Tanpa Regulasi Kuat, Kedaulatan Data Indonesia Terancam
DPR telah mengesahkan Prolegnas Prioritas 2021, Selasa (23/3/2021). Dengan demikian, seharusnya tidak ada lagi hambatan bagi Komisi I DPR untuk membahas RUU Perlindungan Data Pribadi bersama pemerintah.
Pakar dan akademisi di bidang hukum dan teknologi informasi (dari kiri ke kanan), Agus Sudibyo, Edmon Makarim, Sinta Dewi Rosadi, Nonot Harsono, dan Sih Yuliana Wahyuningtyas, menjadi pembicara dalam Rapat Dengar Pendapat Umum Komisi I DPR membahas Rancangan Undang-Undang Perlindungan Data Pribadi di Kompleks Parlemen Senayan, Jakarta, Rabu (1/7/2020).
JAKARTA, KOMPAS — Pemerintah dan Dewan Perwakilan Rakyat perlu segera mengakselerasi pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi yang sejauh ini tersendat. Sebab, jika Indonesia tidak kunjung memiliki regulasi tersebut, kedaulatan data warga Indonesia terancam.
DPR telah mengesahkan Program Legislasi Nasional (Prolegnas) Prioritas 2021, Selasa (23/3/2021). Dengan demikian, seharusnya tidak ada lagi hambatan bagi Komisi I DPR untuk membahas RUU Perlindungan Data Pribadi (PDP) bersama pemerintah. Dalam dua kali masa sidang ini, pembahasan terkendala karena belum disahkannya prolegnas prioritas tahunan yang di dalamnya mencantumkan juga RUU PDP. RUU itu diharapkan tuntas tahun ini.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, dengan sisa waktu sekitar dua pekan di masa sidang ini, DPR dan pemerintah sebaiknya segera menjembatani sejumlah perbedaan pendapat terkait RUU PDP. Sebab, makin lama RUU ini tertunda, risiko penyalahgunaan data, serta ancaman kedaulatan data warga ataupun negara, makin besar.
”Dengan belum adanya payung hukum jelas, eksploitasi data warga negara akan lebih mungkin terjadi. Selain itu, dalam aspek pengembangan ekonomi digital, hal itu sangat tidak menguntungkan. Penyimpanan dan transfer data telah menjadi praktik bisnis normal, dan karenanya harus ada regulasi kuat mengatur soal itu,” kata Wahyudi, Selasa (23/3/2021) di Jakarta.
Di kawasan Asia Tenggara, misalnya, beberapa negara telah memiliki aturan perlindungan pribadi, yakni Singapura, Malaysia, Thailand, dan Filipina. Jika Indonesia tidak segera mengatasi ketertinggalan, ada potensi kendala dalam bisnis dan kerja sama yang melibatkan data pribadi warga negara Indonesia dalam lingkup regional ataupun internasional.
Pada 22 Januari 2021, Asosiasi Negara-negara Asia Tenggara (ASEAN), misalnya, menyetujui dibangunnya Data Management Framework dan klausul kontraktual untuk aliran data lintas negara di ASEAN. Kerangka manajemen data itu menyesuaikan dengan pengaturan dan perlindungan data pribadi yang berlaku di negara-negara di Asia Tenggara. Indonesia belum memiliki UU PDP yang sepadan dengan regulasi data pribadi di empat negara lainnya di Asia Tenggara.
Baca juga : RUU PDP Amat Penting, tetapi Terancam Buntu
”Ini tidak menguntungkan, karena dari sisi kedaulatan data, apakah kita mau pengelolaan data kita nantinya dalam kerja sama di ASEAN merujuk aturan di Singapura, Malaysia, Thailand, dan Filipina karena kita belum punya aturan sendiri? Dengan tidak punya regulasi perlindungan, kita tidak bisa menegosiasikan aturan yang dibuat dalam kerangka manajemen data regional itu,” katanya.
