RUU Perlindungan Data Pribadi, Jangan Hanya Fokus pada Pemidanaan
Kebocoran data pribadi kembali terjadi, sementara Rancangan Undang-Undang Perlindungan Data Pribadi belum juga selesai dibahas oleh Dewan Perwakilan Rakyat bersama pemerintah.
Oleh
RINI KUSTIASIH
·5 menit baca
Dugaan kebocoran data penduduk yang dikelola Badan Penyelenggara Jaminan Sosial Kesehatan kembali menggugah kesadaran banyak pihak tentang pentingnya regulasi yang mengatur perlindungan data pribadi. Sayangnya, Rancangan Undang-Undang Perlindungan Data Pribadi yang sebenarnya sudah dirumuskan sejak tahun 2012 belum juga disahkan.
Tak hanya itu, draf RUU Perlindungan Data Pribadi (PDP) yang kini tengah dibahas Dewan Perwakilan Rakyat (DPR) bersama pemerintah itu pun dinilai masih terlalu fokus pada pemidanaan dan pemberian denda kepada pelanggar. Perlindungan langsung terhadap data pribadi, termasuk dari upaya penyalahgunaan data seperti penjualan data pribadi, belum terlalu banyak disinggung di dalam RUU usulan pemerintah itu.
Kepala (Chairman) Communication and Information System Security Research Center (Cissrec) Pratama Persadha saat dihubungi dari Jakarta, Rabu (26/5/2021), mengatakan, semangat RUU PDP seharusnya ialah melindungi data. Namun, dalam draf RUU yang dapat diakses publik terlihat sebagian besar pasal masih fokus pada pemidanaan dan denda terhadap pelanggaran perseorangan. Bahkan, hukuman bagi korporasi yang melakukan tindakan melawan hukum hanya berupa denda dan sita.
”Memang sudah ada fokus ke sana (pemidanaan), misalnya menyalahgunakan data seperti menjual data dan mengolah data tanpa persetujuan pemilik data dan bertujuan melawan hukum. Contohnya, jual beli data nasabah perbankan. Ini hal yang baik dan menegaskan bahwa RUU PDP ini tidak hanya fokus pada data online, tetapi juga offline,” katanya.
Meski begitu, menurut Pratama, pengaturan itu perlu diperkuat. Sebab, tujuan disusunnya regulasi ini untuk mendorong akuntabilitas penyelenggara data, yang dalam RUU PDP disebut sebagai pengendali data pribadi. Pengendali data seharusnya didorong lebih terbuka kepada masyarakat terkait pengelolaan data, sekaligus didorong untuk mengadopsi teknologi dan sumber daya manusia (SDM) terbaik dalam mengamankan data. Hal inilah yang dinilai belum ada sampai saat ini dalam RUU PDP.
Terlepas dari kekurangan tersebut, menurut Pratama, RUU PDP mengatur hak pemilik data pribadi secara detail. Misalnya, ada hak untuk meminta keterangan terkait untuk apa saja data pribadi digunakan. Lalu ada hak melengkapi, mengakses, memperbaiki, menunda, dan bahkan menolak pemrosesan data pribadi dengan alasan tertentu. Ada juga hak untuk meminta ganti rugi jika ditemukan pelanggaran atas data pribadinya. Diusulkan pula pengaturan hak untuk menghapus data pribadi atau right to be forgotten.
”Hak-hak dari pemilik data pribadi memang sangat krusial karena di era digital ini data pribadi punya volume yang besar, tetapi bisa bergerak cepat. Karena itu, dibutuhkan hak-hak pemilik data untuk mengatur serta melindungi datanya sendiri,” ucapnya.
Pasal kelalaian
Untuk menjamin perlindungan terhadap data pribadi ini bisa dilakukan maksimal, menurut Pratama, seharusnya ada pasal khusus yang membahas tentang ”kelalaian pengendali data pribadi”. Dalam General Data Protection Regulation (GDPR) milik Uni Eropa, misalnya, para pengendali data pribadi didorong mengamankan data dengan ancaman sampai 25 juta euro apabila terbukti lalai tidak mengaplikasikan teknologi dan SDM sesuai GDPR serta aturan turunannya.
”Dalam RUU PDP sejauh ini belum ada. Yang banyak diatur dengan pidana dan denda adalah tindakan melawan hukum, seperti pencurian data, pemalsuan data, dan tindakan melawan hukum lainnya, yang itu jelas sudah pasti pidana,” katanya.
