yyudhanto on Hukum Teknologi Umum
25 Sep 2022 02:44 - 8 minutes reading

UU PDP : Melindungi Data Pribadi Rakyat Indonesia

Disahkannya Undang-Undang Pelindungan Data Pribadi oleh DPR menjadi angin segar di tengah rasa waswas publik terhadap maraknya kasus kebocoran data akhir-akhir ini. Regulasi ini menjadi landasan untuk menjaga kedaulatan data pribadi. Meskipun demikian, implementasinya harus terus dikawal agar undang-undang ini tidak disalahgunakan. Keputusan DPR menyetujui Undang-Undang Pelindungan Data Pribadi (UU PDP) dalam rapat paripurna di Kompleks Parlemen, Jakarta, Selasa (20/9/2022), merupakan langkah krusial. Seakan tepat waktu, undang-undang ini lahir pada saat publik resah akan kondisi keamanan data.


Terlebih lagi, ekosistem digital Indonesia terbukti masih lemah di hadapan para penjahat siber. Buktinya, dalam sebulan terakhir, jutaan data pribadi masyarakat disinyalir telah bocor dan mengalir di berbagai laman jual beli. Merujuk laporan Global Data Breach Stats (Surfshark) triwulan III-2022, Indonesia merupakan negara terbanyak ketiga di dunia yang paling banyak mengalami peretasan data. Tahun ini, sepanjang Juli-September 2022 sudah terjadi 12,7 juta aksi peretasan data di Indonesia.

Laporan tersebut juga menunjukkan tidak kurang ada 251 negara dan wilayah di dunia yang terkena peretasan data. Ini artinya upaya melakukan perlindungan data pribadi bukanlah soal mudah karena terjadi di seluruh negara.

Perbandingan UU PDP dengan yang lain
UU PDP

Hingga saat ini, tidak semua negara memiliki legislasi khusus terkait hal tersebut, termasukAmerika Serikat. Sebagai salah satu negara pengekspor platform media sosial dan produk digital terbesar di dunia pun,AS belum memiliki payung regulasi khusus terkait perlindungan data. Meskipun belum menjadi UU khusus, klausul perlindungandata sudahmasuk
dalam ketentuan perundangan seperti contohnya dalam regulasi Komisi Perdagangan Federal (Federal Trade Commicion Act).

Walau pengaturan perlindungan data pribadi pada setiap negara dapat berbeda, pada umumnya pengaturan merujuk pada prinsip-prinsip perlindungan data yang serupa. Di tingkat internasional, rujukan prinsip-prinsip perlindungan data pribadi terdapat di beberapa dokumen, seperti panduan yang disusun Organisasi untuk Kerja Sama dan Pembangunan Ekonomi (OECD), ketentuan sertifikasi Cross Border Privacy Rules (CBPR) yang dikeluarkan forum Kerja Sama Ekonomi Asia Pasifik (APEC), serta regulasi perlindungan data pribadi Uni Eropa (general data protection regulation/GDPR)

Prinsip perlindungan Dalam UU PDP, prinsip perlindungan data ini tercantum dalam Pasal 16 Ayat 2. Jika dibandingkan, prinsip-prinsip perlindungan data dalam UU PDP sudah cukup sejalan dengan perspektif perlindungan yang telah digunakan di tataran internasional.

Pertama, prinsip data pribadi harus diambil dan digunakan hanya dengan persetujuan dari pemilik atau subyek data pribadi. Prinsip ini sejalan dengan prinsip pembatasan pengambilan data (collection limitation) yang terkandung dalam panduan OECD dan sertifikasi CBPR.

Selanjutnya, prinsip kedua, yaitu data pribadi yang diambil harus dibatasi, baik dari segi penggunaan, pengolahan, maupun jangka waktu penyimpanan. Ini juga selaras dengan prin sip perlindungan dengan tujuan yang spesifik (purpose specification) milik OECD, batasan penggunaan informasi pribadi (uses of personal information) dalam pedoman CBPR, dan ba tasan tujuan (purpose limitation) yang terkandung dalam ketentuan GDPR.

Prinsip ketiga adalah data pribadi yang dikumpulkan harus akurat, terbarui, dan individu yang diambil data pribadinya berhak mengajukan koreksi atas datanya.Paradigma ini serupa dengan prinsip partisipasi/pilihan individu seperti yang tercantum dalam panduan OECD dan CBPR.

