Menuju konten utama
UU PDP Nomor 27 Tahun 2022

Mencari Bentuk Ideal Lembaga Perlindungan Data Pribadi Amanat UU

Tanpa lembaga PDP, kata Pratama, UU PDP akan masuk angin karena tak ada instansi yang menegakkan regulasi secara menyeluruh.

Mencari Bentuk Ideal Lembaga Perlindungan Data Pribadi Amanat UU
Ilustrasi perlindungan data. istockphoto/Getty Images

tirto.id - Presiden Joko Widodo resmi menandatangani pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (UU PDP) menjadi UU dengan menerbitkan UU Nomor 27 tahun 2022. Regulasi ini terbit sebagai respons pemerintah dan DPR RI terkait beragam upaya peretasan dan pencurian data pribadi yang marak terjadi.

Dari beragam pasal yang membahas soal perlindungan data pribadi, salah satu perhatian publik adalah pembentukan lembaga yang khusus mengawasi masalah PDP. Poin ini diatur dalam Pasal 58 hingga Pasal 61 UU PDP, yang meliputi bentuk, tugas dan fungsi serta ketentuan tata cara lembaga yang fokus pada isu PDP.

Sayangnya, publik masih belum sepakat dengan bentuk lembaga yang disahkan dalam UU PDP itu. Direktur Eksekutif Elsam, Wahyudi Djafar mengatakan, ada masalah dalam bentuk lembaga yang diatur dalam UU PDP. Ia mengingatkan, posisi lembaga yang berada di rumpun eksekutif akan menimbulkan keraguan publik saat negara melakukan pelanggaran pengelolaan data pribadi.

“Ini memang menjadi problem di dalam memastikan efektivitas dari Undang-Undang Perlindungan Data Pribadi karena undang-undang ini nantinya berlaku mengikat tidak hanya bagi sektor swasta, tetapi juga sektor publik, pemerintah,” kata Wahyudi kepada reporter Tirto, Kamis (20/10/2022).

Wahyudi melanjutkan, “Ini menjadi pertanyaan bagaimana lembaga ini akan memastikan kepatuhan dari lembaga-lembaga pemerintah atau institusi pemerintah, termasuk bagaimana ketika dia akan memberikan sanksi terhadap lembaga-lembaga pemerintah ini? Apakah memungkinkan atau tidak karena mereka sama-sama institusi kekuasaan eksekutif meskipun bentuknya hanya sanksi administrasi?”

Wahyudi mengatakan, publik berharap lembaga khusus PDP akan bisa independen sebagaimana yang disampaikan DPR demi mencegah berbagai masalah. Publik, dalam kacamata Wahyudi, ingin agar lembaga pengelola PDP bersifat independen sehingga bisa menangani masalah-masalah data pribadi seperti di negara-negara yang memiliki UU PDP.

Namun pemerintah berharap agar lembaga PDP itu berada di bawah kementerian. Situasi tersebut sempat membuat deadlock hingga hampir setahun rancangan undang-undang ini batal disahkan. Pemerintah dan DPR akhirnya mengambil jalan tengah dengan menyerahkan kewenangan bentuk lembaga kepada presiden.

Menurut Wahyudi, lembaga yang dibentuk tidak ideal karena bentuk ideal setidaknya seperti PPATK atau BPOM sebagai lembaga negara non-kementerian (LPNK) yang punya kekuatan kuat seperti kewenangan putusan sengketa administrasi atau menjalankan fungsi-fungsi terkait dengan ajudikasi non-litigasi atau penyelesaian sengketa melalui ajudikasi non-litigasi.

“Meskipun di dalam undang-undang mengatur tugas dan fungsi termasuk wewenang dari lembaga ini, tetapi lagi-lagi ini belum bisa menjawab kebutuhan keseluruhan dalam memastikan perlindungan data pribadi warga negara,” kata Wahyudi.

