Masih Belum Lengkap
Peneliti Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, mengatakan mayoritas RUU PDP mengacu pada Europaean Union GDPR (EUGDPR), regulasi perlindungan data Eropa. Namun, dia menilai rancangan aturan tersebut masih belum lengkap karena tidak memuat ketentuan tentang badan otoritas independen sebagai pengawas perlindungan data pribadi. Sebab, dalam RUU ini, tanggung jawab pengawasan tersebut dipegang Menteri.
Wahyudi menilai bentuk pengawasan tersebut dianggap tidak tepat karena badan publik atau pemerintah merupakan salah satu pengelola data pribadi. “Yang belum muncul keberadaan lembaga pengawas independen, sekarang masih diserahkan ke menteri. Ini problematis karena aturan ini berlaku bagi badan publik (pemerintah) dan privat. Harusnya, yang mengawasi bukan pemerintah apabila terjadi pelanggaran,” jelas Wahyudi kepada hukumonline, Rabu (29/1).
Saat ini, belum terdapat lembaga pengawas data pribadi. Tidak terdapatnya lembaga pengawas tersebut menyebabkan perlindungan data pribadi masih lemah. Lembaga tersebut harus dilengkapi dengan kewenangan memeriksa atau investigasi dari laporan masyarakat. Selain itu, lembaga independen tersebut juga berhak memutus persengketaan antara pemilik data dengan pengelola data.
“Bagaimana memastikan lembaga itu independen dan memenuhi kualifikasi. Menurut saya lembaga ini bukan bagian pemerintah. Lembaga yang bisa menjalankan pengawasan terhadap badan publik dan privat. Paling dekat seperti Komisi Informasi karena punya penyelesaian sengketa. Tapi bedanya, lembaga pengawas ini punya kewenangan investigatif sedangkan Komisi Informasi tidak punya kewenangan itu. Sehingga, dalam RUU ini harus eksplisit membentuk lembaga pengawas ini,” tambah Wahyudi.
Dia melanjutkan permasalahan tersebut berdampak terhadap penerapan sanksi yang berbeda-beda bagi pelanggar data pribadi. Dalam RUU tersebut menyatakan sanksi pidana penjara hanya berlaku pada pelanggar individu sedangkan badan publik dan korporasi mendapat pengecualian.
“Sehingga, menurut saya masih rancu karena ada pidana dan penerapan sanksi beda-beda antara badan publik dan privat, misalnya sanksi pidana tidak diterapkan ke badan publik sanksi penjara diserahkan pada individu sedangkan entitas korporasi tidak dikenakan sanksi penjara. Kerancuan perumusan sanksi ini karena tidak ada lembaga pengawas independen tersebut,” jelas Wahyudi.
Dia juga menambahkan seharusnya RUU PDP tidak perlu lagi memuat sanksi pidana dan mengedepankan sanksi administratif karena sudah termuat dalam UU Informasi dan Transaksi Elektronik (ITE). Menurutnya, RUU PDP ini lebih mengedepankan sanksi administratif karena tujuannya untuk memberi kompensasi kerugian bagi publik sebagai pemilik data.