Sementara prinsip keempat yang lebih memuat keamanan data pribadi memiliki kesamaan perspektif dengan prinsip kualitas data (data quality) dalam panduan OECD, integritas informasi pribadi (integrity of personal information) di CBRP dan akurasi (accuracy) dalam GDRP.

Prinsip kelima terkait perlindungan dan keamanan data pribadi cukup setara dengan prinsip menjaga keamanan data (security safeguard) yang terkandung dalam panduan OECD dan CBPR serta prinsip integritas dan kerahasiaan (integrity and confidentiality) dalam GDPR. Lebih lanjut, prinsip keenam dalam UU PDP, yaitu memberitahukan tujuan dan aktivitas pemrosesan serupa dengan prinsip pemberitahuan (notice) di CBRP.

Selanjutnya, prinsip ketujuh yang mengatur batas akhir penggunaan data pribadi setara dengan prinsip batasan penyimpanan (storage limitation) yang terkandung dalam GDPR.

Terakhir, prinsip kedelapan, yaitu pemrosesan data pribadi dilakukan secara bertanggung jawab memiliki kesamaan dengan prinsip akuntabilitas (accountability) dalam panduan OECD, CBPR, ataupun GDRP.

Dari panduan, sertifikasi, dan regulasi perlindungan data pribadi itu dapat terlihat benang merah prinsip perlindungan data pribadi yang diakui di ranah internasional dan juga di Indonesia.

Beberapa prinsip yang selalu ada di keempatnya ialah pertama, data pribadi harus diambil dan digunakan hanya dengan persetujuan dari pemilik atau subyek data pribadi.

Kedua, data pribadi yang diambil harus dibatasi, baik dari segi penggunaan, pengolahan, maupun jangka waktu penyimpanan.

Ketiga, data pribadi yang dikumpulkan harus akurat, terbarui, dan individu yang diambil data pribadinya berhak mengajukan koreksi atas datanya.

Keempat, pihak yang mengontrol data pribadi harus bisa menjamin keamanan data pribadi yang mereka kelola dan melindunginya dari berbagai risiko, termasuk kehilangan, perusakan, penggunaan oleh pihak tak berwenang, dan risiko terbukanya data pribadi.

Beberapa prinsip tersebut sudah dipenuhi dalam UU PDP. Prinsip pertama telah dipenuhi oleh beberapa pasal, seperti Pasal 21-26. Selanjutnya, prinsip kedua dipenuhi oleh Pasal 27 dan Pasal 28. Prinsip ketiga dapat terlihat pemenuhannya di Pasal 29 dan 30.Adapun prinsip keempat dipenuhi Pasal 34 sampai 40 UU PDP.

Tak hanya memenuhi prinsip, hal positif lain yang tampak dari UU PDP ini adalah adanya pasal terkait sanksi yang akan diberikan kepada pihak-pihak yang terbukti melanggar aturan yang terkandung dalam UU PDP. Adanya sanksi ini tentunya akan memperkuat perindungan data pribadi di Indonesia.

Pasal kontroversial Harus diakui, UU PDP menjadi langkah awal untuk melindungi data pribadi masyarakat. Bangunan undang-undang yang sudah sesuai dengan prinsip perlindungan data yang diakui dunia internasional ini tentu patut diapresiasi. Meskipunbegitu, bukanberarti proses kehadiran regulasi ini sudah selesai.

Hal yang paling penting untuk terus dikawal setelah pengesahan UU ialah potensi penggunaan legislasi ini untuk kepentingan otoritas. Lubang celah ini salah satunya dapat ditemukan dalam pasal terkait tidak berlakunya perlindungan demi kepentingan pertahanan dan keamanan nasional. Klausul kepentingan pertahanan dan keamanan nasional ini belum dijelaskan secara rinci sehingga berpotensi untuk menimbulkan tafsiran yang luas.

Bukan tanpa alasan, berdasarkan pengalaman sebelumnya, celah serupa di UU Informasi dan Transaksi Elektronik (ITE) dapat dimanfaatkan oleh pihak otoritas untuk melakukan kontrol terhadap suara oposan. Secara konsisten, puluhan orang dijerat menggunakan pasal-pasal karet di dalam UU tersebut. Bahkan, UU ”sakti” ini mampu menerabas UU lain terkait kebebasan informasi seperti UU Pers.

