Penataan Regulasi Menuju Pembaruan Perlindungan Data Pribadi
Setahun Undang-Undang Perlindungan Data Pribadi belum sepenuhnya memberikan kepastian hukum. Perlu penataan regulasi.
Oleh
LEO CHRIS EVAN SINULINGGA
·5 menit baca
Tepat pada 17 Oktober 2023, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) setahun diundangkan dan berlaku. ”Tak ada kata terlambat“, mungkin pernyataan tersebut adalah kalimat yang tepat untuk ”merayakan“ pengundangan UU PDP. Bukan tanpa alasan, mengingat UU PDP adalah salah satu regulasi termuda di dunia yang mengatur perlindungan data pribadi dibandingkan dengan regulasi serupa di negara lainnya, sebut saja General Data Protection Regulation (GDPR) Uni Eropa dan Privacy Act yang diterbitkan Australia.
Sejalan dengan amanat Pasal 28 G Ayat (1) UUD RI 1945, penerbitan UU PDP menjadi tonggak sejarah bagi Indonesia yang menandakan bahwa pemerintah menjamin perlindungan data pribadi yang merupakan bagian dari hak perlindungan diri pribadi. Bukan tidak mungkin ke depan Indonesia akan semakin dekat dengan privacy regime, terutama di era digital yang tidak memberikan batas kepada perpindahan data dan informasi.
Dalam rangka memberikan kepastian hukum, UU PDP telah dipersiapkan secara matang untuk menjadi payung hukum perlindungan data pribadi. Bahkan, dalam penyusunannya, regulator berkiblat kepada GDPR yang digadang-gadang sebagai salah satu ”the strongest“ dan ”most comprehensive“ regulasi perlindungan data pribadi.
Benchmarking regulasi tersebut dapat dilihat dari pasal-pasal pengaturan di UU PDP, antara lain mengenai pemisahan pemrosesan dan pengolahan data pribadi, pemindahan data pribadi (transfer data), dan right to be forgotten atau juga yang disebut dengan right to erasure. Teknik benchmarking regulasi memang merupakan praktik umum yang dilakukan dalam legislasi, sepanjang regulasi yang diacu memang dianggap berhasil dalam implementasinya dan sejalan dengan apa yang dibutuhkan.
Setahun implementasi, ternyata bagi beberapa pihak, UU PDP belum sepenuhnya memberikan kepastian hukum. Sebut saja ruang lingkup perlindungan data pribadi, isu pengenaan sanksi, hingga mekanisme kompensasi. Selain itu, belum ada peraturan pelaksana UU PDP juga dianggap menghambat proses implementasinya.
Efektivitas UU PDP
Teori Hukum Pembangunan (THP) menekankan bahwa hukum merupakan tools as social engineering di mana hukum diharapkan dapat menjadi alat untuk menciptakan pembaruan di masyarakat. Oleh karena itu, hukum tidak dapat hanya menjadi elemen yang statis di belakang perubahan, tetapi harus dapat berada di depan mengawal perubahan yang terjadi di masyarakat.
Memperhatikan THP, maka indikator yang menandakan efektivitas UU PDP adalah terciptanya pembaruan, dalam hal ini adalah pembaruan akan perlindungan data pribadi. Dengan penerbitan UU PDP, Indonesia secara resmi masuk ke dalam proses pembaruan tersebut. UU PDP disusun sebagai respons atas masih lemahnya perlindungan data pribadi di Indonesia dan sebagai bentuk antisipasi perubahan yang akan terus terjadi di era digital. Regulasi yang komprehensif dan implementatif merupakan dua dari banyak hal yang menjadi kunci menuju ke pembaruan tersebut.
Pertama, regulasi yang komprehensif merupakan regulasi yang diharapkan telah mencakup seluruh kebutuhan publik yang menjadi obyek dari regulasi. Kapabilitas regulator dalam menakar dan menyusun peraturan yang tepat dan sesuai dengan kebutuhan masyarakat menjadi krusial dalam rangka melahirkan regulasi yang komprehensif. Banyak cara yang dapat dilakukan. Selain proses benchmarking, ada juga proses partisipasi publik (public participation) dalam rangka menjaring sudut pandang masyarakat. Hal tersebut seharusnya sudah dilakukan regulator dalam penyusunan UU PDP.
Tugas pemerintah seyogianya tidak hanya berhenti di penerbitan UU PDP hingga tujuannya tercapai. Sudah barang tentu, pemerintah harus mengawal implementasinya.
Selanjutnya yang kedua adalah memastikan keberhasilan implementasi UU PDP. Tugas pemerintah seyogianya tidak hanya berhenti di penerbitan UU PDP hingga tujuannya tercapai. Sudah barang tentu, pemerintah harus mengawal implementasinya. Dengan adanya opini yang menyatakan bahwa implementasi UU PDP masih cukup lemah, peran aktif pemerintah untuk memastikan bahwa UU PDP memang sudah pada koridornya sangat dibutuhkan. Bukan mengambil tindakan reaktif untuk mengubah UU PDP, karena hal ini tidak lazim diterapkan bagi regulasi yang masih seumuran jagung.
Diseminasi regulasi merupakan cara klasik, tetapi percayalah, langkah ini penting untuk dilakukan. Berdasarkan survei yang dilakukan Kementerian Komunikasi dan Informatika pada 2022, tingkat pemahaman masyarakat akan data pribadi masih tergolong rendah. Hal ini menunjukkan bahwa memberikan pemahaman akan data pribadi dalam proses diseminasi selain isi dari UU PDP itu sendiri adalah hal yang tidak dapat ditinggalkan begitu saja.
Penataan regulasi
Pembaruan perlindungan data pribadi tidak berhenti di penerbitan UU PDP. Penataan regulasi adalah faktor utama yang berperan dalam mencapai pembaruan. Penataan tersebut harus memperhatikan pengaturan lainnya yang masih berlaku dan pengaturan di peraturan pelaksananya. Penataan ini dapat dilakukan melalui Regulatory Reform (RR).
Regulatory Reform merupakan metode yang cukup ”hype” di Indonesia saat ini, tetapi perlu diingat, metode ini bukanlah hal yang mudah. Bukan sekadar menyederhanakan jumlah regulasi melalui harmonisasi dan kodifikasi regulasi. Lebih dari itu, proses birokrasi, keterlibatan antarlembaga, peran perancang hukum, serta keterlibatan masyarakat dalam menata regulasi yang tepat sasaran juga memiliki porsi yang sama pentingnya.
Melakukan RR terhadap seluruh regulasi terkait dengan privasi dan perlindungan data pribadi yang saat ini masih berlaku dapat mulai untuk dipertimbangkan. Salah satu mekanisme RR yang sukses diterapkan di Korea adalah Korean Regulatory Guillotine, di mana regulator menyeleksi regulasi yang masih berlaku di Korea. Dalam hal regulator berhasil meyakinkan bahwa regulasi perlu untuk dicabut, maka regulasi tersebut akan dicabut. Keberhasilan Korea tidak terlepas dari prosedurnya yang lebih transparan, realistis, dan mudah dipatuhi baik dalam proses penyusunannya maupun saat implementasinya.
Regulatory Guillotine dapat diadaptasi untuk menyisir dan menyeleksi seluruh regulasi mengenai privasi dan perlindungan data pribadi yang berlaku saat ini di Indonesia. Setelah meyakini bahwa regulasi, baik yang bertentangan maupun yang redundan, telah dicabut, langkah selanjutnya adalah restrukturisasi regulasi berdasarkan tata perundang-undangan Indonesia.
Di sini, regulator akan menentukan regulasi apa saja yang akan disusun. Mengingat UU PDP telah diterbitkan, fokus regulator adalah penyusunan peraturan pelaksana UU PDP dengan tetap memperhatikan proses penyusunan regulasi yang efektif di dalam RR. Perlu diingat, proses ini tidak menutup kemungkinan regulator untuk menyusun regulasi dalam bentuk undang-undang lainnya.
Pada akhirnya, selain seluruh hal teknis dalam menciptakan pembaruan, mengubah sudut pandang kita sebagai masyarakat dan regulator mengenai hak perlindungan data pribadi adalah hal mendasar yang perlu kita lakukan. Masih ada pandangan bahwa hak tersebut bukan merupakan hal yang absolut dan perlu untuk dilimitasi terutama dalam implementasi kebijakan prioritas pemerintah. Indonesia menuju privacy regime merupakan perjalanan yang panjang sehingga dengan melihat hak perlindungan data pribadi sebagai hak yang fundamental, niscaya akan mengubah pandangan kita akan pentingnya untuk mengatur perlindungan data pribadi di Indonesia.