Panel ahli: UU Perlindungan Data Pribadi rentan makan korban dan belum jamin proteksi data yang kuat

Ilustrasi keamanan data di dunia maya. Freepik, CC BY

Undang-Undang (UU) Pelindungan Data Pribadi (PDP) yang baru saja resmi disahkan oleh Dewan Perwakilan Rakyat (DPR) dan pemerintah disebut-sebut menjadi angin segar bagi Indonesia dalam menyelesaikan permasalahan kebocoran data pribadi.

Terlebih, UU ini disahkan di tengah fenomena serangan hacker Bjorka yang membocorkan dan menyebarluaskan data pribadi para pejabat tinggi negara di media sosial.

UU yang terdiri dari 16 Bab dan 76 Pasal ini mengatur hal-hal mendasar untuk melindungi data pribadi individual. Di antaranya, UU ini mengatur tentang hak setiap individu yang pada dirinya melekat data pribadi, ketentuan pemrosesan data pribadi serta kewajiban para pengendali data pribadi tersebut, rencana pembentukan lembaga perlindungan data pribadi, serta implementasi larangan dan sanksi.

Namun, terlepas dari pentingnya dan diperlukannya aturan ini, tetap ada beberapa kelemahan yang ditengarai akan mengancam keterbukaan terhadap informasi dan berpotensi menjadi aturan karet, seperti halnya Undang-Undang tentang Informasi Dan Transaksi Elektronik (UU ITE). Ditambah lagi, hadirnya UU PDP ini juga membawa pekerjaan rumah besar bagi pemerintah untuk menyiapkan struktur baru yang menyimpan data seluruh masyarakat Indonesia – yang jumlahnya tentu sangat besar.

Panel pakar politik kami membagi analisis mereka tentang apa saja kekurangan UU PDP ini yang harus diperhatikan dan dikawal oleh publik serta apa saja tantangan yang akan dihadapi pemerintah dalam implementasinya.

Tantangan berikutnya: menyadarkan sektor swasta, badan publik dan masyarakat

Ika Karlina Idris – Associate Professor Kebijakan Publik dan Manajemen, Monash University Indonesia

Mengikuti disahkannya UU PDP ini, setidaknya ada dua pekerjaan rumah besar bagi pemerintah dalam menerapkannya.

Pertama, “harga” untuk implementasi UU PDD ini pun bisa dipastikan akan sangat mahal, karena sektor swasta dan korporasi pun akan terlibat.

Selama ini, perusahan dan badan publik seperti industri perbankan, rumah sakit, aplikasi-aplikasi layanan publik, serta lembaga atau perusahaan yang berkaitan dengan keuangan, adalah yang paling diuntungkan dari kekosongan hukum ini.

Selain mereka, platform digital, perusahaan dan badan publik yang selama ini mengumpulkan, mengelola dan menyimpan big data masyarakat tersebut sebenarnya adalah pihak yang lalai dalam melindungi data, karena mereka bisa mempelajari dan mengontrol penggunaan data kita.

Oleh karena itu, pemerintah harus fokus dulu memastikan perusahaan dan badan publik tersebut bisa benar-benar mematuhi UU PDP ini.

Kedua, pemerintah juga harus memastikan seluruh lapisan masyarakat dapat memahami aturan ini, karena jika tidak, bisa saja mereka secara tidak secara melanggar UU ini.

Perlu diingat bahwa masyarakat kita secara budaya termasuk dalam masyarakat kolektif, di mana konsep privasi terbilang lebih longgar dibandingkan masyarakat dalam budaya individualis. Sehingga dikhawatirkan akan banyak yang melanggar UU ini secara tidak sadar dan tidak disengaja.

Misalnya ada pihak sekolah yang menggunggah aktivitas siswa di media sosial, bisa saja secara tidak sengaja mereka melanggar UU PDP. Ini karena Pasal 4 Ayat 2 memasukkan “data anak” sebagai salah satu jenis data pribadi yang bersifat spesifik, sementara banyak masyarakat yang belum paham akan pentingnya data pribadi.

Perlu jaminan proteksi yang lebih kuat terkait data anak dan kelompok rentan

Faiz Rahman, Dosen Hukum Tata Negara dan Peneliti di Center for Digital Society (CFDS), Universitas Gadjah Mada

Walaupun kehadiran UU PDP ini sangat ditunggu-tunggu banyak kalangan, tetap masih ada banyak catatan yang perlu dikawal oleh masyarakat, salah satunya berkaitan dengan pelindungan data pribadi kelompok rentan.

UU PDP secara khusus hanya mengatur mengenai pemrosesan data pribadi anak dan penyandang disabilitas.