Wahyudi berharap, lembaga LPNK PDP tidak berada di bawah kementerian sesuai amanat undang-undang. Ia berharap lembaga ini bisa bekerja optimal saat aktif dua tahun ke depan meski struktur lembaga tidak sesuai harapan publik.

“Yang kita perlukan adalah pembentukan sebuah otoritas yang boleh dikatakan seperti Komnas HAM atau Ombudsman, tetapi itu kan akhirnya tidak disepakati. Agar ini kemudian bisa merasionalkan, memastikan implementasi Undang-Undang PDP secara baik meskipun dia dibentuk sebagai sebuah LPNK,” kata Wahyudi.

Lembaga PDP Sangat Krusial

Chairman Communication & Information System Security Research Center (CISSReC), Pratama Dahlian Persadha mengatakan, pengesahan UU PDP layak disyukuri meski masih ada pro-kontra. Namun, Pratama sepakat bahwa upaya pengatur lembaga atau komisi PDP penting untuk dikelola dalam sebuah regulasi.

“Komisi PDP ini memang posisinya sangat krusial sekali. Merekalah nanti yang akan menentukan apakah sebuah kebocoran data yang terjadi ini akibat dari kelalaian sebuah organisasi serta pejabatnya atau tidak,” kata Pratama.

Pratama menambahkan, UU PDP ini seharusnya tidak hanya menyasar swasta, tapi juga lembaga negara, karena selama ini lembaga negara baik di pusat maupun daerah benar-benar menjadi sasaran pencurian data. Misalnya kasus kebocoran data KPU dan dukcapil di daerah.

Akan tetapi, Pratama menilai masih ada kekurangan dalam aturan UU PDP, seperti sanksi bagi lembaga pemerintah yang melanggar aturan. Di sisi lain, Pratama menilai posisi lembaga PDP dalam UU PDP memicu masalah soal bentuk dan implikasi kerja lembaga.

“Sayangnya UU PDP yang disahkan kemarin memang belum mengatur sanksi bagi lembaga negara kementerian dan lembaga pemerintah lainnya (serta pejabat) yang mengalami kebocoran data. Harapannya nanti Komisi PDP ini bisa memberikan solusi bagi masyarakat yang dirugikan akibat kebocoran data dari PSE Publik atau lembaga negara kementerian dan pemerintah,” kata Pratama.

Ia menilai, posisi lembaga PDP di bawah presiden lebih baik daripada Kementerian Kominfo. “Namun pembentukan Komisi PDP lewat Peppres juga dikhawatirkan berakibat pada wewenang yang lemah. Karena sejatinya Komisi PDP akan sangat kuat bila perintah pembentukannya langsung lewat UU,” kata Pratama.

Karena itu, Pratama mengajak publik untuk mengawal bentuk lembaga PDP yang akan dibentuk pemerintah ideal atau tidak. Sebagai contoh, lembaga apakah akan diisi oleh orang-orang yang berkompeten dan mengerti betul soal keamanan siber atau tidak. Ia mengingatkan, Komisi PDP ini akan menjadi benteng terakhir masyarakat yang mencari keadilan terkait berbagai kebocoran data dan akibatnya.

“Perlu digarisbawahi bahwa UU PDP juga mengatur data offline, misalnya data perbankan yang selama ini sering bocor dan digunakan untuk melakukan penipuan,” kata Pratama.

Pratama paham bahwa pembentukan lembaga yang diamanatkan UU PDP tidak ada tenggat waktu. Namun ia menilai pembentukan lembaga akan membuat pemerintah bisa menangani masalah PDP.

“Tanpa Komisi PDP, artinya UU PDP ini akan masuk angin karena tidak ada lembaga yang menegakkan UU ini secara menyeluruh. Seharusnya Komisi PDP tidak akan lama pembentukannya, apalagi Indonesia sebagai tuan rumah G20 akan dilihat juga bagaimana perlindungan terhadap data pribadi, yang kini menjadi tren dan kebutuhan global,” kata dia.

Pratama menambahkan, “Lembaga pelaksana UU PDP ini, apa pun namanya akan sangat dibutuhkan dan menjadi salah satu etalase Indonesia bagi dunia internasional.”

