Selasa, 24 September 2019

3 Poin Ini Perlu Dipertimbangkan dalam Draf RUU Perlindungan Data Pribadi

Sekalipun cukup bagus, ada beberapa hal yang perlu dikritisi dari draf RUU PDP Perlindungan Data Pribadi.
Hamalatul Qur'ani
Senior Partner Firma Hukum Assegaf Hamzah & Partners, Ahmad Fikri Assegaf, menjadi salah satu pembicara pada panel ‘Data & Commerce’ dalam acara TechLaw Fest beberapa waktu lalu. (Foto: HMQ)

Kendati Rancangan Undang-Undang tentang Perlindungan Data Pribadi (RUU PDP) belum disahkan, perlindungan data pribadi di Indonesia sebetulnya sudah ada namun terpecah ke dalam banyak regulasi.

 

Bila melihat draft RUU Data Pribadi, muatan aturan terkait pengawasannya masih terkesan sangat sektoral dan belum dicetuskan adanya lembaga atau otoritas khusus yang berwenang mengawasi implementasi aturan dan penindakan pelanggaran aturan data pribadi, layaknya Personal Data Protection Commission (Komisi PDPSingapura), Jabatan Perlindungan Data Peribadi (Malaysia).

 

Saat dikonfirmasi, Senior Partner pada Firma Hukum Assegaf Hamzah & Partners, Ahmad Fikri Assegaf, yang menjadi salah satu pembicara pada panel ‘Data & Commerce’ dalam acara TechLaw Fest beberapa waktu lalu, mengatakan draft RUU PDP di Indonesia cukup banyak mengikuti konsep General Data Protection Regulation (GDPR). Sebut saja soal right to be forgotten, hak untuk memperbaiki keakuratan data, right to data portability, adanya kewajiban perekrutan data protection officer (DPO) dan lainnya. Sekalipun cukup bagus, Ia tetap merasa ada beberapa yang perlu dikritisi dari draft RUU PDP ini.

 

Pertama, pengadopsian konsep aturan dari GDPR, tak bisa serta merta diberlakukan tanpa adanya penjelasan konkrit bagaimana konsep itu diatur, apa latar belakang masing-masing konsep? Mengapa harus diatur? Sudahkah dipadankan atau disesuaikan dengan konteks Indonesia?

 

Dalam drafting RUU nya, Ia menyebut ada beberapa konsep yang belum dikenal, namun tak memunculkan adanya penjelasan yang cukup ekspansif, seperti legitimate interest. “Di draft tiba-tiba ada konsep itu, legitimate interest itu di draft diterima sebagai kepentingan yang sah, titik, berhenti sampai di situ, tanpa adanya penjelasan apa-apa. Padahal seharusnya dijelaskan apa maksud kepentingan yang sah? agar tak multitafsir,” katanya.

 

Ia juga mengingatkan bahwa EU dalam menerapkan konsep-konsep yang ada di GDPR telah melewati proses yang cukup panjang. Dari tahun 1995, EU sudah memiliki directive (pedoman), kemudian directive itu diterapkan dan sudah diuji dalam berbagai kasus yang masuk ke pengadilan.

 

“Artinya konsep-konsep yang ada di sana sudah cukup berkembang, nah di sini kita jangan hanya ikuti konsep itu, mengingat perkembangannya juga beda,” ujarnya.

 

Kedua, harus dibedakan standar pengaturan perlindungan data oleh perusahaan dengan skala besar dan kecil. Kategorisasi perusahaan besar dan kecilnya bisa ditentukan dari jumlah aset dan pendapatan. Konteks ketentuan yang berlaku untuk usaha besar yang memang mengelola data pribadi dengan jumlah yang signifikan besarnya sudah sepatutnya dibedakan dengan perusahaan kecil, mengingat dari segi risiko juga jauh sangat berbeda. Terhadap yang besar itu, Ia memandang harus ada standar perlakuan perlindungan data yang lebih tinggi dari yang kecil.

 

(Baca: Data Penumpang Lion Air Bocor, UU Perlindungan Data Pribadi Dibutuhkan)

 

Ia mencontohkan, kewajiban perusahaan untuk merekrut seorang Data Protection Officer (DPO) seperti yang diadopsi dari GDPR. Untuk merekrut seorang profesional yang expert di bidang data protection law jelas tidak mudah bagi perusahaan kecil.

 

Di perusahaan kecil, katanya, iklimnya direksi perusahaan bisa merangkap beberapa pekerjaan. “Jadi bisa saja direksi juga merangkap sebagai DPO, tak harus dilakukan oleh orang yang terpisah. Untuk perusahaan dengan pendapatan di atas Rp 100 miliar, mungkin memang mudah mengalokasikan dana khusus untuk DPO namun berbeda halnya dengan perusahaan dengan pendapatan di bawah itu. Jadi tak bisa disamaratakan,” ujarnya.

 

Contoh lainnya seperti kewajiban untuk membuat dashboard bagi perusahaan, baik besar maupun kecil. Padahal, bagi perusahaan marketplace kecil justru akan memakan biaya lebih besar untuk pembuatan dashboard ketimbang pembuatan aplikasi untuk marketplace itu sendiri.

 

Terkait tingkat kerentanan, perusahaan kecil biasanya tak mengelola data dalam jumlah banyak, sementara kebanyakan perusahaan yang menjadi target hacker adalah perusahaan yang mengelola data dalam jumlah besar. Hanya saja, pembedaan standar perlakuan antara perusahaan besar dan kecil itu tak lantas turut membedakan basic rules perlindungan data yang harus dilakukan seluruh perusahaan. Hanya saja bagaimana cara perusahaan menjaga itulah yang jangan sampai diberikan beban yang sama.

