Menguat, Wacana Membentuk Lembaga Independen Pengawas Pengelolaan Data Pribadi

Anggota Komisi I DPR dari Fraksi Partai Demokrasi Indonesia Perjuangan, Charles Honoris, saat dihubungi, Rabu (16/9/2020), mengatakan, DIM yang diajukan fraksinya fokus pada beberapa hal. Salah satunya adalah dorongan untuk membentuk regulator independen. Regulator yang dimaksud berupa lembaga atau badan yang berada di luar pemerintah dan swasta. Hal lain yang menjadi fokus PDI-P ialah mengenai definisi pemilik data dan penjatuhan sanksi.

Baca juga : Cegah RUU Perlindungan Data Pribadi Jadi Alat Negara ”Menginteli” Warga

Terkait dengan pembentukan lembaga independen yang menjadi regulator dalam pengolahan data pribadi, menurut Charles, hal itu tidak terhindarkan, dan merupakan keharusan. Sebab, negara-negara lain juga telah membentuk badan atau lembaga dengan karakter yang independen. Maksud dari independen ialah tidak berada di bawah pemerintah ataupun di bawah swasta. Sebelumnya, pemerintah melalui Kementerian Komunikasi dan Informatika selaku inisiator RUU PDP mengusulkan agar lembaga pengawas ini berada di bawah Kemenkominfo.

”Menempatkan regulator dan pengawas ini sebagai lembaga independen sangat penting karena pemerintah di satu sisi akan menjadi pengelola data terbesar di Indonesia. Pemerintah akan mengumpulkan dan mengolah data dari 260 juta warga. Dengan kondisi ini, perlu ada sifat imparsialitas dan independensi dalam lembaga pengawas dan regulator. Sebab, lembaga ini juga akan mengatur dan mengawasi pemerintah sebagai pengelola data,” kata Charles.

Selain itu, merujuk pada aturan serupa di negara-negara lain, seperti General Data Protection Regulation (GDPR) yang berlaku di Uni Eropa, ada lembaga independen yang berperan sebagai regulator dan pengawas. Kesetaraan aturan di Indonesia dengan negara-negara lain ini diperlukan guna menjamin ketepercayaan terhadap regulasi perlindungan data pribadi di Indonesia.

”Kesetaraan ini penting karena negara-negara yang telah memiliki aturan serupa akan mengukur hal ini dan mensyaratkan adanya perlindungan serupa di Indonesia sebelum transmisi data dilakukan oleh mereka dengan Indonesia. Kalau standar pengaturan perlindungan datanya tidak setara, mereka akan keberatan mentransmisi data ke Indonesia,” katanya.

Dalam berbagai diskusi memang mengemuka usulan untuk memberikan kewenangan regulator dan pengawasan data pribadi warga kepada lembaga pemerintah yang sudah ada, seperti kepada Komisi Informasi Pusat (KIP). Namun, kapasitas kelembagaan dan orang-orang di dalamnya menjadi kendala.

”Anggota KIP, kan, dilantik tidak untuk menjadi regulator dan pengawas pengelolaan data pribadi, sementara untuk perlindungan data diperlukan kompetensi khusus yang berbeda. Orang-orang yang nantinya menduduki posisi anggota lembaga independen ini haruslah orang-orang yang paham teknologi digital dan secara khusus mendalami isu-isu perlindungan data. Selain membuat regulasi, mereka juga dibekali dengan kewenangan investigasi untuk mengungkap pelanggaran pengelolaan data pribadi,” kata Charles.

Anggota Komisi I dari Fraksi Partai Demokrat, Rizki Aulia Natakusumah, mengatakan, independensi lembaga pengawas dan regulator itu menjadi syarat penting untuk menjaga lembaga itu dari pengaruh atau intervensi politik. Di satu sisi, lembaga itu harus mengatur dan mengawasi pemerintah sebagai pengelola data dan di sisi lain ada pihak swasta yang juga berperan mengelola data. Pihak swasta ini sangat luas, mulai dari yang berbentuk badan usaha swasta hingga perusahaan platform digital.

