Indonesia Bisa Belajar dari Tiga Tahun Pengalaman Uni Eropa
Tiga tahun implementasi General Data Protection Regulation atau GDPR Uni Eropa bisa menjadi bahan pelajaran bagi Indonesia yang sedang berkutat pada pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi.
Oleh
Mediana
·5 menit baca
AFP/CRISTINA QUICLER
Orang-orang berjalan tanpa mengenakan masker di Gibraltar, Inggris, Selasa (6/4/2021). Wilayah kecil Inggris di pantai selatan Spanyol itu mengeluarkan aturan yang mewajibkan penggunaan masker bagi warga yang beraktivitas di jalan-jalan yang sibuk. Aturan tersebut dijuluki ”Operasi Kebebasan”. Vaksinasi di Gibraltar termasuk yang tercepat di Eropa.
JAKARTA, KOMPAS — Tepat 25 Mei 2021 atau tiga tahun Regulasi Perlindungan Data Umum atau GDPR berlaku mengikat negara-negara Uni Eropa. Meski dianggap sebagai instrumen perlindungan data pribadi paling modern dan komprehensif, implementasi GDPR menghadapi tantangan serta permasalahan yang bisa jadi pelajaran bagi negara lain, seperti Indonesia yang sedang membahas Rancangan Undang-Undang Perlindungan Data Pribadi.
Lembaga Studi dan Advokasi Masyarakat (Elsam) dalam pernyataan resmi, Selasa (25/5/2021), menyampaikan, sesuai laporan evaluasi implementasi yang diadopsi Parlemen Eropa 25 Maret 2021, tantangan utama terletak pada penguatan implementasi GDPR ke platform digital. Secara khusus, platform digital yang disorot bergerak di periklanan digital, micro-targeting, algorithmic profiling, praktik penggolongan, serta penyebaran dan amplifikasi konten.
Tantangan berikutnya mengenai peran Otoritas Perlindungan Data Pribadi (OPDP). Sebanyak 21 OPDP dari 30 negara yang tunduk pada GDPR Uni Eropa menyuarakan masalah sumber daya manusia, teknis dan keuangan, bangunan, serta infrastruktur yang memadai agar otoritas bisa menjalankan tugasnya secara efektif. Penggunaan mekanisme denda pun berbeda.
Otoritas PDP Spanyol tergolong otoritas yang paling aktif menggunakan kewenangan mereka untuk memberlakukan denda. Otoritas PDP Luksemburg dan Slovenia belum menggunakan mekanisme denda sama sekali dalam penggunaan wewenangnya.
Kemudian, ada tantangan ketidakmerataan penegakan dan perbedaan interpretasi GDPR Uni Eropa, khususnya menyangkut klausul ”kepentingan publik” sebagai dasar hukum pemrosesan data pribadi. Dari sisi pengusaha sektor ekonomi digital, riset Elsam menemukan, pemberlakuan GDPR Uni Eropa kepada pelaku UMKM, usaha rintisan, asosiasi, dan organisasi butuh dukungan sosialisasi informasi. Kelompok tersebut juga butuh pendampingan agar meningkatkan kepatuhan mereka terhadap GDPR Uni Eropa.
Peneliti Elsam, Lintang Setianti, saat dihubungi, Rabu (26/5/2021), di Jakarta mengatakan, untuk usaha mikro, kecil, dan menengah (UMKM) serta usaha rintisan pemula, implementasi GDPR kepada mereka semestinya ada perbedaan model sanksi dan kewajiban fungsi data protection officer (DPO). DPO secara khusus bisa dilekatkan dengan sumber daya lain.
”UMKM dan usaha rintisan perlu dibiasakan patuh dengan prinsip-prinsip perlindungan data pribadi. Hal ini bisa ditiru oleh Indonesia. Sebab, jika mereka dibiasakan, implikasinya positif terhadap data warga yang mereka proses,” ujar Lintang.
Menurut dia, dalam GDPR Uni Eropa, sanksi diklasifikasikan menurut jumlah pegawai di suatu badan usaha/asosiasi/organisasi. Indonesia bisa menganut kebijakan yang sama, seperti mengacu klasifikasi peraturan perundang-undangan terkait UMKM. Setelah itu akan ketahuan jumlah modal, karyawan, dan jenis data yang mereka kumpulkan ataupun kelola.
UMKM dan usaha rintisan perlu dibiasakan patuh dengan prinsip-prinsip perlindungan data pribadi. Hal ini bisa ditiru oleh Indonesia. Sebab, jika mereka dibiasakan, implikasinya positif terhadap data warga yang mereka proses. (Lintang Setianti)
Otoritas
Di Indonesia, alotnya pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi salah satunya mengenai wewenang otoritas pengawas pengelolaan data. DPR menginginkan otoritas pengelolaan data dilakukan secara independen, sedangkan pemerintah ingin subordinasi Kementerian Komunikasi dan Informatika (Kompas, 7/4/2021).
