Setelah Dua Tahun, RUU Perlindungan Data Pribadi Akhirnya Tuntas Dibahas
RUU Perlindungan Data Pribadi tinggal dibawa ke Rapat Paripurna DPR untuk dimintakan persetujuan pengesahan. Kehadiran UU ini diharapkan bisa mengatasi semakin masifnya kebocoran data pribadi.
Oleh
KURNIA YUNITA RAHAYU, NIKOLAUS HARBOWO
·5 menit baca
KOMPAS/WAWAN H PRABOWO
Komisi I DPR menggelar Rapat Dengar Pendapat Umum (RDPU) bersama para pakar dan akademisi di bidang hukum dan teknologi informasi membahas Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) di Kompleks Parlemen Senayan, Jakarta, Rabu (1/7/2020).
JAKARTA, KOMPAS — Setelah lebih dari dua tahun, Rancangan Undang-Undang Perlindungan Data Pribadi akhirnya tuntas dibahas oleh Komisi I DPR bersama dengan pemerintah. Dengan demikian, tinggal selangkah lagi aturan yang diyakini bisa mencegah kebocoran data pribadi ini, disahkan menjadi undang-undang.
Komisi I DPR dan pemerintah yang salah satunya diwakili Menteri Komunikasi dan Informatika Johnny G Plate menyetujui pengesahan RUU tersebut dalam pembahasan tingkat I, di Kompleks Parlemen, Jakarta, Rabu (7/9/2022). Seluruh fraksi di Komisi I DPR ataupun pemerintah setuju agar RUU itu dibawa ke pembahasan tingkat II atau dimintakan persetujuan untuk disahkan di Rapat Paripurna DPR.
”RUU PDP (Perlindungan Data Pribadi) sudah selesai dibahas oleh panja pemerintah dan DPR. Langkah selanjutnya adalah menunggu jadwal untuk diparipurnakan, guna pembicaraan tingkat dua diambil keputusan RUU menjadi UU,” kata Ketua Panitia Kerja (Panja) RUU PDP Komisi I DPR, Abdul Kharis Almasyhari.
Panja telah menyelesaikan pembahasan 371 daftar inventarisasi masalah (DIM). Sistematika RUU dari draf awal yang diserahkan pemerintah terdiri dari 15 bab dan 72 pasal juga diubah menjadi 16 bab dengan 76 pasal.
Ke-16 bab itu di antaranya terdiri dari Ketentuan Umum, Asas, Jenis Data Pribadi, Hak Subyek Data Pribadi, Pemrosesan Data Pribadi, serta Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi dalam Pemrosesan Data Pribadi. Selain itu, ada pula bab tentang Transfer Data Pribadi, Sanksi Administratif, Kelembagaan, Kerja Sama Internasional, Partisipasi Masyarakat, Penyelesaian Sengketa dan Hukum Acara, Larangan dalam Penggunaan Data Pribadi. Ketentuan Pidana, Ketentuan Peralihan, dan Ketentuan Penutup, juga bagian yang diatur.
Kharis menambahkan, perlindungan data pribadi merupakan upaya komprehensif untuk melindungi data pribadi masyarakat. Hal itu dilakukan dalam rangkaian pemrosesan data pribadi, untuk menjamin hak konstitusional subyek data pribadi.
Oleh karena itu, diharapkan RUU yang akan segera disahkan menjadi UU itu bisa menjadi solusi atas sejumlah permasalahan. Salah satunya kebocoran data pribadi yang kian hari kian masif sehingga sangat merugikan masyarakat sebagai subyek data.
”Sebelum ada UU PDP, kebocoran data, kan, berlalu begitu saja. Setelah ada UU PDP tidak mungkin, karena jelas siapa yang harus mempertanggungjawabkan sampai di mana, ada akibat pidana, serta sanksi administratif,” ujar Kharis.
KOMPAS/NIKOLAUS HARBOWO
Abdul Kharis Almasyhari
RUU mengatur bahwa pengendali dan pemroses data adalah pihak yang harus bertanggung jawab dalam kasus kebocoran data. Pengendali dan pemroses data yang dimaksud bisa berupa instansi swasta maupun pemerintah. Mereka mendapatkan akses untuk mengelola data, tetapi harus berdasarkan persetujuan subyek data.
Jika terjadi pelanggaran, maka pengendali dan pemroses data diancam sanksi administratif berupa denda sebesar 2 persen dari pendapatan kotor dalam satu tahun. Adapun untuk sanksi pidana, ancamannya berupa hukuman penjara minimal satu tahun hingga maksimal enam tahun.
