Usulan BSSN Jadi Pengawas Perlindungan Data Pribadi Menuai Resistensi
BSSN adalah lembaga yang dibentuk untuk menjaga keamanan siber. Apalagi, BSSN adalah lembaga yang berada di bawah pemerintah, bukan lembaga independen.
Oleh
RINI KUSTIASIH, DIAN DEWI PURNAMASARI
·5 menit baca
JAKARTA, KOMPAS — Sejumlah pihak menilai tidak tepat usulan agar Badan Siber dan Sandi Negara dijadikan otoritas pengawas perlindungan data pribadi. Agar efektif, kewenangan pengawasan sebaiknya diserahkan kepada lembaga independen.
Ketua Lembaga Riset Keamanan Siber CISSRec Pratama Persadha, Kamis (7/4/2022), mengatakan, otoritas pengawas perlindungan data pribadi adalah ujung tombak dari pengamanan data pribadi yang dikelola instansi negara ataupun swasta. Dengan demikian, otoritas itu harus ditempatkan setinggi mungkin agar bisa menjalankan amanah Undang-Undang Perlindungan Data Pribadi (PDP) dengan maksimal.
”Wacana menempatkan Komisi PDP di (Kementerian) Kominfo saja sudah tidak proporsional. Lalu, muncul wacana dengan alasan jalan tengah untuk Komisi PDP di bawah BSSN (Badan Siber dan Sandi Negara). Ini tidak lebih baik karena BSSN baru terbentuk dan kewenangannya belum maksimal,” kata Pratama melalui keterangan tertulis, Kamis.
Usulan BSSN sebagai otoritas pengawas PDP muncul dari sejumlah anggota Komisi I DPR setelah pembahasan mengenai kedudukan otoritas itu dalam RUU PDP menjumpai kebuntuan. Pemerintah yang diwakili Kemenkominfo menginginkan otoritas di bawah kementeriannya. Adapun mayoritas fraksi di DPR ingin otoritas itu independen.
Sejak awal, menurut Pratama, semangat lahirnya RUU PDP adalah dibuat lembaga yang memiliki kekuatan dengan aturan yang tidak ambigu. Dengan demikian, otoritas PDP bisa menjalankan fungsinya untuk mengatur kewajiban bagi swasta dan pemerintah dalam mengelola data pribadi milik masyarakat. Idealnya, otoritas ini harus berada di posisi yang kuat dalam hierarki ketatanegaraan.
Pratama menyebut seharusnya, BSSN tidak ditambahkan tugas untuk mengurusi sengketa yang nantinya ada di otoritas PDP. Ini jelas melenceng jauh dari cita-cita perlindungan data pribadi. Sebab, otoritas PDP adalah organisasi yang dibentuk atas dasar undang-undang. Sementara, pembentukan BSSN hanya berdasarkan peraturan presiden.
Menurut Pratama, idealnya, memang otoritas pengawas PDP adalah lembaga negara yang bersifat independen. BSSN justru perlu diperkuat wewenangnya untuk mengawal keamanan wilayah siber negara. Apalagi, jika melihat sepanjang pandemi Covid-19 lalu, peretasan dan kebocoran data silih berganti menyerang lembaga negara, mulai dari peretasan dan kebocoran data di Kemenkes, Polri, bahkan BSSN juga tak luput dari sasaran peretas.
”Tidak bijak memberikan BSSN beban kerja yang bukan tupoksinya, yaitu persoalan data pribadi lewat Komisi PDP. Biarlah BSSN fokus pada hal teknis pengamanan siber, kewenangan koordinasi dan teknis yang perlu ditambah, bukan menempatkan Komisi PDP di bawahnya,” kata Pratama.
Pratama menambahkan, semangat RUU PDP adalah menertibkan penggunaan dan penyalahgunaan data yang dilakukan oleh swasta dan pemerintah. Karena risiko menghadapi kekuatan besar itulah, posisi dan wewenang otoritas PDP harus diberikan di tempat terbaik dan terkuat.
”Bila ingin perlindungan data pribadi maksimal lewat UU PDP, Komisi PDP harus menjadi Komisi negara yang independen seperti komisi negara lainnya. Para komisionernya dipilih dari usulan pemerintah dan DPR, mewakili berbagai unsur ada ASN, perwakilan masyarakat, akademisi, profesional, dan aparat sehingga dalam menjalankan wewenangnya nanti. Komisi PDP dalam posisi tawar yang kuat,” jelas Pratama.
