Di tengah kontroversi kebocoran informasi, Indonesia sahkan RUU perlindungan data

Walaupun disambut, UU PDP dilihat masih bermasalah terutama terkait independensi Lembaga Pengawas Perlindungan Data Pribadi.
Pizaro Gozali Idrus dan Nazarudin Latif
2022.09.20
Jakarta
Di tengah kontroversi kebocoran informasi, Indonesia sahkan RUU perlindungan data Dalam foto yang diambil pada 20 September 2022 ini seseorang menunjuk sebuah situs yang bisa digunakan untuk mengetahui status keamanan data pribadi seseorang.
BenarNews

Dewan Perwakilan Rakyat pada Selasa (20/09) mengesahkan rancangan undang-undang perlindungan data pribadi menyusul serangkaian kebocoran data dalam beberapa tahun terakhir dan kritik terhadap kinerja pemerintah dalam melindungi privasi warga.  

Undang-undang Perlindungan Data Pribadi (PDP), yang telah dibahas sejak 2016, merupakan yang pertama di Indonesia yang memiliki kekuatan ancaman hukuman, mulai dari sanksi administratif, denda hingga penjara. 

"RUU tentang PDP benar-benar jadi landasan hukum yang kuat dan memastikan bahwa negara menjamin dan memastikan perlindungan data pribadi warganya," ucap Ketua Panitia Kerja RUU PDP Abdul Kharis Almasyhari dalam pidatonya di Rapat Paripurna di Gedung DPR.

Pasal 67 undang-undang mengancam penjara lima tahun dan denda Rp5 miliar bagi siapa saja yang mengumpulkan data pribadi yang bukan miliknya untuk mendapatkan keuntungan.

Penjara empat tahun dan denda Rp4 miliar dimungkinkan kepada siapa saja yang dengan sengaja mengungkapkan data pribadi yang bukan miliknya untuk mendapatkan keuntungan pribadi.  

Baru-baru ini, jagat maya Indonesia digegerkan oleh serangan siber yang dilakukan peretas menggunakan nama Bjorka kepada Istana dan lembaga-lembaga negara.

Bjorka tersebut diduga meretas sejumlah data pribadi para menteri di Indonesia yang diunggah di situs breached.to pada 9 September yang kemudian viral di media sosial.

Dia juga mengatakan mempunyai arsip terkait surat-surat yang dikirimkan oleh Presiden Joko “Jokowi” Widodo, termasuk korespondensi dengan Badan Intelijen Negara.

Menteri Koordinator Bidang Politik, Hukum dan Keamanan Mohammad Mahfud MD mengatakan kebocoran tersebut terjadi bukan pada data rahasia, namun data yang bisa diambil dari berbagai tempat.

Di Indonesia peristiwa pembobolan data beberapa kali terjadi. Misalnya pada Mei 2020, sebanyak 92 juta data pengguna dan 7 juta data penjual di e-commerce Tokopedia diduga bocor. 

Kemudian pada Agustus 2020 sekitar 890.000 data nasabah perusahaan teknologi finansial Kreditplus diduga bocor dan diperjualbelikan. 

Ada juga dugaan kebocoran data para pengguna bantuan dari Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan akibat peretasan dan diperjualbelikan. 

Menteri Komunikasi dan Informatika Johnny G. Plate mengatakan sejak 2019, pemerintah menangani 67 laporan pelanggaran perlindungan data pribadi. 

Rinciannya, sebanyak 41 laporan dari penyelenggara sistem elektronik swasta nasional dan global, dan 26 laporan dari lingkup publik.

“UU PDP dapat dimaknai sebagai pengejawantahan kehadiran negara dalam melindungi hak fundamental warga negara untuk Perlindungan Data Pribadi, khususnya di ranah digital,” kata Johnny dalam pidatonya dalam Rapat Paripurna.

Dari 67 laporan yang ditelusuri, 19 laporan bukan merupakan pelanggaran perlindungan data pribadi, 15 laporan masih dalam penelusuran, dan 33 laporan telah selesai, terang dia.

Johnny mengatakan UU PDP bakal berdampak pada beberapa sektor termasuk kenegaraan dan pemerintahan, hukum, tata kelola pemrosesan data pribadi, budaya, sumber daya manusia, dan hubungan internasional.

