Kelayakan Regulasi Perlindungan Data Pribadi Syarat Kerja Sama Internasional
Indonesia bisa tertinggal jika RUU Perlindungan Data Pribadi atau PDP tak kunjung disahkan. Sejumlah negara maju telah mensyaratkan kesetaraan atau kelayakan aturan PDP itu dalam kerja sama internasional.
JAKARTA, KOMPAS — Tanpa aturan perlindungan data pribadi yang setara dengan ketentuan internasional, Indonesia akan mengalami kesulitan saat melakukan bisnis dan kerja sama yang melibatkan transfer data pribadi.
Di masa depan, setiap bisnis berskala nasional maupun internasional meniscayakan pertukaran data pribadi warga negara. Oleh karena itu, kesetaraan dan kecukupan perlindungan data pribadi warga antarnegara akan menjadi syarat mutual yang harus dipenuhi.
Sejumlah negara yang tergabung dalam G-20, misalnya, telah menandatangani Osaka Track tentang pengaturan data untuk ekonomi digital pada 2019. Namun, dari 20 negara, dua di antaranya, yakni India dan Indonesia, belum menandatangani kesepakatan itu. Kondisi ini dikhawatirkan akan memberikan kerugian bagi Indonesia di masa depan dalam konteks hubungan ekonomi dan politik antarnegara, yang dalam praktiknya melibatkan pertukaran data warga negara.
Pengajar Hukum Siber (Cyber Law) di International Islamic University Malaysia, yang kini menjadi anggota Badan Tribunal Perlindungan Data Pribadi Malaysia, Sonny Zulhuda, saat dihubungi dari Jakarta, Selasa (27/7/2021), mengatakan, kesetaraan aturan perlindungan data pribadi (PDP) itu sangat penting di masa depan. Indonesia akan tertinggal karena belum memiliki aturan kuat mengenai perlindungan data pribadi, sebab sejumlah negara maju telah mensyaratkan kesetaraan atau kelayakan aturan PDP itu dalam kerja sama internasional, baik dalam bidang ekonomi maupun politik, yang melibatkan transfer data pribadi warga.
”Norma UU (Undang-Undang) PDP bukan hanya ada di Indonesia, atau ASEAN, tetapi sudah menjadi norma global. Misalnya, untuk negara-negara Asia Pasifik ada APEC Privacy Framework, dan ada Convention 108 yang melindungi data pribadi warga Eropa. Selain itu, di Eropa juga ada General Data Protection Regulation (GDPR), yang semuanya mensyaratkan transfer data pribadi antarwarga dapat dilakukan sepanjang ada aturan yang memadai antarnegara,” katanya.
Baca juga: Jalan Buntu Perlindungan Data Pribadi
Dengan ketentuan itu, menurut Sonny, ketika Indonesia belum memiliki UU yang dinilai memadai (adequate) dan setara dengan perlindungan yang diberikan oleh negara-negara lain itu, kerja sama bisnis dan ekonomi antarnegara akan terkedala. Sebab, mereka tidak mau data warga negara mereka yang dilibatkan dalam bisnis antarnegara itu tidak mendapatkan perlindungan data yang sama kuatnya dengan aturan yang dibuat di negara mereka. Salah satu indikasi perlindungan data warga yang memadai ialah adanya badan independen yang menangani keperluan itu.
”Itu sudah menjadi norma internasional, dan banyak negara mengadopsi ketentuan tersebut. Di wilayah Asia, misalnya, ada Jepang, Hong Kong, dan Korea Selatan yang mulai mengadopsi ketentuan tersebut. Selain itu, Australia juga sudah mengadopsinya. Adapun negara-negara Uni Eropa telah lama menggunakan aturan tersebut karena bagi mereka data pribadi adalah bagian dari hak asasi manusia. Ketika mereka mentransfer data pribadi warga mereka ke luar negeri dalam kepentingan bisnis, dan tidak ada perlindungan terhadap data itu, mereka dapat dituntut oleh warganya,” ungkap Sonny.
Perlu badan independen
Di masa depan, dengan kian masifnya ekonomi digital, transfer data pribadi warga dunia tidak terhindarkan. Data pribadi akan saling dipertukarkan dalam hubungan bisnis dan politik yang tidak terbatas secara digital. Melihat kondisi itu, sudah selayaknya Indonesia segera memiliki UU PDP yang memadai dan layak serta setara dengan ketentuan internasional. Di dalamnya mencakup juga pendirian badan independen yang mengawasi jalannya perlindungan data pribadi.
Sonny mengatakan, UU PDP di Malaysia mengecualikan badan publik dan pemerintahan dari perlindungan data pribadi. UU PDP di Malaysia hanya mengatur perlindungan data di sektor swasta. Kondisi ini diakuinya merupakan kelemahan UU PDP di negeri jiran tersebut. Sebab, dengan tidak adanya badan independen, negara itu akan kesulitan di masa depan melakukan hubungan bisnis dan ekonomi yang melibatkan transfer data pribadi warga.