Selain itu, penempatan otoritas PDP di bawah Kemenkominfo dan BSSN akan berpotensi bertabrakan dengan berbagai kepentingan karena posisi otoritas PDP tersebut sendiri sudah tidak kuat. Padahal, jika ingin digitalisasi Indonesia menambah penerimaan negara, salah satu yang harus diperkuat adalah pengamanan ekosistem siber. Perlindungan data pribadi adalah salah satu yang paling ideal di dalamnya.
”Komisi PDP yang lemah akan membuat penegakan UU PDP lemah. Pada akhirnya, dari sisi ekonomi akan membuat tidak maksimal. Dari sisi keamanan negara juga akan berbahaya karena yang dihadapi organisasi besar multinasional,” kata Pratama.
Pengajar hukum siber Universitas Padjajaran, Bandung, Sinta Dewi Rosadi, juga tidak sepakat dengan usulan lembaga pengawas PDP berada di bawah BSSN.
Menurut dia, BSSN adalah lembaga yang dibentuk untuk menjaga keamanan siber. BSSN difungsikan sebagai lembaga keamanan sistem siber negara. Tugas BSSN lebih kepada masalah keamanan data dari aspek intelijen. Jika disatukan dengan pengawasan perlindungan data pribadi, justru akan berpotensi konflik. Apalagi, BSSN adalah lembaga yang berada di bawah pemerintah, bukan lembaga independen.
Adapun Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar sebelumnya menilai, usulan otoritas PDP diserahkan ke BSSN, bisa saja dilakukan. Namun, kelembagaan BSSN harus dirombak.
Sebagai pengawas PDP, BSSN tidak bisa dengan model kepemimpinan sekarang. Idealnya, ada beberapa komisioner yang pemilihannya melibatkan proses politik antara presiden dan DPR. Alasannya, karena sebagai pengawas PDP, BSSN harus bisa mengambil keputusan secara kolektif dan kolegial.
”Kalau model kepemimpinan seperti sekarang, presiden bisa sewaktu-waktu mengganti kepala BSSN. Ini tidak cocok dengan persyaratan pengawasan data pribadi. Jika memang tidak mau menambah nomenklatur lembaga baru, struktur lembaga BSSN harus dibenahi,” kata Wahyudi.
Usulan yang disimulasikan
Terkait kemungkinan BSSN sebagai lembaga yang diberi kewenangan untuk mengawasi perlindungan data pribadi, menurut anggota Komisi I Dewan Perwakilan Rakyat (DPR) dari Fraksi Partai Golkar, Christina Aryani, itu baru sebatas usulan yang sedang disimulasikan oleh DPR. Hal itu pun harus dikomunikasikan terlebih dulu dengan pemerintah. Pada dasarnya, DPR sedari awal mendukung agar kelembagaan otoritas PDP itu memang independen.
Namun, karena pemerintah tidak bersedia dengan usulan itu, DPR berusaha mencari titik temu. ”Praktik mayoritas otoritas pengawas perlindungan data pribadi di negara lain memang merupakan otoritas independen. Bukan otoritas atau lembaga yang merangkap tugas lainnya,” kata Christina.
DPR menilai posisi independen itu diperlukan karena otoritas itu nantinya tidak hanya mengawasi pengelolaan data oleh swasta, tetapi juga pemerintah. Namun, dari berbagai rapat dan pertemuan, tidak kunjung ada titik temu terhadap bentuk kelembagaan pengawas PDP tersebut.
”Menurut pihak Kemenkominfo, keengganan membentuk lembaga otoritas pengawas perlindungan data pribadi yang bersifat independen ini merupakan arahan dari presiden. Namun, saya belum dapat memastikan kebenaran arah ini,” ujarnya.
Akibat belum tuntasnya pembahasan RUU PDP, menurut Christina, banyak RUU lain yang terhambat di Komisi I.
”Ada banyak RUU lain yang juga perlu untuk segera dibahas dan perkembangan yang kurang dalam pembahasan RUU PDP tentu menghambat kami untuk memulai pembahasan RUU lain,” katanya.