Otoritas Perlindungan Data Pribadi Bertumpu pada Presiden
”Kalau mau main kaku-kakuan, tidak (akan) jadi UU ini. Sementara itu, kebocoran data sudah seperti ini sehingga harus ada kompromi,” kata Ketua Panitia Kerja RUU PDP Komisi I DPR Abdul Kharis Almasyhari.
Oleh
KURNIA YUNITA RAHAYU, NIKOLAUS HARBOWO
·5 menit baca
JAKARTA, KOMPAS — Tuntasnya pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi masih menyisakan persoalan terkait pembentukan otoritas perlindungan data pribadi. Tidak ada kejelasan tentang kedudukannya sebagai lembaga independen atau bagian dari kekuasaan eksekutif. Jaminan agar otoritas itu memiliki kewenangan yang kuat kini bergantung pada presiden.
Pembahasan RUU PDP tuntas setelah dua tahun yang alot. Usai disepakati oleh Komisi I Dewan Perwakilan Rakyat dan pemerintah dalam pembicaraan tingkat I, rancangan tersebut hanya tinggal menunggu jadwal masuk ke pembicaraan tingkat II di rapat paripurna DPR untuk disahkan UU.
Kesepakatan itu dicapai seiring dengan adanya titik temu antara pemerintah dan DPR untuk menyelesaikan perdebatan tentang otoritas perlindungan data pribadi. Selama lebih dari dua tahun, pembahasan RUU PDP buntu karena DPR menginginkan otoritas yang bersifat independen, sedangkan pemerintah bersikukuh mengusulkan agar lembaga berada di bawah kementerian.
Mengacu draf RUU PDP hasil tim perumus dan tim sinkronisasi tanggal 29-30 Agustus 2022, lembaga perlindungan data pribadi ditetapkan oleh presiden dan bertanggung jawab langsung kepada presiden. Adapun ketentuan mengenai lembaga tersebut akan diatur melalui peraturan presiden (perpres).
Meski demikian, RUU itu juga mengatur soal tugas dan wewenang lembaga tersebut. Dalam Pasal 59 dijelaskan, tugas lembaga tak hanya seputar pengawasan terhadap penyelenggaraan perlindungan data pribadi, tetapi juga terkait dengan perumusan dan penetapan strategi kebijakan dan strategi perlindungan data yang akan menjadi panduan bagi subyek data, pengendali data, dan prosesor data. Selain itu, lembaga juga bertugas dalam penegakan hukum administratif terhadap pihak yang melanggar UU dan memfasilitasi penyelesaian sengketa di luar pengadilan.
Selain tugas, Pasal 60 RUU juga menjabarkan 15 wewenang lembaga, di antaranya merumuskan dan menetapkan kebijakan perlindungan data, mengawasi kepatuhan pengendali data, menjatuhkan sanksi administratif atas pelanggaran perlindungan data, dan membantu aparat penegak hukum dalam menangani dugaan tindak pidana terkait.
Tak hanya terkait penegakan hukum di dalam negeri, RUU juga mengatur lembaga berwenang untuk bekerja sama dengan lembaga serupa di negara lain, yakni untuk menyelesaikan dugaan pelanggaran yang terjadi lintas negara. Lembaga ini juga yang akan memberikan penilaian terhadap pemenuhan persyaratan transfer data pribadi ke luar wilayah hukum Indonesia.
Mengenai pengawasan, lembaga berwenang memerintahkan tindak lanjut hasil pengawasan kepada pengendali atau pemroses data pribadi, memublikasikan hasil pengawasan, dan menerima aduan atau laporan tentang dugaan terjadinya pelanggaran.
Selain itu, lembaga bisa memeriksa dan menelusuri pengaduan, laporan, atau hasil pengawasan; memanggil dan menghadirkan setiap orang dan/atau badan publik yang terkait dengan dugaan pelanggaran; meminta keterangan, informasi, data, dan dokumen dari setiap orang dan/atau badan publik; serta memanggil dan menghadirkan ahli yang diperlukan dalam pemeriksaan dan penelusuran yang terkait dengan dugaan pelanggaran.