Sementara itu, RUU PDP yang dibahas di Indonesia, menurut Sonny, jauh lebih komprehensif karena mengatur bukan hanya swasta, melainkan juga badan publik atau pemerintah. Ketentuan itu mestinya tidak disia-siakan dengan membiarkan RUU PDP ini terkatung-katung. Pembentukan badan independen pun semestinya menjadi pilihan, karena berbeda dengan Malaysia, RUU PDP Indonesia mengatur sektor swasta dan publik.
Untuk efektivitas kerja pengawasan PDP baik di sektor swasta dan publik, tidak cukup badan di bawah Kementerian Komunikasi dan Informatika, sebab badan itu akan lintas sektoral, termasuk mengawasi kementerian lainnya. Karena itu, diperlukan badan yang selevel kementerian/lembaga, dan sifatnya koordinatif dengan kementerian lainnya.
”Jika hanya setingkat dirjen, yang dalam pengambilan keputusan tidak duduk satu meja dalam rapat kabinet bersama kementerian lain, nanti itu efektivitas kerjanya bagaimana? Sebab, dalam melaksanakan tugasnya, badan itu harus memeriksa juga siapa yang bertanggung jawab dalam terjadinya suatu pelanggaran PDP, termasuk sampai ke menteri terkait,” katanya.
Untuk menyesuaikan dengan aturan PDP internasional juga telah ada aturan mengenai pembentukan badan independen. Oleh karena itu, pembentukan badan independen itu merupakan salah satu syarat penting agar UU PDP Indonesia nantinya dipandang memadai atau setara dengan aturan negara-negara lain.
Mendesak diatur
Terkait dengan pembahasan RUU PDP, Dirjen Aplikasi dan Informatika (Aptika) Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan mengatakan, pihaknya siap membuka komunikasi dan pembahasan kembali dengan Dewan Perwakilan Rakyat (DPR). Komunikasi itu perlu terus dilakukan untuk memahami dan mendengarkan perspektif masing-masing pihak, baik pemerintah maupun DPR. Ia menegaskan, pemerintah berkomitmen untuk menuntaskan pembahasan RUU PDP.
”Pengaturan mengenai PDP itu urgensinya sangat tinggi karena semua sedang melakukan transformasi digital. Lebih dari 130 negara telah memiliki peraturan tentang PDP. Indonesia sendiri telah memiliki 32 regulasi yang mengatur soal PDP, tetapi masih terbagi ke dalam sektor-sektor terpisah. Dalam situasi ini, bagaimana negara hadir melindungi data pribadi itu menjadi sangat penting,” katanya.
Ia mencontohkan, dalam satu transaksi daring saja, misalnya, sudah ada empat pihak yang menguasai data pribadi warga. Pertama, marketplace tempat transaksi itu berjalan. Kedua, toko atau merchant (pedagang) yang juga pasti meminta data untuk pengiriman barang. Ketiga, pihak jasa logistik atau pengiriman yang memerlukan alamat dan data warga. Keempat, jasa perbankan tempat warga melakukan pembayaran online atas barang yang dibeli.
”UU ini memang akan mengatur segala hal untuk memastikan data warga tidak diapa-apakan atau disalahgunakan,” ucapnya.
Kemendesakan pengaturan itu harus berhadapan dengan pembahasan yang penuh dinamika bersama DPR. Dari total 371 daftar inventarisasi masalah (DIM), pemerintah dan Panitia Kerja (Panja) RUU PDP dari DPR telah menuntaskan pembahasan sebanyak 143 DIM. Sebanyak 125 DIM telah disetujui dan disepakati, 10 DIM pending (ditunda), 6 DIM perubahan substansi, dan 2 DIM usulan baru. Total, baru sekitar 40 persen DIM yang tuntas dibahas. Adapun yang belum dibahas berjumlah 228 DIM, dan mayoritas berkaitan dengan lembaga pengawas pelaksanaan UU PDP.
Pemerintah dan DPR belum sepakat dengan kedudukan lembaga pengawas itu. DPR menginginkan lembaga itu bertanggung jawab langsung ke presiden dan independen, tetapi pemerintah menginginkan lembaga itu di bawah Kementerian Kominfo.
Semuel mengatakan, sebenarnya pemerintah juga tidak keberatan jika lembaga itu berada di bawah presiden. Sebab, presiden sebagai pemimpin tertinggi eksekutif juga yang berhak menentukan posisi lembaga itu, apakah mau di bawah kementerian atau di bawah presiden langsung. Namun, saat ini yang diusulkan oleh pemerintah ialah lembaga itu bawah kementerian.
