Pemerintah dan DPR resmi mengumumkan bahwa Rancangan Undang- Undang Pelindungan Data Pribadi (RUU PDP) masuk ke dalam Program Legislasi Nasional (Prolegnas) tahun 2022. Di satu sisi, masuknya RUU PDP ke dalam Prolegnas tahun 2022 merupakan berita baik, karena artinya pemerintah dan DPR tetap berkomitmen untuk mengesahkan RUU PDP menjadi undang-undang. Di sisi lain, kabar tersebut cukup mengecewakan karena artinya target penyelesaian pembahasan RUU PDP pada tahun 2021 kembali tidak tercapai.
Mundurnya pembahasan RUU PDP pada tahun 2021 bukanlah yang pertama kali. RUU PDP sudah dirancang sejak tahun 2016. Sejak pertama kali resmi masuk Prolegnas dan dibahas dari tahun 2019, RUU PDP selalu diharapkan dapat rampung setiap akhir tahun. Namun, hingga akhir tahun 2021, pembahasan RUU PDP tidak kunjung selesai.
Tahun 2021 sebenarnya merupakan tahun yang cukup menjanjikan bagi perkembangan pembahasan RUU PDP. Dalam pidato kenegaraan 16 Agustus 2021, Presiden RI, Jokowi Widodo bahkan secara spesifik menyebutkan pentingnya keberadaan UU PDP di Indonesia sambil mendorong pemerintah dan DPR untuk segera mengesahkan UU PDP tersebut.
Ini menunjukkan komitmen politik yang kuat dari Presiden. Pernyataan ini bukan hanya sekali disampaikan oleh Presiden. Pada pertengahan bulan Desember 2021 lalu, Presiden kembali memerintahkan Kementerian Komunikasi dan Informatika (Kominfo) untuk segera merampungkan RUU PDP.
Selain itu, dorongan dan dukungan masyarakat untuk segera mengesahkan RUU PDP juga sangat besar selama tahun 2021. Kesadaran masyarakat akan pentingnya pelindungan atas data pribadi meningkat dipicu maraknya kasus-kasus kebocoran data pribadi dan penyalahgunaan data pribadi di tengah-tengah masyarakat. Kasus-kasus seperti ini membuat masyarakat semakin sadar pentingnya keberadaan suatu aturan yang dapat melindungi data pribadi di Indonesia.
Dengan melihat kondisi di atas, rasanya tidak ada alasan bagi masyarakat untuk tidak optimis bahwa pembahasan RUU PDP akan rampung pada tahun 2021. Namun, sayangnya hal tersebut masih belum cukup untuk mendorong pemerintah dan DPR untuk merampungkan RUU PDP pada tahun 2021. Saya khawatir apabila RUU PDP kembali tidak disahkan pada tahun 2022, kita akan perlahan–lahan kehilangan momentum untuk mengesahkan RUU PDP.
Urgensi UU Pelindungan Data Pribadi
“Urgensi UU Pelindungan Data Pribadi” merupakan topik yang mewarnai diskusi-diskusi mengenai pelindungan data pribadi di Indonesia sejak beberapa tahun belakangan ini. Rasanya semua lapisan masyarakat (termasuk pemerintah dan DPR) setuju bahwa keberadaan UU PDP merupakan suatu yang “urgen” yang tidak bisa ditunda-tunda lagi.
Namun, sayangnya perasaan “urgen” ini masih belum bisa diterjemahkan menjadi suatu hasil yang nyata. Oleh sebab itu, untuk senantiasa mengingatkan kita (betapapun sudah sering dilakukan), penting rasanya bagi saya untuk kembali mengulang melalui artikel ini mengapa Indonesia harus segera memiliki UU PDP.
Setidaknya ada beberapa alasan mengapa Indonesia harus segera memiliki UU PDP. Pertama, keberadaan UU Pelindungan Data Pribadi adalah bentuk pelindungan negara atas hak atas privasi warga negaranya. Hak atas privasi merupakan Hak Asasi Manusia yang dijamin oleh Pasal 28 G UUD 1945 dan Undang–Undang Nomor 39 tahun 1999 tentang Hak Asasi Manusia. Oleh sebab itu, negara wajib melindungi hak atas privasi warga negaranya. Salah satu bentuk pemenuhan negara atas hak atas privasi tersebut adalah dengan mengeluarkan instrumen hukum yang dapat melindungi data pribadi warga negaranya, yang dalam hal ini adalah UU PDP.
Kasus kebocoran data pribadi yang terjadi berkali-kali dalam beberapa tahun belakangan ini menunjukkan betapa rentan hak atas privasi warga negara Indonesia. Selama tahun 2021 saja, kita sudah mendengar banyak kasus kebocoran data pribadi yang melibatkan perusahaan-perusahaan dan lembaga pemerintahan yang mengakibatkan bocornya data pribadi milik ratusan juta rakyat Indonesia. Maraknya kasus kebocoran data pribadi membuat meningkatnya tingkat penyalahgunaan data pribadi yang dapat merugikan masyarakat Indonesia, seperti salah satunya penyalahgunaan identitas pribadi milik orang lain untuk permohonan aplikasi pinjaman online.
Selain itu, pelanggaran data pribadi tidak hanya disebabkan oleh kebocoran data pribadi. Pelanggaran juga bisa terjadi dalam hal pemrosesan data pribadi yang tidak fair. Misalnya, ketika data pribadi masyarakat digunakan atau diperjualbelikan tanpa dasar yang jelas. Praktik seperti ini banyak terjadi di sekitar kita dan dapat melanggar hak atas privasi warga negara. UU PDP diharapkan bisa memberikan aturan yang jelas dalam mencegah maupun menindak pelanggaran–pelanggaran atas hak atas privasi warga negara tersebut.