Dalam contoh praktisnya, ketika ada perusahaan multinasional beroperasi di suatu negara, pasti ada penyimpanan dan transfer data yang terjadi. Tidak terkecuali data dari warga Indonesia, yang misalnya disimpan di kantor pusat suatu perusahaan di Singapura. Jika Indonesia belum punya regulasi perlindungan data, perlindungan dan pemrosesan data warga Indonesia itu menjadi tidak jelas. Sementara di sisi lain ada aturan yang diterapkan sebagai panduan di ASEAN.
Dalam konteks politik, kedaulatan data sangat penting. Lebih-lebih karena data berpotensi disalahgunakan untuk kepentingan politik. Misalnya, untuk sasaran kampanye dan sebagainya.
/https%3A%2F%2Fkompas.id%2Fwp-content%2Fuploads%2F2019%2F11%2Fb417b11b-bf21-4469-8814-10600fec032f_jpg.jpg){kind=logo}
Wahyudi Djafar
”Sebaiknya UU itu diselesaikan cepat, karena sebentar lagi ada Pemilu 2024, dan itu pasti data warga diolah untuk kampanye, maupun juga penetapan daftar pemilih. Hal semacam ini juga harus dipikirkan DPR dan pemerintah. Sebab, ketika UU PDP disahkan, tidak bisa langsung dilaksanakan, ada jeda sekitar dua tahun sebelum proteksi berjalan,” ucap Wahyudi.
Ketua Pusat Studi Hukum Siber Universitas Padjadjaran Sinta Dewi Rosadi mengatakan, jika RUU PDP tak kunjung disahkan DPR, regulasi perlindungan data pribadi tak akan maksimal.
RUU PDP diperlukan untuk mengatur lebih detail tata kelola data pribadi dan sanksi hukum bagi pihak yang tidak mengelola data dengan baik. Pihak yang paling dirugikan adalah masyarakat, karena tidak ada kewajiban mengikat bagi pemerintah dan swasta untuk memiliki tata kelola data yang baik.
Pada saat ada insiden kebocoran data pun, masyarakat tak bisa menuntut apa-apa. Contohnya adalah saat kebocoran data pasien Covid-19, kebocoran data di situs belanja daring, sampai saat ini tidak ada audit yang jelas dan transparan mengapa bisa terjadi kebocoran data. Tanggung jawab dan sanksi yang diterapkan akibat terjadinya kebocoran data juga tidak jelas.
”Bagaimana tata kelola data di institusi dan bagaimana kontrol dari pemerintah, saat ini memang tidak jelas. Oleh karena itu, saya lebih sepakat jika perlindungan data pribadi ini nanti diawasi oleh lembaga independen agar tidak ada konflik kepentingan,” kata Sinta.
Ketua Cyber Law Center Fakultas Hukum Universitas Padjadjaran (Unpad) Sinta Dewi Rosadi (kiri) berbicara dalam Rapat Dengar Pendapat Umum (RDPU) bersama Komisi I DPR untuk membahas Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) di Kompleks Parlemen Senayan, Jakarta, Rabu (1/7/2020).
Sinta mengatakan, apabila di bawah Ditjen Aplikasi Informatika Kementerian Komunikasi dan Informatika, dikhawatirkan lembaga pengawas perlindungan data pribadi akan berkonflik kepentingan. Sebab, pemerintah juga termasuk sebagai obyek yang diatur di RUU PDP. Indonesia, sebutnya, tak bisa serta-merta meniru Malaysia dan Singapura. Sebab, di Malaysia dan Singapura, obyek yang diatur dalam UU PDP hanya swasta.
Sinta juga berharap RUU PDP bisa disahkan tahun 2021. Masih ada waktu enam sampai tujuh bulan untuk fokus dan konsen pada RUU tersebut. Jangan sampai, kata dia, pembahasan RUU PDP berlarut-larut. Sebab, negara-negara lain sudah memiliki UU PDP. Total sudah lebih dari 100 negara memiliki UU PDP, termasuk Pakistan, Sri Lanka, dan Vietnam. Jika terus tertinggal, Indonesia akan kesulitan menyesuaikan dengan regulasi perlindungan data pribadi di negara lain.
Sinta juga mengingatkan bahwa RUU PDP bukan sepenuhnya obat mujarab perlindungan data pribadi. RUU itu perlu diikuti pendekatan lain seperti literasi digital warganet, dan kepatuhan dari pelaku bisnis dalam mengelola data pribadi. Sinta menyadari kesadaran dari warganet untuk melindungi data pribadinya masih lemah.
Pendiri Ethical Hacker Indonesia Teguh Aprianto menyebutkan, karena belum ada perlindungan data pribadi di Indonesia, warganet bisa lebih aktif mengecek keamanan data pribadinya. Salah satunya adalah pengecekan melalui situs web periksadata.com. Dengan memasukkan alamat e-mail ke periksadata.com, warganet dapat mengetahui apakah data pribadinya pernah bocor atau tidak.
Ketika bocor, ada sejumlah tips yang bisa dilakukan. Misalnya, mengganti password dengan kombinasi huruf, angka, dan simbol secara berkala. Selain itu, juga bisa menerapkan verifikasi dua langkah untuk akun sosial media.
Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiawan juga sepakat bahwa RUU PDP sangat penting bagi kehidupan masyarakat. Sebab, ruh dari RUU PDP adalah untuk menjaga dan melindungi data pribadi dari berbagai penyalahgunaan. Saat ini, di Indonesia masih ada kekosongan hukum perlindungan data pribadi.
Di UU Informasi dan Transaksi Elektronik serta PP 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, hal-hal yang diatur masih sebatas pada serangan dari pihak luar. Adapun, di RUU PDP penyalahgunaan yang dilakukan oleh pengelola data sendiri juga ikut diatur.
Misalnya, saat Facebook, Youtube, dan Google ingin melakukan perpindahan data pribadi pengguna untuk kepentingan komersial, kata dia, harus diikuti dengan persetujuan pelanggan (consent). Tanpa persetujuan, hal itu bisa disebut sebagai tindakan ilegal.
”Di Indonesia, belum ada hukum yang meng-cover terkait pengelolaan data pribadi yang ke depannya akan semakin masif karena kita semakin banyak menggunakan aplikasi dan teknologi informasi dalam kehidupan sehari-hari. Pengelolaan data pribadi dari setiap entitas harus diperkuat dengan kewajiban melekat agar tidak terjadi penyalahgunaan,” terang Anton.
Pastikan selesai
Wakil Ketua Komisi I dari Fraksi Partai Keadilan Sejahtera (PKS), yang juga Ketua Panitia Kerja RUU PDP, Abdul Kharis Almasyhari mengatakan, RUU PDP itu pasti diselesaikan sesuai target. Ia membantah jika RUU PDP itu terancam akan dikeluarkan dari prolegnas prioritas karena ia telah meminta izin perpanjangan kepada pimpinan DPR.
”Kita teruskan itu pembahasannya. Tidak akan di-drop dari prolegnas prioritas. Itu sudah jadi kesepakatan bersama, kita upayakan selesai 2021,” kata Kharis.
Beberapa perbedaan pendapat antara pemerintah dan DPR, seperti kedudukan otoritas pengawas data, apakah di bawah Kementerian Komunikasi dan Informatika, ataukah lembaga mandiri, akan dituntaskan dalam pembahasan.
”Pembahasannya kan tidak satu per satu pasal. Nanti kalau yang jadi perdebatan selesai, itu cepat kok, tidak lama, karena yang lain-lain kan hanya mengikuti saja,” ucapnya.
Sesuai dengan tata tertib DPR yang berlaku saat ini, suatu RUU harus selesai dibahas dalam tiga kali masa sidang. Jika tidak selesai, RUU itu dapat diusulkan untuk dikeluarkan dalam prolegnas prioritas tahunan, atau diajukan untuk dibahas oleh alat kelengkapan dewan (AKD) yang lain. Sementara RUU PDP telah dibahas dalam dua kali masa sidang, sehingga satu kali masa sidang lagi harus selesai jika tidak mau dikeluarkan dari prolegans prioritas tahunan.