”Kalaupun di bawah kementerian juga sama saja dengan di bawah presiden, sebab menteri adalah pembantu presiden, dan lembaga di bawah menteri juga artinya di bawah presiden,” kata Semuel.
Ia juga membantah lembaga di bawah pimpinan dirjen tidak akan bisa menindak kementerian. Sebab, patokannya ialah UU, dan bukan pangkat pejabat yang menindak pelanggaran itu. Semuel menganalogikan hal itu dengan polisi militer, yang walaupun pangkatnya kolonel, tetapi dapat menjerat seorang jenderal yang melanggar aturan. Sebab, aturan atau UU yang mengatur hal itu, dan bukan soal urusan pangkat atau posisi petugasnya.
”Kalau misalnya ada pelanggaran data di disdukcapil, bukan menteri atau dirjennya yang saya panggil dulu, tetapi pusat data dan informasi (pusdatin), atau data protection officer (DPO). Apakah ada kesalahan pada pusdatin, atau memang ada kesalahan kebijakan yang melibatkan dirjen atau menteri,” katanya.
Menyoal keinginan DPR membentuk lembaga independen yang langsung bertanggung jawab kepada presiden, Semuel mengatakan, lembaga-lembaga semacam itu sebenarnya merupakan quasi-pemerintah.
Posisi lembaga quasi-pemerintah pada dasarnya masuk ranah eksekutif, tetapi pemerintah menilai posisi lembaga itu tidak jelas sehingga berusaha dihindari.
Kalau disepakati kewenangan pengawasan PDP itu diserahkan kepada ranah eksekutif, Semuel meminta hak pembentukan lembaga itu diserahkan sepenuhnya kepada eksekutif, termasuk jika eksekutif menginginkan lembaga itu di bawah kementerian.
”Ini perlu dibicarakan kembali dengan DPR. Kalaupun masih ada hal yang belum sepakat, mari kita bahas DIM yang lain dulu. Sebab, masih banyak yang harus dibahas, dan tidak harus fokus di satu poin yang belum sepakat,” katanya.
Semuel menegaskan, pihaknya ingin mencapai titik temu dengan DPR dalam pembahasan RUU PDP sehingga jalur komunikasi formal maupun informal juga terus dibuka. Ia meyakini pembahasan RUU itu akan diperpanjang oleh DPR di masa sidang berikutnya.
Tunggu Bamus DPR
Dihubungi terpisah, anggota Panja DPR dari Fraksi Partai Demokrasi Indonesia Perjuangan (PDI-P), Irine Yusiana Roba Putri, menuturkan, fraksinya ingin memenuhi harapan publik yang mendorong penyelesaian RUU tersebut.
Namun, perpanjangan pembahasan RUU PDP mesti mendapatkan persetujuan pimpinan DPR. Sesuai prosedur, perpanjangan pembahasan harus diputuskan dalam rapat Badan Musyawarah (Bamus) DPR.
Sebelumnya, Ketua Badan Legislasi (Baleg) DPR Supratman Andi Agtas juga menerangkan akan membawa RUU dalam rapat evaluasi program legislasi nasional (prolegnas) tahunan pada Agustus mendatang. Pasalnya, RUU ini telah tiga kali dibahas di dalam masa sidang, dan diberi dua kali masa sidang untuk perpanjangan. Total, pembahasan RUU ini sudah melewati lima kali masa sidang.
Kepastian apakah RUU ini akan tetap di prolegnas tergantung dari hasil evaluasi Baleg bersama Kementerian Hukum dan Hak Asasi Manusia. Setelahnya, jika dipertahankan di dalam prolegnas, perpanjangan pembahasannya harus diajukan ke Bamus DPR.
Baca juga: DPR Tunggu Bukti Keseriusan Pemerintah Selesaikan RUU PDP
Secara terpisah, Ketua DPR Puan Maharani mengatakan, DPR berkomitmen menuntaskan pembahasan RUU PDP. ”Meski belum rampung, saya optimistis RUU PDP yang akan melindungi privasi warga akan segera disahkan,” katanya.
Puan menjelaskan, RUU PDP belum disahkan karena masih ada perbedaan pendapat antara DPR dan pemerintah terkait kedudukan lembaga otoritas pengawas perlindungan data pribadi. DPR ingin lembaga tersebut berdiri independen dan bertanggung jawab kepada presiden, sedangkan pemerintah ingin lembaga tersebut berada di bawah Kominfo.
”Pengawasan tidak cukup di bawah pemerintah karena pemerintah juga berperan sebagai pengelola data pribadi. Perlu lembaga independen untuk menghindari potensi konflik kepentingan tersebut,” ujar Puan.
”DPR tentu akan terus berupaya mengesahkan RUU PDP demi mewujudkan kedaulatan data pribadi setiap warga negara,” ungkap Puan, Senin di Jakarta.