Kedua, UU PDP merupakan suatu produk legislasi yang sudah ditunggu–tunggu oleh dunia usaha. Dari berbagai diskusi yang saya hadiri bersama pelaku usaha di Indonesia dari berbagai sektor, banyak yang menyampaikan harapannya agar UU PDP ini dapat segera disahkan. Alasan utamanya adalah UU PDP dapat memberikan kepastian hukum bagi pelaku usaha dalam memproses data pribadi.
Sudah merupakan pengetahuan umum bahwa konsumen semakin menaruh perhatian yang besar pada aspek privasi dari suatu jasa atau produk yang ditawarkan kepadanya. Oleh sebab itu, pelaku usaha memiliki kepentingan untuk melindungi data pribadi konsumennya. Tidak adanya suatu aturan pelindungan data pribadi yang jelas membuat pelaku usaha ragu-ragu dalam mengimplementasikan praktik pelindungan data pribadi yang tepat. Keberadaan UU PDP diharapkan dapat menyelesaikan persoalan ini.
Lembaga Pengawas Pelindungan Data Pribadi
Salah satu topik yang menjadi “penghambat” pembahasan RUU PDP tahun ini adalah keberadaan Lembaga Pengawas Pelindungan Data Pribadi (LPPDP). Pihak pemerintah yang diwakili oleh Kominfo menginginkan agar LPPDP berada di bawah kendali Kominfo. Sedangkan DPR bersikeras bahwa LPPDP ini harus berdiri secara independen, tidak di bawah Kominfo. Tentu saja, kedua pihak memiliki pandangannya masing-masing. Namun, sayangnya perbedaan pendapat ini tidak kunjung menemui jalan keluar sehingga berujung pada molornya pengesahan RUU PDP.
Saya pribadi berpendapat bahwa dalam kondisi ideal, penerapan UU pelindungan data pribadi haruslah di bawah pengawasan suatu lembaga yang independen karena dalam penerapannya lembaga ini juga diharapkan bisa mengawasi pemrosesan data pribadi yang dilakukan oleh kementerian-kementerian/lembaga negara lain. Namun, ini tidak berarti bahwa lembaga pengawas independen merupakan harga mati.
Pengalaman di negara lain menunjukkan bahwa lembaga pengawas di bawah kementerian juga bisa menjalankan fungsinya dengan baik. Contohnya adalah Singapura dan Malaysia, di mana fungsi pengawasan pelindungan data pribadi dijalankan oleh komisi yang berdiri di bawah Kominfo masing-masing negara tersebut. Namun yang perlu diingat adalah undang-undang pelindungan data pribadi di kedua negara di atas tidak berlaku terhadap lembaga pemerintahan.
Ada beberapa model yang sebenarnya bisa menjadi jalan tengah untuk mengatasi kebuntuan ini. Salah satunya adalah usulan untuk menggunakan lembaga independen yang sudah ada yang memiliki fungsi yang sama seperti Komisi Informasi Publik (KIP). Model seperti ini diadopsi di Inggris, di mana fungsi pengawasan undang-undang pelindungan data pribadi dilekatkan pada Information Commissioner’s Office (ICO).
Dengan menggunakan model ini, pemerintah bisa mencapai dua tujuan sekaligus yaitu mempertahankan independensi dari lembaga tersebut dan tetap konsisten dengan semangat perampingan birokrasi yang sedang digaungkan oleh Presiden. Usulan lain yang juga muncul adalah lembaga pengawas yang didirikan langsung oleh Presiden, seperti Badan Sandi dan Siber Negara (BSSN) yang dapat melakukan pengawasan terhadap kementerian atau lembaga lain.
Harapannya, pemerintah dan DPR dapat mempertimbangkan opsi-opsi ini sebagai alternatif, sambil tentu saja tetap mendengar masukan-masukan dari berbagai lapisan masyarakat seperti akademisi, peneliti, dunia usaha, dan praktisi hukum.
Penutup
Dalam hal perlindungan data pribadi, Indonesia sudah tertinggal cukup jauh dari negara-negara lain. Negara-negara tetangga seperti Singapura, Malaysia, Filipina, Thailand sudah lebih dulu memiliki aturan perlindungan data pribadi. Republik Rakyat Cina (RRC), yang sering dianggap sebagai negara otoritarian, sudah mengeluarkan Personal Information Protection Law pada tahun 2021. Bahkan Zimbabwe juga telah mengeluarkan undang-undang perlindungan data pribadi pada awal Desember 2021.
Di Indonesia sendiri, pembahasan RUU Pelindungan Data Pribadi masih harus menempuh proses yang panjang. Sampai dengan Desember 2021, dari 317 Daftar Inventarisasi Masalah (DIM), pemerintah dan DPR baru menyelesaikan 43 DIM. Artinya, baru sekitar 13% yang sudah dibahas oleh pemerintah dan DPR. Ini merupakan PR besar yang harus diselesaikan oleh pemerintah dan DPR. Jika pemerintah dan DPR terus gagal mencapai kesepakatan terkait dengan posisi lembaga pengawas, maka pembahasan sisa DIM yang belum dibahas pun akan molor.
Kita berharap polemik mengenai lembaga pengawas tidak berlarut-larut, dan pemerintah dan DPR dapat segera menyepakati posisi lembaga pengawas di dalam RUU PDP. Harapannya, pengesahan RUU PDP yang sudah dinanti-nantikan banyak orang tidak tertunda lagi dan dapat segera disahkan pada tahun 2022.
*)Danny Kobrata adalah pendiri dan pengurus Asosiasi Praktisi Pelindungan Data Pribadi (APPDI) dan seorang advokat.
Artikel kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |