Penulis: Shita Laksmi, Direktur Eksekutif, Yayasan Tifa
Artikel ini adalah versi Bahasa Indonesia dari artikel yang telah diterbitkan dalam Bahasa Jerman. Silakan baca versi Bahasa Jerman artikel ini pada tautan: Privater Datenschutz: Ein langer und schwieriger Weg – südostasien 2 | 2022 (suedostasien.net)
Salah satu agenda penting Indonesia untuk Digital Economy Working Group (DEWG) dalam masa Presidensi Indonesia di G20 adalah cross border data flow dan data free-flow with trust. Dalam mengusung perpindahan data secara bebas dengan tingkat kepercayaan tinggi itu, Indonesia mensyaratkan empat hal yang harus dipenuhi, yaitu berbasis hukum (lawfulness), keadilan (fairness), transparan dan timbal balik (reciprocity). Dengan keberadaan syarat berbasis hukum maka wajar jika dorongan internal ataupun eksternal pemerintah Indonesia untuk segera mengesahkan Rancangan Undang-undang Data Pribadi (RUU PDP) menjadi sangat mengemuka di tahun 2022.
Ketergesaan ini juga terefleksikan dalam rapat Panitia Kerja Pembahasan RUU PDP antara Dewan Perwakilan Rakyat (DPR) dan Pemerintah pada tanggal 24 Mei 2022. Dalam hitungan bulan, pada bulan Juli 2022, Ketua Komisi I Dewan Perwakilan Rakyat, Meutya Viada Hafid dari Fraksi Partai Golkar dengan optimis mengungkap (RUU-PDP) bisa disahkan di masa sidang Agustus 2022 (detikcom).
Padahal sebelumnya, sudah berulang kali target pengesahan RUU PDP tertunda. Meutya mengungkap bahwa semua Daftar Invetarisir Masalah (DIM) sudah selesai dibahas dan saat ini masuk ke sesi terakhir pembuatan undang-undang yaitu di tim perumus dan tim sinkronisasi. Meutya juga menjelaskan persoalan yang mengganjal yang banyak menunda pembahasa RUU PDP di banyak Rapat Dengar Pendapat terkait dengan posisi Otoritas Data Pribadi – apakah independen atau dibawah kementerian– sudah mendapat kesepakatan bersama. Dalam pemberitaan terakhir, DPR dan Pemerintah sepakat untuk meminta persetujuan Presiden dalam memutuskan siapa otoritas data pribadi. Belum ada informasi lebih detil yang bisa didapatkan saat tulisan ini dibuat (Juli 2022) karena semua diskusi antara Komisi I DPR dan Pemerintah bersifat tertutup.
Data pribadi di Indonesia memang harus segera mendapatkan pelindungan hukum yang komprehensif. Indonesia adalah satu dari tiga negara di G20 yang belum punya perundangan data pribadi lengkap yang diawasi oleh otoritas independen. Di level perundangan, pelindungan data pribadi ada secara singkat tetapi tanpa detil pelaksanaan di konstitusi Indonesia, dalam Undang Undang (UU) No 12/2005 tentang pengesahan Kovenan Internasional tentang Hak-hak Sipil dan Politik, dan UU no 19/ 2016 tentang perubahan UU Informasi dan Transaksi Elektronik. Selain itu, dalam bentuk peraturan lebih detil pelindungan data pribadi di Indonesia tercantum juga dalam Peraturan Pemerintah (PP) No. 71/ 2019 tentang Penyelenggaraan Sistem Transaksi Elektronik dan Peraturan Menteri (PM) No20/ 2016 terkait Perlindungan Data Pribadi (PDP) dalam Sistem Elektronik. Sayangnya, kedua peraturan ini belum terlihat manfaatnya sejak disahkan.
Indonesia adalah pasar besar untuk ekonomi digital. Tahun 2025 perkembangan ekonomi digital Indonesia sampai ke 146 miliar US dollar dan kontribusi ekonomi digital Indonesia diproyeksikan naik delapan kali di tahun 2030; yaitu di 4.531 triliun rupiah. Sebagai sebuah pasar besar dengan pertukaran data masif maka wajar bila keperluan untuk punya perundangan PDP komprehensif makin besar. Pertanyaan berikutnya, setelah perundangan ini disahkan, apa saja tantangannya?
Tantangan Implementasi Pelindungan Data Pribadi
Salah satu hal yang paling lama didiskusikan dalam persidangan adalah penentuan dimana otoritas data pribadi serta independensinya berada. Sesuai dengan draft RUU PDP, pemerintah Indonesian berpendapat bahwa otoritas pelindungan data pribadi adalah Kementerian Komunikasi dan Informatika sementara DPR berpendapat otoritas harus independen.
Koalisi Advokasi RUU PDP dari unsur masyarakat sipil juga mengajukan peran otoritas PDP yang harus independen (suara.com). Yayasan Tifa, sebagai salah satu anggota Koalisi RUU PDP dalam kertas kebijakannya (2021) menambahkan pentingnya asas tunggal pada otoritas yang independen sebagai salah satu prasyarat penting dalam proses implementasi. Ketunggalan ini menjadi penting untuk koordinasi antara beragam peraturan dan pendekatan sektoral yang selama sudah berlaku di Indonesia.
Implementasi perundangan data pribadi bukanlah isu yang mudah. Uni Eropa dengan General Data Protection Regulation (GDPR) yang digadang-gadang sebagai standar emas pelindungan data pribadi pun masih kesulitan dalam implementasi. Accessnow mengeluarkan laporan yang melihat banyaknya kesenjangan peraturan dengan implementasi terutama di pelanggaran kasus data pribadi yang belum selesai, pelanggaran data pribadi yang terkait dengan data antar batas (cross border) serta perbedaan peraturan antar negara yang makin membuat sulit koordinasi dan implementasi.
Sebagai negara dengan tingkat pemahaman privasi serta pelindungan data pribadi yang masih minim, Indonesia juga akan mengalami banyak tantangan implementasi. Tingkat kebocoran data yang relatif sering di Indonesia, investigasi yang tidak tuntas, minimnya upaya hukum serta peraturan sektoral yang tumpang tindih adalah beberapa indicator yang menunjukkan Indonesia belum siap. Kementerian Komunikasi dan Informatika dalam rencana strategisnya mengupayakan pembangunan ekosistem Data Protection Officer (semacam pejabat untuk melindungi data pribadi) untuk Kementerian/ Lembaga di Indonesia sebagai salah satu upaya penting penguatan data pribadi. Tetapi itu hanyalah satu tahapan untuk implementasi pelindungan data.
Akhir tahun 2021, Yayasan Tifa mengeluarkan dua kertas kebijakan berdasarkan hasil diskusi dengan pemangku kepentingan majemuk (multistakeholder) dari pemerintah, lembaga kuasi pemerintah
(Komisi Pemilihan Umum, Badan Pengawas Pemilu), sektor privat dan kelompok masyarakat sipil. Berdasarkan draft awal RUU Pelindungan Data Pribadi (versi akhir 2019) Tifa mencatat ada serangkaian tantangan untuk pelaksanaan undang-undang PDP di Indonesia.
Tantangan pertama adalah terkait prasyarat basis hukum yang digunakan untuk pemrosesan data pribadi. RUU PDP mengedepankan consent (persetujuan) sebagai syarat utama proses data. Kendati di pasal 18 disebut ada tujuh basis hukum lainnya untuk proses data (misalnya, untuk pemenuhan kontrak, pemenuhan kewajiban hukum) tetapi di pasal 20 yang tetap mengharuskan persetujuan. Konflik antar pasal ini membingungkan. Untuk pengendali data pribadi akan sangat menyulitkan apabila semua harus berdasarkan persetujuan karena seringkali proses data dilakukan tidak semata karena persetujuan. GDPR sendiri mengakui ada enam basis hukum untuk memproses data pribadi dan persetujuan itu berdiri sejajar dengan basis hukum lainnya.
Tantangan kedua adalah prasyarat verifikasi yang bisa multi tafsir. Pasal 35 menyatakan bahwa pengendali data pribadi wajib untuk menjamin akurasi, kelengkapan dan konsistensi data pribadi sesuai dengan peraturan perundangan. Menurut pelaku pasar, pasal ini bisa dimaknai perlunya menjamin 100% akurasi yang akan sulit dilakukan oleh pengendali data pribadi. Pun, untuk melakukan verifikasi, dikhawatirkan malah akan banyak data pribadi yang dikumpulkan.
Tantangan ketiga adalah pengaturan teknis yang memperhatikan konteks di Indonesia dan diletakkan terpisah dari RUU PDP. Perumusan aturan teknis seperti penetapan jangka waktu untuk pemenuhan hak subyek data bisa memberatkan pelaku usaha kecil yang memproses data pribadi. Juga, peraturan teknis di tingkat undang-undang menyulitkan untuk dilakukan adaptasi atas perkembangan teknologi.
Tantangan keempat adalah koordinasi antar sektor. RUU PDP diharapkan menjadi payung regulasi yang mengatur semua isu PDP, sehingga diharapkan otoritas PDP yang independen dan tunggal bisa berkoordinasi dengan beragam Kementerian/ Lembaga yang mengatur secara sektoral. Koordinasi dan penyelarasan ini akan menjadi pekerjaan rumah panjang bagi pemerintah Indonesia untuk pelaksanaan pelindungan yang bermakna.
Terakhir, Tifa juga mencatat perlunya mekanisme pelindungan data yang berbasiskan edukasi bukan hanya sanksi. Pendekatan berdasarkan sanksi semata tidak akan efektif menumbuhkan kesadaran masyarakat dan pengendali data di Indonesia yang memiliki beragam kesadaran dan kesiapan.
Menjadi Presidensi G20 adalah salah satu dorongan penting bagi Indonesia untuk memiliki pelindungan data pribadi yang komprehensif. Walaupun masih banyak tantangan juga pertanyaan soal proses implementasinya kedepan nanti. Dengan segenap catatan yang menjadi tantangan untuk implementasi yang tuntas di Indonesia, rakyat Indonesia berharap RUU PDP kabarnya akan disahkan pada Agustus 2022 ini bisa menjadi awal kejelasan, bukan memulai kebingungan.