Nasib pembahasan RUU tentang Perlindungan Data Pribadi mengalami jalan buntu. Pasalnya, pihak DPR dan pemerintah sama-samamemegang pendapatnya masing-masing tentang konsep lembaga yang bakal memberikan perlindungan data pribadi masyarakat. Pemerintah menghendaki lembaga ini berada di bawah Kementerian Komunikasi dan Informatika (Kemenkominfo) sebagai cabang kekuasaan eksekutif. Sementara DPR menghendaki lembaga tersebut bersifat independen yang bertanggung jawab langsung ke presiden.
Perwakilan dari Freedom of Information Network Indonesia (FoINI) Arif Adiputro mengingatkan aspek kelembagaan penting dibahas secara serius. Sebab, kegagalan merumuskan kelembagaan akan berdampak pada efektivitas implementasi undang-undang yang akan disahkan nantinya. Menurutnya dalam RUU PDP, lembaga independen diperlukan dengan berbagai pertimbangan.
Pertama, banyaknya jumlah warga negara sebagai subyek hukum yang akan dilindungi. Setidaknya sebanyak 270,20 juta jiwa penduduk Indonesia adalah subjek data atau pemilik data yang harus dilindungi. Kedua,luas dan banyaknya cakupan pengendali atau prosesor data pribadi yang meliputi badan publik, lembaga non badan publik atau korporasi/swasta, maupun individu/orang perseorangan. Mulai entitas Indonesia maupun asing dengan beragam kepentingan atau kebutuhan penggunaan/ pemanfaatan data pribadi.
Ketiga, tingginya tingkat variasi standar pengaturan pelindungan data pribadi di setiap sektor. Saat ini, berbagai sektor melakukan pengaturan data pribadi secara mandiri sehingga memerlukan standarisasi, harmonisasi dan sinkronisasi, termasuk kekosongan regulasi. Keempat, lemahnya kesadaran masyarakat tentang pentingnya pelindungan data pribadinya, sekaligus data pribadi orang lain yang ada dalam penguasaannya.
Kelima, akses asimetris antara individu/perseorangan sebagai pemilik data dengan pengendali atau prosesor yang umumnya korporasi/badan/organisasi. Berdasarkan sejumlah pertimbangan itulah mengusulkan pengaturan soal otoritas kelembagaan PDP yang independen, proaktif (stelsel aktif), kolaboratif, fungsi regulasi dan supervisi, penegakan tindakan korektif, dan dukungan pendanaan independen.
“FoINI mengusulkan pelaksana RUU PDP sebagai lembaga khusus yang bersifat independen, tidak di bawah eksekutif,” ujarnya pekan lalu. (Baca Juga: Pemerintah Dianggap Tak Serius, Pembahasan RUU PDP Temui Jalan Buntu)
Pria yang juga menjabat koordinator Divisi Representasi Parlemen Indonesia Parlementary Center (IPC) itu menegaskan FoINI mengusulkan pengaturan soal otoritas kelembagaan PDP dengan beberapa kriteria. Pertama, independen. Menurutnya pelaksana RUU PDP sebagai lembaga khusus yang bersifat independen tak di bawah eksekutif. Sebab dengan besarnya tantangan ke depan, tugasnnya tidaklah ringan
“Keberadaan lembaga independen lebih memberikan ruang untuk upaya hukum lanjutan seperti kepolisian, kejaksaan, dan mekanisme banding,” kata dia.
Baginya sifat independen diperlukan lantaran nantinya bakal mengatur dan mensupervisi, dan mengawasi pengendali/prosesor data pribadi. Tentu saja mencakup badan publik atau penyelenggara negara, swasta, maupun individu. Karena itu, diharapkan kelembagaan PDP yang independen dapat terbebas dari berbagai konflik kepentingan. “Kecuali kepentingan terhadap tegaknya pelindungan data pribadi tersebut,” katanya.
Kedua, proaktif. Menurutnya, lembaga independen tersebut diharapkan dapat berperan secara proaktif melalui regulasi, supervisi, kerja sama, dan menjalankan fungsi penyadaran publik. Melalui pilihan stelsel aktif dalam pelaksanaan pengawasan/pemeriksaan, lembaga tersebut diharapkan dapat bertindak tanpa harus menunggu sengketa/pelaporan/pengaduan masyarakat.