”Lembaga ini harus dipastikan independensinya dari pemerintah dan swasta karena dua pihak itu sama-sama diawasi dan diatur. Kalau tidak independen, lembaga ini bakal sulit terlepas dari kepentingan politik dan kemungkinan cekcok di internal mereka sendiri-sendiri karena ada kepentingan yang berbeda-beda,” ujarnya.

Rizki mengatakan, RUU PDP ini pun harus berperspektif hak asasi manusia (HAM) sebab data pribadi warga negara adalah bagian dari hak warga yang mesti dilindungi. Penggunaan data pribadi warga oleh karena itu harus sepengetahuan dan seizin pemilik data. Data pun tidak boleh dimanipulasi, apalagi disalahgunakan untuk kepentingan lain di luar yang diketahui oleh warga. Untuk menjamin itu semua, lembaga independen memiliki peran krusial mengatur bagaimana data warga diolah dan mengawasi penerapan regulasi tersebut.

Batasi kewenangan

Dihubungi terpisah, pengamat media baru dan komunikasi, Agus Sudibyo, mengatakan, lembaga independen yang diusulkan untuk dibentuk itu sebaiknya fokus membuat aturan dan mengawasi bagaimana aturan diimplementasikan. Sebagai regulator, titik berat pelaksanaannya bukan pada lembaga tersebut, melainkan pada setiap pengelola data, baik pemerintah maupun swasta.

”Pihak yang wajib melindungi data pribadi warga adalah pengelola dan pengendali data itu, baik pemerintah maupun swasta. Jadi, bukan lembaga independen itu. Sebab, lembaga itu hanya membuat aturan bagaimana data dikelola dan dimanfaatkan. Namun, kewajiban untuk melindungi data itu ada pada pengelola data. Jika terjadi pelanggaran, barulah regulator melakukan investigasi kepada pengelola data,” kata Agus.

Dengan beban perlindungan pada pengelola data, lembaga independen itu dapat fokus mengawasi pengelolaan data warga dan mengatur regulasi turunan dari UU PDP yang menjamin pengelolaan data warga dengan sebaik-baiknya.

”Lembaga itu cukup membangun standar dan regulasi, mengawasi, dan menetapkan sanksinya. Kalau lembaga itu harus pula melindungi data pribadi warga, tentu akan sangat berat sebab yang memiliki teknologi adalah pengelola data (data processor) atau pengendali data (data controller),” ujarnya.

Regulator independen itu juga harus memiliki kompetensi untuk menemukan pencurian, kebocoran, atau penyalahgunaan data. Teknologi yang dimiliki dan dikembangkan oleh lembaga itu juga seharusnya bisa mengimbangi teknologi yang dimiliki pengelola data. ”Mereka yang menjadi anggota lembaga ini harus orang yang benar-benar memahami soal big data dan proses penambangan data serta dilengkapi dengan teknologi yang mumpuni,” katanya.

Belajar dari pengalaman negara lain, termasuk Amerika Serikat, upaya untuk menginvestigasi kebocoran data dari perusahan platform swasta bukan hal mudah. Sebab, kerap kali perusahaan itu mengelak ketika disebut ada kebocoran atau penyalahgunaan data. Oleh karena itu, diperlukan teknologi yang sepadan, bahkan lebih canggih, untuk mendukung kerja lembaga independen guna menginvestigasi benar atau tidaknya ada penyalahgunaan dan kebocoran data.

Peneliti Lembaga Studi dan Advokasi Masyarakat (Elsam), Wahyudi Djafar, mengatakan, selain fokus pada keberadaan lembaga independen, pembentuk UU juga harus lebih detail mendefinisikan data pribadi dan kategori-kategorinya. Hal ini penting untuk membedakan mana yang termasuk data sensitif dan mana yang bukan merupakan data sensitif.

”Di banyak negara, agama, SARA, dan pandangan politik itu termasuk data sensitif. Apakah hal yang sama berlaku juga di Indonesia, itu juga harus diatur. Ada pertanyaan juga dari masyarakat sipil, kenapa agama tidak dimasukkan sebagai data yang sensitif, termasuk juga soal biometrik dan rekam medis,” katanya.