Bisnis.com, JAKARTA – Undang-undang No. 27/2022 tentang Perlindungan Data Pribadi (PDP) sudah disahkan hampir 2 tahun lamanya. Namun, sejak setahun lebih beleid itu diterapkan keamanan data pribadi warga Indonesia tak kunjung mendapat jaminan keamanan.
Lembaga Studi dan Advokasi Masyarakat (Elsam) mencatat sedikitnya terdapat dugaan pengungkapan secara melanggar hukum terhadap 668 juta data pribadi, yang berasal dari 6 pengendali data, baik badan baik publik maupun privat.
Direktur Eksekutif Elsam Wahyudi Jafar mengatakan sebanyak 44 juta data pribadi di antaranya diduga berasal dari aplikasi MyPertamina pada November 2022; 15 juta data dari insiden BSI pada Mei 2023.
Lalu, 35,9 juta data dari MyIndihome pada Juni 2023; 34,9 juta data dari Direktorat Jenderal Imigrasi pada Juli 2023; 337 juta data Kemendagri pada Juli 2023; dan terakhir 252 juta data dari dugaan kebocoran sistem informasi daftar pemilih KPU pada November 2023.
“Rentetan kasus dugaan insiden kebocoran data pribadi di atas, menunjukkan rendahnya atensi pengendali data yang berasal dari badan publik, untuk memenuhi standar kepatuhan pelindungan data pribadi,” kata Wahyudi dalam siaran pers, Senin (29/1/2024).
Situasi ini, lanjutnya, berbeda dengan pola yang terjadi di banyak negara dengan hukum pelindungan data pribadi yang telah matang, ketika risiko privasi telah bergeser dari aktor publik ke aktor privat, yang melibatkan berbagai platform ekonomi.
Wahyudi menilai kondisi tersebut diperparah dengan kesalahpahaman dalam memahami keberlakuan UU PDP. Beberapa pernyataan publik pemerintah misalnya menyebutkan, UU PDP baru berlaku pada 2024 atau dua tahun setelah diundangkan.
Pernyataan ini, sambungnya, muncul akibat kekeliruan dalam membaca ketentuan peralihan dan ketentuan penutup UU PDP. Hal ini kemudian menjadi alasan untuk tidak bertindak secara layak, dalam bentuk investigasi, ketika terjadi dugaan insiden kebocoran data pribadi, sehingga insiden terus berulang, karena tiadanya penyelesaian yang tuntas setiap kali terjadi kebocoran.
Selain itu, luasnya klausul pengecualian dalam UU PDP, yang menggunakan frasa “untuk kepentingan umum dalam rangka penyelenggaraan negara", juga acap disalah-tafsirkan oleh institusi pemerintah, untuk mengecualikan diri dari kewajiban kepatuhan terhadap UU PDP.
Terdapat beberapa catatan terhadap draf tersebut. Pertama, draf RPP belum mengakomodasi beberapa isu krusial dalam pemrosesan data pribadi yang beririsan dengan pemenuhan hak asasi manusia. Salah satunya adalah kejelasan terkait pelaksanaan b eberapa klausul, khususnya persinggungan antara hak atas privasi dengan hak lainnya, seperti hak atas informasi dan kebebasan berekspresi, termasuk pula kebebasan pers.
Materi peraturan ini seharusnya memberikan detail pengaturan terkait hal itu, agar dalam implementasinya nanti tidak membuka ruang ketegangan dan konflik diantara sejumlah hak tersebut.
Kedua, perumusan draf RPP terfokus pada pengaturan pelaksanaan kewajiban dan penegakan hukum yang melibatkan pengendali/prosesor data yang berasal dari korporasi (sektor swasta), tetapi masih membuka sejumlah pertanyaan terkait efektivitas penerapannya terhadap pengendali/prosesor data badan publik.
Selain itu, rancangan ini juga belumm emperlihatkan kejelasan gradasi dalam pelaksanaan kewajiban pengendali data, dengan memperhatikan jangkauan dan kapasitas pemrosesan data yang dilakukan.
Termasuk dalam pengaturan terkait sanksi, khususnya denda administratif, yang juga tidak merumuskan gradasi dalam penegakannya, dengan melihat tingkat usaha dari pengendali data (kecil, menengah, besar).
Ketiga, dikarenakan banyak materinya yang jamak mengatur pengendali/prosesor data dari korporasi, proses penyusunan draf RPP ini terkesan cenderung mengutamakan pelibatan sektor privat. Padahal, tujuan utama hukum pelindungan data pribadi adalah melindungi hak-hak subjek data, sebagai bagian dari hak konstitusional warga negara.
Oleh karenanya, subjek data mestinya dapat dilibatkan secara aktif dalam proses penyusunan RPP ini, agar produk akhirnya dapat mengakomodasi secara baik kepentingan dari subjek data.
Pelibatan subjek data ini dapat diwakili oleh organisasi masyarakat sipil, kelompok konsumen sebagai pengguna layanan, kelompok rentan, pendamping konsumen, asosiasi-asosiasi profesi, dan pihak-pihak lain yang selama ini datanya dikumpulkan dan diproses, yang seharusnya menjadi sentral dalam politik hukum perumusan hukum pelindungan data pribadi.