Selain itu, persoalan ini erat dengan konsep privasi. Salah satu definisi dari privasi atau hak atas privasi dikemukakan Warren dan Brandeis (1890) yang menjelaskan konsep hak atas privasi sebagai hak hukum didasarkan pada kehormatan pribadi dan penghargaan terhadap martabat serta otonomi ndividu.

Walau pengaturan perlindungan data pribadi pada setiap negara dapat berbeda, pada umumnya pengaturan merujuk pada prinsip-prinsip perlindungan data yang serupa. Di tingkat internasional, rujukan prinsip-prinsip perlindungan data pribadi terdapat di beberapa dokumen, seperti panduan yang disusun Organisasi untuk Kerja Sama dan Pembangunan Ekonomi (OECD), ketentuan sertifikasi Cross Border Privacy Rules (CBPR) yang dikeluarkan forum Kerja Sama Ekonomi Asia Pasifik (APEC), serta regulasi perlindungan data pribadi Uni Eropa (general data protection regulation/GDPR)

Maka dari itu, penting bagi pemerintah untuk menyiapkan aturan turunan yang jelas dan gamblang. Jangan sampai, akibat ”kepentingan pertahanan dan keamanan nasional” yang kabur, penghormatan dan perlindungan terhadap privasi sebagai poin fundamental dalam perlindungan data tidak terpenuhi.

Selain itu, perbedaan sanksi yang diberikan kepada pengendali dan pemroses data swasta dan badan publik juga menjadi poin yang patut untuk dipertanyakan. Di satu sisi, pelanggaran yang dilakukan oleh pihak swasta dapat diganjar dengan denda administratif hingga ancaman pidana.

Sementara di sisi lain, pelanggaran yang dilakukan oleh badan publik ”hanya” dihukum dengan sanksi administratif saja. Ketimpangan sanksi ini bisa menjadi sumber yang melemahkan akuntabilitas para pengendali dan pemroses data yang berstatus badan publik. Kekhawatiran ini patut dimaklumi mengingat rekam jejak upaya perlindungan data pribadi oleh pemerintah yang terkesan belum serius.

Pasalnya, kebocoran juga dapat bersumber dari laman resmi institusi publik. Sebagai contoh, pada September 2021 lalu, laman KPU secara gamblang memampang data pribadi (nama dan NIK). Bahkan, salah satu ”korban” kecerobohan ini ialah Presiden Joko Widodo yang nomor induk kependudukan (NIK) sempattersebar di internet.

Keberadaan UU PDP hanyalah salah satu unsur dasar dalam perlindungan data pribadi. Regulasi ini menjadi penting untuk menjaga kedaulatan data pribadi. Kehadiran UU ini juga masih membutuhkan kompetensi dari pengendali data pribadi terutama lembaga penyelenggara perlindungan data pribadi. Bukan hanya untuk mengantisipasi kebocoran, melainkan kompetensi dari pengendali data ini diperlukan agar regulasi ini tak mudah disalahgunakan.

Pemenuhan Prinsip Dasar Pelindungan Data Pribadi dalam UU PDP

Data pribadi harus diambil dan digunakan hanya dengan persetujuan dari pemilik atau subyek data pribadi. (Pasal 21, Pasal 24, Pasal 25, Pasal 26 Ayat 1 dan 2, Pasal 25)

Data pribadi yang diambil harus dibatasi, baik dari segi penggunaan, pengolahan hingga jangka waktu penyimpanan. (Pasal 27 dan Pasal 28)

Data pribadi yang dikumpulkan harus akurat, terbarui, dan individu yang diambil data pribadinya berhak mengajukan koreksi atas datanya. (Pasal 29 dan Pasal 30)

Keempat, pihak yang mengontrol data pribadi harus bisa menjamin keamanan data pribadi yang mereka kelola dan melindunginya dari berbagai risiko, termasuk kehilangan, perusakan, penggunaan oleh pihak tak berwenang, hingga risiko terbukanya data pribadi. (Pasal 34, Pasal 35, Pasal 36, Pasal 37, Pasal 38, Pasal 39, dan Pasal 40)

25.09.202 – LITBANG KOMPAS

Tantangan Implementasu UU PDP
1. Apa itu Data Pribadi
2. Jenis-jenis
3. Identitas Pribadi
4. Pengendali Data Pribadi
5. Larangan Data Probadi
6. Perihal Sengketa
7. Sanksi
8. Pidana