Seluruh data pribadi anak langsung masuk sebagai kategori data yang bersifat ‘spesifik’, merujuk pada jenis data yang cenderung sensitif dan pemrosesannya punya risiko tinggi terhadap subyek atau pemilik data pribadi – seperti data biometrik, kartu kredit, atau catatan kejahatan.

Hal ini sudah selayaknya. Anak merupakan pihak yang dianggap tidak bisa memberi persetujuan karena belum memiliki kecakapan hukum dan cenderung kurang menyadari konsekuensi pemrosesan data pribadi. UU PDP pun mengatur bahwa pemrosesan data pribadi anak harus ‘diselenggarakan secara khusus’ dan wajib mendapat persetujuan orang tua dan/atau wali anak.

Namun, lebih dari persetujuan orang tua, UU PDP belum secara tegas mengatur ‘penyelenggaraan khusus’ ini harus seperti apa. Ini membuat penyelenggara – dari media sosial hingga platform pendidikan – kurang punya standar perlindungan hukum yang jelas dalam memproses data anak dan membuka ruang penyalahgunaan data anak.

Selain itu, UU PDP pun belum mengatur standar usia yang masuk dalam klasifikasi sebagai data anak.

Hal ini perlu menjadi perhatian mengingat ada perbedaan terkait ‘usia anak’ dalam perundang-undangan di Indonesia – termasuk di UU Perlindungan Anak, UU Perkawinan, hingga Kitab Undang-Undang Hukum (KUH) Perdata. Ini dapat menimbulkan interpretasi ganda mengenai batas usia anak yang berpotensi besar disalahgunakan oleh berbagai pihak.

UU PDP juga mengatur bahwa data pribadi penyandang disabilitas diselenggarakan secara khusus dan wajib mendapatkan persetujuan mereka.

Hadirnya aturan ini patut diapresiasi. Tapi, lagi-lagi wujud atau praktik penyelenggaraannya di lapangan masih belum jelas dan perlu perhatian khusus dari pemerintah.

Terakhir, isu lain terkait kelompok rentan adalah penghapusan beberapa jenis data dari daftar data pribadi yang bersifat spesifik dari draf RUU sebelumnya – seperti orientasi seksual dan pandangan politik.

Hal ini berpotensi besar membuka ruang penyalahgunaan data untuk mendiskriminasi kelompok minoritas tertentu. Padahal, semangat pengaturan data pribadi yang bersifat spesifik adalah menghindari diskriminasi terhadap subyek data. Ditambah lagi, prinsip non-diskriminasi juga tidak masuk sebagai salah satu asas dalam pelindungan data pribadi di UU PDP.

Ditunggu: lembaga pengawas data yang kuat dan independen

Derry Wijaya Associate Professor Data Science Program, Monash University Indonesia

Terlepas apapun kelemahannya, UU PDP ini merupakan langkah awal yang baik dari segi pengembangan kebijakan mengenai keamanan siber di Indonesia.
Perihal penegakan hukumnya akan efektif atau tidak bergantung pada implementasinya.

Sebagaimana diketahui, Indonesia hanya berada di ranking ke 83 dari 160 negara dari segi Indeks Keamanan Siber Nasional (National Cyber Security Index) karena kurangnya pengembangan kebijakan mengenai keamanan siber, tidak adanya otoritas yang berwenang untuk melakukan pengawasan terhadap pengendali dan prosesor data mengenai persyaratan keamanan siber, dan tidak adanya manajemen krisis untuk menghadapi insiden keamanan siber.

Kini, UU PDP Pasal 58 hingga Pasal 60 telah mengatur tentang pembentukan lembaga baru untuk mengawasi pengendalian dan pemrosesan data.

Lembaga yang nantinya akan dibentuk ini harus independen dari kementerian karena UU PDP berlaku tidak hanya untuk sektor privat dan perorangan tapi juga badan publik.

Lembaga itu juga harus secara teratur memberikan bukti bahwa pelaksanaan kebijakan keamanan siber sudah terimplementasikan secara efektif melalui audit, dokumentasi, atau laporan khusus, serta harus menjamin bahwa hak-hak pemilik data terpenuhi – termasuk dalam mengatur pemberian persetujuan (consent management) dari pemilik data ke pengendali data.

Seandainya terjadi insiden siber yang menyebabkan kegagalan perlindungan data pribadi, lembaga otoritas ini sudah harus mempunyai manajemen krisis yang jelas, seperti mempunyai jalur yang jelas bagi pemilik data untuk dapat memulihkan keamanan data pribadinya dan untuk menuntut atau menerima ganti rugi atas pelanggaran keamanan terhadap data pribadinya.

Jangan sampai jika terjadi insiden siber berikutnya, masyarakat dibiarkan kebingungan apa yang harus dilakukan selanjutnya untuk memulihkan keamanan data mereka.

The Conversation