 

“Tetap harus ada requirement dasar atau prinsip-prinsip dasar yang semua perusahaan harus ikuti sekalipun perlakuan antara perusahaan besar dan kecil dibedakan,” katanya.

 

Ketiga, Ia menyorot pengaturan pada draft RUU PDP yang begitu menekankan pendekatan sektoral. Jadi, katanya, enforcement pada draft UU a quo diserahkan pada setiap sektor dan tidak dicetuskan adanya sebuah lembaga sentral yang berfungsi mengurus segala hal terkait personal data. Padahal, katanya, mengingat perlindungan data pribadi merupakan hal yang cukup baru bagi Indonesia, jelas dalam konteks praktiknya harus ada lembaga khusus yang menjadi main promotor-nya.

 

“Harus ada lembaga yang paling ‘mikirin’ ini dan paling tahu soal ini (data pribadi -red),” tandasnya.

 

Ia pesimis akan efektivitas penerapan muatan RUU PDP bila semua sektor harus invest orang-orang yang expert di bidang perlindungan data. Akan lebih efektif bila dibentuk sebuah lembaga khusus, bisa di bawah Kemenkominfo untuk data protection dengan scoop multisektoral layaknya PDPC Singapura. “Jadi dia benar-benar pegang disitu,” ujarnya.

 

Telah memberlakukan Personal Data Protection Act (PDPA) sejak tahun 2012 lalu, Singapura juga membentuk aturan yang telah disesuaikan dengan konteks yang berkembang di Negaranya. Menteri Hukum Singapura, K. Shanmugam dalam Pidatonya menyebut pendekatan pengaturan yang dilakukan pemerintah dalam menyongsong pesatnya inovasi adalah mengupayakan adanya keseimbangan antara inovasi dan perlindungan terhadap konsumen. Jangan sampai mematikan atau menghambat perkembangan usaha kecil yang baru dirintis (startup).

 

“Di samping itu penting dibangun sebuah ekosistem kepercayaan,” tukasnya.

 

Mengingat Singapura sedang giat-giatnya mengembangkan Artificial Intelligent (AI), Ia tak menampik adanya hubungan yang begitu erat antara data dengan AI. Adanya AI tak lain merupakan sumbangsih dari pemanfaatan data.

 

Untuk itu, terkait dengan perlindungan dari penggunaan dan penyalahgunaan data dengan tetap memberikan dukungan untuk pengembangan inovasi yang sedang dilakukan, Pemerintah melalui Ministry of Communications and Information (MCI) dan Info-communication Media Development Authority (IMDA) mengupayakan 3 hal, Pertama, melahirkan pedoman framework/kerangka kerja tata kelola AI.

 

Kedua, memaksimalkan fungsi dewan penasihat terkait dengan etika pemanfaatan data maupun AI. Di sini, pemerintah disebutnya membuka peluang bagi stakeholders untuk memberikan saran dan masukan terkait isu-isu seputar hukum, kebijakan, tata kelola data dan AI. Ketiga, Pemerintah Singapura terus mendorong program-program riset untuk kepentingan pengembangan pengaturan tata kelola data dan AI.

 

“Diharapkan dengan program riset akan terbangun sebuah body of knowledge (red-data base pengetahuan) terkait hukum dan regulasi AI,” tukasnya.

 

Belum ada tanggapan
Captcha belum diisi / expired / tidak valid.

NAMA
EMAIL
JUDUL
TANGGAPAN

Seluruh judul dan isi tanggapan adalah tanggung jawab masing-masing penulis tanggapan. Redaksi hukumonline berhak untuk menayangkan atau tidak menayangkan tanggapan dengan mempertimbangkan kepatutan serta norma-norma yang berlaku.

[ X ]

Notifikasi Adblocker

Kami memasang iklan pada konten yang Anda ingin jelajahi.
Iklan membantu kami untuk dapat memberikan konten hukum secara gratis.

Bantu kami untuk tetap menjadikan hukum untuk semua dengan cara menonaktifkan Adblock pada browser Anda. Pahami lebih lanjut mengenai ketentuannya disini.

Selain itu, Anda juga dapat berlangganan layanan premium dari hukumonline.com. klik disini

Terima kasih atas dukungan yang Anda berikan.

[ X ]

Ketentuan Adblocker


Bagaimana menonaktifkan Adblocker pada laman hukumonline.com?

Adblock / Adblock Plus
  • Klik logo Adblock/Adblock Plus, yang berada disebelah kanan address bar.
  • Pada Adblock, klik "Don't run on pages on this domain".
  • Pada Adblock Plus klik "Enabled on this site" untuk menonaktifkan Adblocking pada laman hukumonline.com. Apabila Anda menggunakan Firefox, klik "disable on hukumonline.com".
Firefox Tracking Protection

Apabila Anda menggunakan Private Browsing dalam Firefox, "Tracking Protection" akan muncul pemberitahuan Adblock. Anda dapat menonaktifkan dengan klik “shield icon” pada address bar Anda.

Ghostery
  • Klik pada icon Ghostery.
  • Apabila Anda menggunakan versi sebelum 6.0 klik "whitelist site".
  • Dalam versi 6.0 klik "trust site" atau tambahkan hukumonline.com pada Trusted Site list Anda.
  • Dalam versi sebelum 6.0 Anda akan melihat pesan "Site is whitelisted". Klik "reload the page to see your changes".
uBlock
  • Klik ikon uBlock.
  • Lalu klik tombol besar untuk melakukan whitelist pada laman yang sedang Anda jelajahi, dan ketika Anda membuka laman ini kembali secara otomatis akan terekam perintah yang Anda lakukan.
  • Lalu lakukan reload pada laman yang Anda jelajahi.

Terima kasih atas dukungan Anda untuk membantu kami menjadikan hukum untuk semua