Selain itu, belum ada pasal yang seharusnya mendorong standardisasi keamanan yang harus diimplementasikan oleh pengendali data pribadi. ”Ini berbahaya karena pada akhirnya lembaga negara maupun swasta yang bertindak sebagai pengendali data pribadi tidak ada kewajiban untuk membangun sistem informasi terbaik, dan pada akhirnya data pribadi masyarakat menjadi sangat rentan terhadap berbagai ancaman,” ungkapnya.
Oleh karena itu, RUU PDP diharapkan juga mengatur tentang ancaman terbesar dari era digital, yaitu peretasan. RUU sebaiknya mengatur pula kewajiban seluruh lembaga negara dan swasta membangun sistem informasi terbaik. Mereka juga dapat dikenai hukuman apabila terbukti lalai, bahkan terbukti tidak mau melindungi data pribadi masyarakat yang mereka kelola.
Permintaan izin kepada pemilik data, baik tertulis maupun lisan, menurut Pratama, perlu dilakukan untuk menjamin kesadaran pemilik data atas pengelolaan data mereka. Ia pun mengingatkan tidak ada sistem informasi ataupun teknologi yang benar-benar aman 100 persen. Semuanya punya potensi menjadi target peretasan. Karena kesadaran itulah, pada akhirnya, lanjut Pratama, RUU PDP didorong agar mengatur pasal yang memaksa pengendali data pribadi ini membangun sistem informasi terbaik.
Belum ada kepastian
Kalangan DPR pun mendorong, bahkan mendesak pemerintah agar segera mengusulkan RUU PDP dengan harapan pembahasan dapat diselesaikan pada periode 2014-2019.
Namun, ternyata, pemerintah baru mengusulkan RUU PDP masuk dalam daftar prioritas Program Legislasi Nasional (Prolegnas) pada tahun 2019, hanya beberapa bulan sebelum masa jabatan DPR periode 2014-2019 berakhir. Akibatnya, target pengesahan RUU PDP menjadi UU pada tahun 2019 tak tercapai.
Regulasi untuk melindungi data pribadi itu pun menjadi salah satu isu krusial yang akan dikerjakan Menteri Komunikasi dan Informatika Johnny G Plate setelah dilantik oleh Presiden Joko Widodo, Oktober 2019. ”Undang-Undang Perlindungan Data Pribadi itu mendesak. Jika tidak, Indonesia akan ketinggalan,” kata Johnny dalam wawancara dengan Kompas (Kompas, 19/11/2019).
Politikus Partai Nasdem itu juga menyampaikan pesan Presiden Jokowi bahwa data akan menjadi sesuatu yang besar di masa depan, lebih hebat dari minyak. Karena itulah tugas Kemenkominfo adalah ikut menjaga kedaulatan data dan perlindungan data pribadi.
Atas dasar itulah pemerintah kembali mengusulkan RUU PDP masuk dalam daftar prioritas Prolegnas 2020. DPR dan pemerintah pun membahas kembali draf RUU PDP usulan pemerintah. Namun, hingga kini, proses pembahasan belum juga selesai.
Anggota Komisi I DPR dari Fraksi Partai Golkar, Christina Aryani, Rabu lalu, mengatakan, sampai saat ini belum ada kepastian kapan pembahasan RUU PDP dilanjutkan. Informasi terakhir, pembahasan itu masih menunggu jadwal perpanjangan masa pembahasan RUU PDP disetujui oleh Badan Musyawarah. Namun, ia mengakui pembahasan itu berpotensi buntu karena belum ada kesepakatan antara pemerintah dan DPR terkait otoritas independen yang mengawasi pengelolaan data pribadi. ”Sejauh sepengetahuan saya belum (belum sepakat),” ujarnya.
Dalam hal ini, pemerintah menginginkan otoritas itu ada di tangan Kementerian Komunikasi dan Informatika. Adapun DPR ingin lembaga itu independen karena pemerintah dianggap juga sebagai pengelola atau pengendali data pribadi yang harus diawasi.
Saat teknologi informasi semakin canggih, regulasi tentang perlindungan data pribadi menjadi sebuah keniscayaan. Kekosongan regulasi membuat data pribadi penduduk semakin rentan diretas dan dibocorkan. Jika RUU PDP tak segera disahkan, potensi kebocoran data pribadi pun semakin besar.