Wakil Ketua Badan Legislasi DPR Willy Aditya mengatakan UU PDP merupakan komitmen Indonesia menghadapi dunia digital. 

“Selain soal perlindungan data warga negara, UU ini menjamin hak setiap orang yang dilanggar haknya untuk mengajukan gugatan kerugian,” ujarnya pada BenarNews.

Menurut Willy aturan ini sudah memberikan waktu selama dua tahun bagi para Penyelenggara Sistem Elektronik atau perusahaan pengelola data untuk memenuhi kewajiban-kewajiban dalam UU tersebut. 

“Pemerintah perlu segera membuat aturan pelaksanaan seperti peraturan pemerintah dan peraturan menteri untuk mendetailkan UU PDP sesegera mungkin,” tegasnya.

Independensi Lembaga Perlindungan Data Pribadi 

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan masih ada beberapa substansi UU PDP yang bermasalah, terutama terkait independensi Lembaga Pengawas Perlindungan Data Pribadi.

Menurut UU PDP, lembaga ini mempunyai kewenangan merumuskan dan menetapkan kebijakan dan strategi perlindungan data pribadi, termasuk melakukan penegakan hukum administratif terhadap pelanggaran dan memfasilitasi penyelesaian sengketa di luar pengadilan.

“Lembaga Pengawas Perlindungan Data Pribadi dibentuk presiden dan bertanggung jawab pada presiden. Ini tidak ubahnya seperti badan eksekutif lain, apakah mungkin satu institusi pemerintah memberikan sanksi pada institusi pemerintah yang lain?” ujar Wahyudi. 

Selain itu, UU PDP ini juga membedakan sanksi antara sektor publik dan sektor privat jika melakukan pelanggaran. 

“Meski UU ini mengikat sektor publik dan privat dalam kapasitas sama-sama sebagai pengendali atau pemroses data, namun implementasinya lebih tajam pada korporasi dan tumpul pada lembaga publik atau pemerintah,” ujar Wahyudi. 

Selain itu ada risiko over-kriminalisasi, karena memberikan ancaman pidana pada seseorang yang mengungkapkan data pribadi bukan miliknya dengan melawan hukum.

“Ketidakjelasan batasan frasa ‘melawan hukum’ dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya, yang berisiko disalahgunakan, untuk tujuan mengkriminalkan orang lain,” ujarnya.

Pakar dari Center for Indonesian Policy Studies, Trissia Wijaya mengatakan Lembaga Pengawas Perlindungan Data Pribadi tidak ubahnya seperti lembaga pemerintah yang lain meski bertanggung jawab langsung kepada presiden.  

“Tidak ada unsur independensi pada lembaga ini. Padahal untuk mengawasi implementasi UU ini yang berlaku untuk semua pemangku kepentingan, badan pengawas perlu terbebas dari semua unsur yang berkaitan dengan para pemangku kepentingan,” ujar dia. 

Menurut dia pemerintah harus melibatkan sektor swasta untuk merumuskan aturan turunan dari UU PDP karena mereka berpotensi menghambat implementasi aturan ini.

“Ada pasal yang berpotensi menjadi tantangan untuk swasta. Misalnya kewajiban pengendali data untuk memiliki Data Protection Officer (DPO) padahal belum semua pelaku usaha digital pengendali data pribadi punya DPO di Indonesia,” paparnya. 

Trissia juga menambahkan bahwa di Asia Tenggara Indonesia cukup tertinggal dalam bidang ini. 

“Malaysia, Thailand, Singapura, Filipina dalam hal perlindungan data pribadi sudah cukup baik. Singapura dan Malaysia bahkan sudah mulai menerapkan dari tahun 2013 untuk memitigasi cyber risks,” ujarnya. 

Komentar

Silakan memberikan komentar Anda dalam bentuk teks. Komentar akan mendapat persetujuan Moderator dan mungkin akan diedit disesuaikan dengan Ketentuan Penggunaan. BeritaBenar. Komentar tidak akan terlihat langsung pada waktu yang sama. BeritaBenar tidak bertanggung jawab terhadap isi komentar Anda. Dalam menulis komentar harap menghargai pandangan orang lain dan berdasarkan pada fakta.