Dia menilai pemeriksaan dan penilaian dapat dilakukan dengan tata cara yang cepat untuk menjatuhkan rekomendasi perbaikan maupun penjatuhan sanksi tanpa harus menggunakan model atau tata cara seperti persidangan. Sebab, tata cara persidangan yang umumnya membutuhkan waktu panjang dan biaya tinggi bagi para pihak. Terlebih lagi, posisi pemilik data pribadi sangat berbeda dengan pengendali/prosesor yang umumnya adalah lembaga/organisasi/ korporasi.
Ketiga, kolaboratif. Lembaga independen harus didesain untuk bekerja dengan cara mengoperasionalkan/memperkuat/mendayagunakan ekosistem kelembagaan lain yang sudah ada, untuk memperkuat jaminan pelindungan data pribadi. Misalnya lembaga sertifikasi dan akreditasi, kejaksaan, kepolisian, serta lainnya
Keempat, fungsi regulasi dan supervisi. Menurutnya, besarnya tantangan ke depan, perlu dipersiapkan pengendali/proseseor yang mumpuni dalam RUU PDP. Nah Fungsi regulasi meliputi pengaturan standar pelaksanaan sebagai acuan pengendali/prosesor sekaligus untuk mengharmonisasikan pengaturan PDP yang saat ini masih sektoral. Termasuk mengeluarkan berbagai pedoman atau standar lainnya yang diperlukan. Fungsi supervisi meliputi pengawasan yang bertujuan memperkuat sistem dan deteksi dini atau pencegahan atas potensi pelanggaran yang terjadi
Kelima, penegakan tindakan korektif.Menurutnya dalam tata hubungan kelembagaan negara modern tak memungkinkan adanya lembaga superior. Karenanya perlunya perintah tindakan korektif sebagai hasil pemeriksaan dengan berbagai sistem hukum lainnya jika tidak dipatuhi. Seperti konsekuensi publikasi, penghentian layanan administratif, dan penundaan izin untuk korporasi. Kemudian penghentian hak-hak administratif kepegawaian untuk pimpinan badan publik, gugatan keperdataan di pengadilan hingga ancaman sanksi pidana bagi pengabaian keputusan otoritas PDP.
Keenam, dukungan pendanaan independen. Pertimbangan yang acapkali muncul soal usulan lembaga baru adalah isu pendanaan atau beban Anggaran Pendapatan Belanja Negara (APBN). Karena itulah, diusulkan agar sumber pendanaan selain APBN atau sumber lainnya. “RUU PDP juga dapat mengatur pendanaan alternatif melalui sistem pungutan,” katanya.
Sebelumnya, anggota Panja RUU PDP Komisi I DPR, Sukamta berpendapat lembaga otoritas pengawas data pribadi memiliki posisi strategis dalam memastikan upaya perlindungan data pribadi agar terlaksana sesuai standar. Tak hanya itu, risiko penyelewengan yang timbul akibat mahalnya data pribadi dapat diminimalisir dengan keberadaan lembaga yang independen. Karena itu, perlu memastikan kewenangan yang kuat sebagai lembaga independen pengawas.
Dia menilai bila lembaga berada di bawah langsung Kemenkominfo malah meragukan dan tidak berjalan secara optimal dan maksimal. Dia beralasan lembaga pengawas semestinya bertanggung jawab langsung ke presiden, bukan ke kementerian. Selain itu, lembaga independen agar setara dengan standar internasional. Seperti halnya standar General Data Protection Regulation (GDPR).
Pembentukan lembaga atau badan pengawas itu sangat penting karena banyak rujukan teknis tentang kewajiban pengendali data yang diatur di dalam RUU PDP. Kewajiban tersebut berkaitan dengan pengelolaan data pribadi. Masyarakat pun menyerahkan data pribadinya untuk dikelola, mulai data yang bersifat umum hingga bersifat spesifik.
“Semua data tersebut berharga karena itu tanggung jawab pengelola data sangar besar. Sehingga lembaga pengawas harus memiliki otoritas yang kuat agar mampu menjadi lembaga kontrol yang efektif,” katanya.