Co-Founder Institute for Security and Strategic Studies (ISESS) Khairul Fahmi mengapresiasi keberadaan lembaga yang bertugas khusus dalam isu PDP. Akan tetapi, ia menyayangkan UU PDP tidak mengatur spesifik lembaga tersebut untuk dibentuk meski ketentuan peralihan yang tertuang dalam Pasal 74 UU ini mewajibkan para Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, agar menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan UU ini. Jangka waktunya, paling lama dua tahun sejak diundangkan.

“Tidak dicantumkannya tenggat waktu spesifik untuk pembentukan lembaga, sangat berpeluang mengakibatkan tertundanya penyelenggaraan pelindungan data pribadi secara efektif maupun pengawasan terhadap penyelenggaraannya,” kata Fahmi.

Pendapat Fahmi bukan tanpa alasan. Ia mengingatkan lembaga sesuai amanat UU PDP akan berperan merumuskan kebijakan dan strategi pelindungan data pribadi yang menjadi panduan pemrosesan data pribadi di masa depan.

Selain itu, kata dia, lembaga itu juga yang akan mengawasi, melakukan penegakan hukum administratif dan memfasilitasi penyelesaian sengketa di luar pengadilan.

“Artinya, jika upaya penyesuaian ketentuan pemrosesan data pribadi diberikan waktu dua tahun, maka lembaga penyelenggaranya harus sudah mulai menjalankan peran dan kewenangannya secara efektif sebelum tenggat waktu dua tahun itu terlampaui,” kata Fahmi.

Fahmi menyarankan pemerintah bergerak cepat mulai dari penyusunan Perpres dan PP yang akan menjadi alas hukum lembaga hingga penyiapan sumber daya dan sarana prasarana.

Ia mengaitkan urgensi PDP dengan tahapan pemilu yang sudah dimulai. Selama ini, tahapan pemilu menjadi salah satu agenda kenegaraan yang ditengarai rawan dan rentan praktik penyalahgunaan data pribadi. Tentu menarik jika efektivitas UU 27/2022 dalam melindungi data pribadi masyarakat, sudah dapat diuji pada tahapan Pemilu 2024 ini.

“Tapi saya kira itu harapan yang sangat sulit untuk direalisasikan. Tenggat waktu dua tahun untuk penyesuaian itu, justru berpeluang menjadi 'injury time' bagi praktik-praktik penyalahgunaan data pribadi. Walhasil, masyarakat masih harus bersabar menantikan data pribadinya benar-benar aman terlindungi," kata Fahmi.

Respon Pemerintah

Menteri Kominfo, Jhonny G. Plate memastikan bahwa pemerintah akan menindaklanjuti soal pembentukan lembaga sebagaimana ketentuan perundang-undangan.

“Berdasarkan undang-undang tersebut nanti akan ditindaklanjuti dengan turunan yang diwajibkan oleh amanat pasal-pasal yang ada dalam Undang-Undang Data Pribadi,” kata Plate di kompleks Istana Kepresidenan, Jakarta Pusat, Kamis (20/10/2022).

Plate menegaskan, lembaga tersebut akan masuk ranah eksekutif. Lembaga tersebut akan dibentuk sesuai arahan presiden dan akan dibahas sebelum disahkan lewat regulasi seperti keputusan presiden atau aturan lainnya.

“Ditetapkan dan ditunjuk oleh presiden yang tugas tanggung jawabnya akan dielaborasi secara lebih detail di dalam peraturan turunan apakah itu peraturan presiden ataukah keputusan presiden dan bahkan apabila dibutuhkan keputusan menteri sektor terkait,” kata Plate.

Baca juga artikel terkait PERLINDUNGAN DATA PRIBADI atau tulisan lainnya dari Andrian Pratama Taher

tirto.id - Politik
Reporter: Andrian Pratama Taher
Penulis: Andrian Pratama Taher
Editor: Abdul Aziz