Menteri Komunikasi dan Informatika ( Menkominfo) Johnny G Plate menghadiri rapat bersama Komisi I DPR di Kompleks Parlemen, Senayan, Jakarta, Selasa (25/2/2020). Rapat membahas Rancangan Undang-Undang (RUU) tentang Perlindungan Data Pribadi.
Menteri Kominfo Jhonny G Plate sebelumnya mengatakan, pemerintah serius mengenai RUU PDP. Pemerintah meyakini pergerakan data pribadi harus dijaga melalui persetujuan pemilik data melalui persetujuan. Jika terjadi penyimpangan pengelolaan data pribadi, harus ada payung hukumnya. Sebab, jika data dikelola tanpa persetujuan pemilik, hal itu merupakan tindakan ilegal.
”Pemerintah serius. Oleh karena itu, naskah akademis dan draft RUU PDP sudah dikirimkan ke DPR. Terkait dengan substansi pasal per pasalnya, tinggal ditunggu dinamika di DPR. Pemerintah setuju Indonesia harus segera memiliki regulasi yang melindungi data pribadi,” kata Jhonny.
Peneliti Forum Masyarakat Peduli Parlemen Indonesia Lucius Karus mengatakan, jika ada beberapa substansi yang masih perlu diperdalam atau belum ada kesepakatan antara DPR dan pemerintah, kedua belah pihak harus mau membuka ruang diskusi yang lebih luas dengan publik. Menurut Lucius, banyak ahli yang berkompeten bisa memberikan masukan soal RUU PDP.
“Itu bisa menjadi modal mereka untuk bisa membuat proses pembahasan RUU ini berkembang dengan baik, supaya bisa segera disahkan,” kata Lucius.
Siapkan diri
Ketua dan Pendiri Indonesia Cyber Security Forum (ICSF) Ardi K Sutedja mengatakan, dorongan untuk membentuk UU PDP sudah disuarakan sejak 20 tahun lalu. Indonesia sebenarnya telat merespons perkembangan ini. Namun, dengan telah berjalannya pembahasan RUU PDP di parlemen, komunitas siber berharap hal itu tidak dihentikan. RUU PDP itu harus dipastikan selesai, karena arti penting regulasi itu bagi perlindungan data warga.
Baca juga: ”Satpam-satpam” Siber yang Bakal Jadi Rebutan
”Jangan sampai berhenti, karena akan sulit lagi menemukan momentum pembahasan perlindungan data pribadi. Isu ini memang baru, karena tidak semua orang memiliki kesadaran mengenai pentingnya data, dan risiko yang dapat timbul akibat penyalahgunaan data. Namun, kita tentu tidak boleh berhenti di sini,” ucap Ardi.
Selama RUU PDP sedang dibahas, institusi swasta ataupun pemerintah sejak diri harus mulai membangun keamanan sistem informasi mereka. Menurut Ardi, beberapa hal harus diantisipasi, misalnya, keberadaan pejabat khusus perlindungan data (data protection officer/DPO). Mereka harus disiapkan sejak awal, sehingga ketika UU PDP berlaku, yakni dua tahun sejak disahkan, sumber daya manusia dan infrastruktur dalam perlindungan data pribadi tersedia.
”Pemerintah penting untuk mulai memikirkan pusat pelatihan dan sertifikasi, serta standar kompetensi DPO, sehingga ketika UU berlaku, sudah ada SDM yang mumpuni untuk melakukan pekerjaan tersebut,” katanya.
Menurut Ardi, pemerintah sejak awal sebaiknya juga menyiapkan orang-orang untuk duduk sebagai komisioner dalam otoritas atau lembaga pengawas perlindungan data yang akan diatur di UU PDP. Calon komisioner itu haruslah orang yang kompeten dan memiliki integritas yang baik. Ini karena pengawasan pengelolaan data merupakan pekerjaan besar yang menuntut keahlian, konsistensi, serta integritas.
