentukan sendiri aturan pemrosesan data pribadi yang berlaku di lingkungan mereka. Fleksibilitas ini berpotensi disalahgunakan untuk membuat aturan yang lebih menguntungkan badan publik dan kurang melindungi subyek data serta membuka celah bagi pelanggaran yang tidak terdeteksi.
Selain itu, terdapat pengecualian dalam beberapa pasal yang memungkinkan badan publik memproses data pribadi dengan dalih kepentingan umum atau pelayanan publik (Pasal 63-66). Dengan pengecualian ini, pemrosesan data yang tidak sepenuhnya sesuai dengan prinsip pelindungan data dapat diabaikan, yang memungkinkan pemerintah menghindar dari tanggung jawab jika terjadi pelanggaran.
Lebih jauh lagi, kekhawatiran muncul dari kurangnya pengawasan eksternal yang kuat dan independen. Meski lembaga PDP nantinya memiliki kewenangan untuk mengawasi dan menegakkan aturan, RPP tidak secara jelas menguraikan mekanisme pengawasan eksternal yang independen. Hal ini menciptakan celah di mana pengawasan bisa menjadi lemah atau tidak obyektif, terutama ketika pelanggaran dilakukan oleh pemerintah atau lembaga negara.
Proses mediasi dalam penyelesaian sengketa juga berpotensi tidak transparan, terutama jika menyangkut pelanggaran data oleh lembaga negara. Hal ini dapat mengarah pada penyelesaian yang lebih menguntungkan pihak pemerintah dan merugikan subyek data.
Selain itu, klausul pelindungan kepentingan vital dan kepentingan umum dalam Pasal 60-66 bisa menjadi alasan untuk membenarkan penggunaan data yang melanggar privasi, dengan dalih melindungi kepentingan masyarakat atau negara. Kondisi ini mengkhawatirkan karena membuka pintu bagi eksploitasi data tanpa pengawasan memadai, yang dapat merusak kepercayaan publik terhadap pelindungan data pribadi.
Langkah Menuju Efektivitas UU PDP
Agar UU PDP berjalan optimal, keberadaan lembaga pengawas yang independen dan kuat menjadi sangat penting. Lembaga ini harus diberdayakan tidak hanya untuk menegakkan aturan, tapi juga memantau dan mengaudit kepatuhan semua organisasi, baik publik maupun swasta, terhadap standar pelindungan data pribadi. Karena itu, pemilihan pemimpin yang kompeten untuk memimpin lembaga ini menjadi sangat kritikal guna memastikan kepatuhan di tengah makin kompleksnya ancaman siber.
Pemimpin lembaga PDP yang memiliki kompetensi tinggi diperlukan untuk mengatasi berbagai tantangan dalam ruang siber yang makin kompleks dan beragam, serta untuk merespons dengan cepat dan tepat terhadap ancaman yang berkembang. Selain itu, lembaga PDP harus memiliki sumber daya yang sangat kompeten dan selalu memutakhirkan pengetahuannya tentang data di era digital.
Meski UU PDP bertujuan melindungi data pribadi, sejumlah ketentuan dalam RPP berisiko dimanfaatkan oleh pemerintah untuk menghindari akuntabilitas atas pelanggaran data. Kekhawatiran ini diperparah oleh ketentuan yang fleksibel bagi badan publik, kurangnya pengawasan eksternal yang kuat, dan proses mediasi yang bisa jadi tidak transparan.
Untuk menghindari undang-undang ini menjadi aturan yang lemah, penting untuk memastikan penerapannya dilakukan dengan pengawasan ketat, transparansi yang tinggi, dan adanya akuntabilitas yang jelas bagi semua pihak, termasuk pemerintah.
Selain itu, perlu ada mekanisme untuk mengevaluasi dan memperbarui undang-undang dan peraturan pelaksanaannya secara berkala, mengingat perkembangan teknologi yang cepat serta munculnya tantangan baru dalam pelindungan data pribadi. Tanpa langkah-langkah tersebut, UU PDP hanya akan menjadi simbol tanpa substansi di tengah ancaman kebocoran data yang terus mengintai.