Catatan Kompas, sejak 2019 kasus kebocoran data terus terjadi dan semakin masif. Terakhir dugaan kebocoran data terkuak melalui forum jual-beli data breached.to. Pada Selasa (6/9) akun “Bjorka” memasarkan 105 juta data penduduk yang diklaim bersumber dari Komisi Pemilihan Umum (KPU). Data yang dimaksud terdiri dari nomor induk kependudukan (NIK), nomor kartu keluarga (KK), nama lengkap, tanggal lahir, jenis kelamin, alamat, dan usia. Beberapa hari sebelumnya, akun yang sama juga memasarkan 1,3 miliar data registrasi kartu SIM dari seluruh operator telekomunikasi.
Menteri Komunikasi dan Informatika Johnny G Plate mengingatkan kepada pengendali dan pemroses data untuk memastikan keamanan enkripsi data agar bisa menahan berbagai serangan siber. Sebab, saat ini negara sudah memiliki instrumen untuk menjerat institusi terkait jika terlibat dalam pelanggaran. ”Apalagi kalau itu dimanfaatkan untuk mengambil keuntungan ekonomi. Maka sanksinya juga termasuk dihitung keuntungan ekonominya berapa. Itu juga termasuk di dalam sanksi,” ujarnya.
Menteri Komunikasi dan Informatika (Kominfo) Johnny G Plate mengikuti rapat kerja dengan Komisi I DPR di Kompleks Parlemen, Senayan, Jakarta, Rabu (22/9/2021).
Johnny menambahkan, tanggung jawab terhadap keamanan data pribadi sepenuhnya ada pada penyelenggara sistem elektronik (PSE). Oleh karena itu, mereka harus memiliki teknologi enkripsi yang memadai, sumber daya manusia di bidang siber yang kuat, serta tata kelola yang baik di dalamnya. Adapun Kementerian Kominfo nantinya hanya akan memeriksa kepatuhan PSE terhadap penerapan UU PDP.
”Secara teknis yang tetap harus bertanggung jawab adalah PSE karena dia yang mengendalikan dan memproses sistem elektronik,” kata Johnny.
Lembaga pengawas
Tuntasnya pembahasan RUU PDP diiringi adanya kesepakatan terkait lembaga pengawas data pribadi. Sebelumnya, perbedaan pendapat antara DPR dan pemerintah tentang bentuk lembaga pengawas menjadi penyebab kebuntuan pembahasan RUU. DPR menginginkan pembentukan lembaga independen, sedangkan pemerintah ingin ada di dalam kementerian.
Anggota Komisi I DPR dari Fraksi Partai Demokrat Rizki Aulia Rahman Natakusumah mengatakan, DPR dan pemerintah sepakat menyerahkan pembentukan lembaga pengawas data pribadi kepada Presiden. Namun, RUU memberikan panduan dengan mengatur kewenangan lembaga tersebut. Kewenangan yang dimaksud di antaranya dapat menyelesaikan sengketa, menyelesaikan masalah di luar pengadilan, memberikan advokasi dan menyerap masukan dari berbagai pemangku kepentingan baik dari berbagai pihak.
Selain itu, lembaga juga harus bisa merumuskan dan menetapkan kebijakan di bidang perlindungan data, mengawasi kepatuhan pengendali data, dan menjatuhkan sanksi administratif atas pelanggaran perlindungan data pribadi. Juga dapat membantu aparat penegak hukum dalam penanganan dugaan tindak pidana terkait data pribadi.
”Kami berharap, lembaga pengawas perlindungan data pribadi bersifat obyektif, bukan hanya kepada swasta, tetapi juga ke badan publik. Sebab, permasalahan terkait dengan kebocoran data pribadi banyak juga datangnya dari badan publik,” kata Rizki.
Johnny mengatakan, nantinya lembaga itu akan menjadi cabang kekuasaan eksekutif yang ditunjuk oleh presiden. Kewenangan lembaga tersebut akan diatur dalam peraturan pemerintah.
Ketua Lembaga Riset Keamanan Siber CISSRec Pratama Persadha berharap, setelah disahkan, UU PDP dapat memberikan sanksi yang tegas bagi pihak yang terlibat dalam pelanggaran keamanan data pribadi. Keberadaan UU tersebut juga diharapkan dapat menjadi instrumen negara untuk memaksa PSE menjamin keamanan data dan sistem yang mereka kelola dengan standar tertentu. ”Seharusnya PSE melakukan pengamanan maksimal untuk menjaga keamanan data pribadi masyarakat,” ujarnya.