Selain itu, lembaga dapat memeriksa dan menelusuri sistem elektronik, sarana, ruang, dan/atau tempat yang digunakan pengendali data dan/atau pemroses data, termasuk memperoleh akses terhadap data dan/atau menunjuk pihak ketiga. Terakhir, lembaga juga berwenang untuk meminta bantuan hukum kepada Kejaksaan, dalam penyelesaian sengketa perlindungan data pribadi.
Obyektivitas lembaga
Anggota Komisi I DPR dari Fraksi Partai Demokrat, Rizki Aulia Rahman Natakusumah, mengakui, tidak mudah mencapai titik temu pembahasan otoritas perlindungan data pribadi. RUU akhirnya memberikan keleluasaan kepada presiden untuk membentuk otoritas yang dimaksud dengan harapan, negara bisa memiliki instrumen yang kuat untuk menyelesaikan permasalahan data pribadi.
Persoalan independensi juga tidak lagi menjadi pembahasan. Sebab, berkaca pada pengalaman selama ini, lembaga independen tidak selamanya bisa menjadi otoritas dengan kewenangan yang kuat.
Meski demikian, katanya, Fraksi Demokrat memberikan catatan agar presiden bisa membentuk lembaga yang bisa bersikap obyektif. Prinsip obyektivitas penting karena nantinya otoritas tidak hanya menangani permasalahan yang terjadi di instansi swasta, tetapi juga instansi pemerintah.
”Kami memberikan keleluasaan kepada Presiden, tetapi kami juga menuntut unsur obyektivitas, bukan hanya kepada swasta, melainkan juga badan publik. Sebab, permasalahan terkait dengan kebocoran data pribadi banyak juga datangnya dari badan publik,” ujar Rizki di Jakarta, Kamis (8/9/2022).
Wakil Ketua Komisi I DPR dari Fraksi Partai Keadilan Sejahtera Abdul Kharis Almasyhari menambahkan, persoalan independensi lembaga tidak dicantumkan dalam RUU. Hal itu merupakan bentuk kompromi yang dilakukan DPR dan pemerintah untuk kepentingan yang lebih besar, yakni pengesahan RUU PDP menjadi UU. Pengesahan RUU dinilai jauh lebih penting di tengah kebocoran data pribadi yang kian masif.
”Kalau mau main kaku-kakuan, tidak (akan) jadi UU ini. Sementara itu, kebocoran data sudah seperti ini sehingga harus ada kompromi,” kata Kharis yang juga Ketua Panitia Kerja RUU PDP Komisi I DPR.
Sementara itu, Menteri Komunikasi dan Informatika Johnny G Plate mengatakan, lembaga perlindungan data pribadi akan menjadi cabang kekuasaan eksekutif yang ditunjuk oleh presiden. Kewenangan lembaga diatur lebih detail dalam peraturan pemerintah.
Rumusan presiden
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, rumusan pasal tentang otoritas perlindungan data pribadi yang ada di RUU PDP ibarat memberikan cek kosong kepada Presiden. Tidak ada kejelasan tentang kedudukannya sebagai lembaga independen atau bagian dari kekuasaan eksekutif.
Namun, pembentukan yang diserahkan kepada presiden dan tanggung jawab langsung kepada presiden menyiratkan lembaga ini merupakan bagian dari kekuasaan eksekutif. Dengan begitu, diprediksi bahwa otoritas yang akan dibentuk wewenangnya sangat terbatas. Hal ini disayangkan karena otoritas ini merupakan kunci dari efektivitas penyelenggaraan perlindungan data pribadi.
”Oleh karena itu, ini lagi-lagi kembali ke Presiden. Bagaimana Presiden akan memformulasikan batasan-batasan yang ada di RUU untuk membentuk otoritas yang kuat,” kata Wahyudi.
Menurut dia, rumusan yang dibuat presiden harus terus dikritisi oleh publik. Sebab, saat ini pembentukan otoritas menjadi sangat bergantung pada itikad baik presiden.