Menurut peneliti Elsam lainnya, Alia Yofira, pengalaman implementasi GDPR Uni Eropa mengenai Otoritas PDP bisa ditiru. Otoritas PDP merupakan salah satu pilar utama dalam memastikan efektif dan optimalnya penegakan perlindungan data pribadi. Selain itu, keberadaannya juga akan menentukan level kesetaraan hukum perlindungan data pribadi Indonesia dengan negara lain sehingga akan berpengaruh pada proses penyelesaian permasalahan perlindungan data yang bersifat lintas batas.
DPR dan pemerintah diharapkan segera menemukan titik temu kebutuhan pembentukan otoritas perlindungan data pribadi sebagai salah satu pilar utama yang akan memastikan penegakan hukum pelindungan data pribadi yang efektif.
Dia menekankan, peraturan perundang-undangan perlindungan data pribadi Indonesia kelak tidak hanya berlaku mengikat bagi sektor privat, tetapi juga badan-badan publik pemerintah. Dengan demikian, keberadaan otoritas ini menjadi penting dan relevan demi menjamin penegakan hukum yang adil dalam perlindungan data pribadi.
”Otoritas PDP di Uni Eropa berhadapan dengan isu sumber daya manusia yang kompeten. Orang-orang di otoritas akan bertugas menginvestigasi pengabaian perlindungan data pribadi, seperti kebocoran data pribadi. Jika tidak diisi ahli, investigasi hingga penegakan hukum perlindungan data pribadi akan menjadi tidak efektif,” kata Alia.
BBC melalui artikel Three Years of GDPR: The Biggest Fines So Far (25/5/2021) menyebutkan, sejak diluncurkan tiga tahun lalu, telah terkumpul denda senilai ratusan juta euro. Ada dua tingkatan penalti dengan maksimal 20 juta euro atau 4 persen dari pendapatan global. Uang yang terkumpul digunakan untuk mendanai layanan publik.
Dalam artikel itu, BBC mencantumkan lima perusahaan yang mendapat denda terbesar akibat melanggar GDPR Uni Eropa. Sebagai contoh, Google. Google termasuk deretan badan usaha pertama yang terkena denda GDPR Uni Eropa, yakni sebesar 50 juta euro pada 2019. Google didenda setelah regulator Perancis memutuskan perusahaan gagal membuat pernyataan pemrosesan data konsumen mudah diakses oleh pengguna. Raksasa teknologi ini juga dinyatakan bersalah karena tidak meminta persetujuan penggunanya untuk memanfaatkan data mereka untuk kebutuhan iklan bertarget.
Contoh lain adalah British Airways yang didenda sekitar 20 juta poundsterling karena kebocoran data pelanggan. Peretas mampu memanen data pribadi pelanggan maskapai itu sampai sejumlah 400.000 orang. Data yang bocor termasuk detail login, pemesanan perjalanan, nama, alamat, dan informasi kartu kredit.
Ketua Umum Asosiasi E-Commerce Indonesia (idEA) Bima Laga, secara terpisah, menyampaikan, idEA sampai sekarang masih menjembatani komunikasi dengan para platform digital yang menjadi anggota asosiasi dengan para pemerintah. Dengan demikian, harapannya memudahkan pemerintah menerima masukan langsung dari pemilik platform digital.
Polemik Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 tentang Penyelenggara Sistem Elektronik (PSE) Lingkup Privat juga tak luput dari perhatian idEA. Salah satu sorotan khusus idEA mengenai pemberian akses data dalam rangka penegakan hukum. IdEA berharap agar ketentuan itu seharusnya mengacu pada otoritas independen yang diamanatkan oleh Rancangan Undang-Undang Perlindungan Data Pribadi.
”Ketika Undang-Undang Perlindungan Data Pribadi sudah disahkan, kami tentu akan patuh dan membantu menyosialisasikan ke seluruh anggota kami. Harapannya, mereka bisa meneruskan ke mitra mereka, seperti pelaku UMKM,” katanya.
Wakil Presiden Keamanan Data di Thales untuk kawasan Eropa, Timur Tengah, dan Afrika, Rob Elliss, seperti dikutip oleh ComputerWeekly.com, memandang, masih ada orang-orang mempertanyakan keefektifan GDPR Uni Eropa. Namun, mayoritas warga menyatakan senang dengan hadirnya GDPR. GDPR telah mendorong badan usaha yang sedang berinovasi mau meningkatkan postur keamanan siber sesuai standardisasi pasar digital yang berlaku di Uni Eropa.
”GDPR Uni Eropa membawa terobosan penting regulasi keamanan siber yang berpusat pada pelanggan untuk melindungi hak privasi mereka di era digital. Ini menginspirasi seluruh dunia, terutama Amerika Serikat,” ujarnya.
Elliss menyampaikan, pada awal GDPR Uni Eropa dirancang, regulasi ini dianggap tidak akan selalu memperhitungkan adopsi teknologi baru ataupun migrasi cepat ke komputasi awan seperti masa pandemi Covid-19. Namun, di tengah transformasi digital dan orang bekerja jarak jauh yang semakin masif karena pandemi, regulasi perlindungan data pribadi, seperti GDPR Uni Eropa, semakin relevan.
