Menguji Efektivitas RUU PDP di Tengah Masifnya Kebocoran Data

tirto.id - Perdebatan antara Kementerian Komunikasi dan Informatika dengan Komisi I DPR RI dalam proses pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) berakhir sudah. Sebelumnya, Komisi I DPR dan Kominfo selalu berdebat mengenai badan otoritas penyelenggara PDP, apakah berada di bawah naungan Kominfo atau langsung kepada presiden?

Apabila dihitung, perdebatan antara Komisi I DPR dan Kementerian Kominfo tergolong lama. Karena menghabiskan enam kali masa perpanjangan sidang rapat panitia kerja, rapat tim perumus, dan tim sinkronisasi.

Pembahasan selalu berkutat pada masalah yang sama: Komisi I DPR ingin badan otoritas PDP berdiri mandiri dan independen. Sedangkan Kementerian Kominfo ingin badan tersebut ada di bawah naungannya.

Di tengah pembahasan RUU PDP yang molor karena terus mengalami perpanjangan sidang, sejumlah isu kebocoran data pribadi mencuat. Seperti kebocoran data 26 juta pelanggan Indihome hingga 17 juta data pelanggan PLN. Bahkan diisukan Badan Intelijen Negara (BIN) juga mengalami kebocoran data.

Namun ketiga entitas negara tersebut sepakat membantah dan menyebut info bocornya data hanya kabar burung semata.

Adapun yang terakhir adalah kabar bocornya data pemilih yang tersimpan di Komisi Pemilihan Umum (KPU) RI. Namun, lagi-lagi kabar itu juga sudah dibantah KPU dan menyebut tidak ada kebocoran. Meski ada isu peretasan dan data pemilih di KPU sudah bebas diperjualbelikan oleh sosok peretas yang mengaku bernama Bjorka.

Namun pada Rabu (7/9/2022) perdebatan itu berakhir dengan menetapkan badan otoritas penyelenggara PDP langsung bertanggung jawab kepada presiden. Akhirnya, RUU PDP diketuk palu dan sudah disepakati di tingkat I serta akan segera dibawa ke sidang paripurna sebelum memasuki masa reses.

Ketua Panja RUU PDP, Abdul Kharis mengatakan, isi dalam draf RUU tersebut tidak bisa mengakomodir semua pihak. Termasuk bagi mereka yang menginginkan adanya badan otoritas penyelenggara independen di luar pemerintahan. Akan tetapi, pihaknya harus mengambil titik kompromi mengingat RUU PDP harus segera disahkan demi keamanan siber di Indonesia di tengah isu kebocoran data pribadi semakin masif.

“Akhirnya kita cari titik temu. Kalau mau main kaku-kakuan tidak akan jadi undang-undang ini. Sementara kebocoran sudah seperti ini. Sehingga harus ada kompromi. Jadi jangan menuntut kalau lembaga ini tidak independen dan sebagainya. Nanti bocor terus, nanti akan ribut lagi," kata Abdul Kharis.

Apa yang disampaikan Kharis tersebut juga tercantum dalam Pasal 58 ayat 1, 2, dan 3 RUU PDP yang menyebutkan bahwa penyelenggaraan PDP ada pemerintah dan badan otoritasnya bertanggung jawab kepada presiden. Selain itu, dalam Pasal 61 juga dijelaskan bahwa badan otoritas akan dibentuk lewat peraturan presiden dan bertanggung jawab langsung kepada presiden.

Melalui ketentuan itu, maka posisi badan otoritas PDP akan sederajat dengan lembaga kementerian atau Badan Siber dan Sandi Negara hingga Badan Pengawas Obat dan BPOM.

Dalam RUU PDP juga tidak mengatur teknis kerja dan nomenklatur badan otoritas PDP. Kharis menyebut hal itu akan diatur melalui Peraturan Presiden (Perpres) dan tidak ada dalam draf RUU PDP.

“Nanti semua nomenklatur, aturan turunan semuanya akan diatur dalam bentuk peraturan presiden," jelasnya.

Meski ada di bawah kewenangan presiden, Kharis menekankan bahwa independensi lembaga tidak akan mempengaruhi kinerja badan otoritas PDP. Dirinya mencontohkan lembaga pengawas data pribadi di negara lain seperti Singapura dan Malaysia yang juga ada di bawah pemerintahan. Namun menurut dia, tetap berjalan efektif melindungi data pribadi di negara tersebut.

“Kalau kita lihat Singapura tidak ada yang menggunakan independen. Ternyata mereka bisa. Jadi nanti kalau kita harus memaksakan berdiri secara independen tidak akan jadi undang-undang ini. Oleh karenanya kita cari titik tengahnya," ungkapnya.

Di sisi lain, Menteri Komunikasi dan Informatika, Johnny G. Plate menjelaskan, letak badan otoritas penyelenggara PDP masih berada di tangan presiden. Bahkan Johnny juga menyebut badan otoritas tersebut masih memiliki kemungkinan untuk ada di bawah kementerian.

“Nanti Bapak Presiden akan menentukan lembaga itu ada di mana, apakah di salah satu kementerian lembaga ataukah nanti dibentuk lembaga yang baru, tapi merupakan cabang kekuasaan eksekutif, cabang kekuasaan pemerintahan, bukan di luar cabang kekuasaan (lainnya),” kata Johnny.

Pasal Penjamin Keamanan Data Pribadi dalam RUU PDP

Selain mengatur badan otoritas perlindungan data pribadi, RUU PDP hadir dengan dua metode penyelesaian, yaitu melalui hukum acara dan pidana. Ada 5 pasal yang mengatur hukuman bagi mereka yang melanggar aturan perlindungan data pribadi yaitu Pasal 65, 66, 67, 68, 69 dan 70.

Pasal 65

1. Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
2. Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.
3. Setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya.

Pasal 66

Setiap Orang dilarang membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.

Mengenai ketentuan pidana:

Pasal 67

1. Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
2. Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
3. Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).

Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 66 dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau pidana denda paling banyak Rp6.000.000.000,00 (enam miliar rupiah).

Pasal 69

Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.

Pasal 70

1. Dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 67 dan Pasal 68 dilakukan oleh Korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
2. Pidana yang dapat dijatuhkan terhadap Korporasi hanya pidana denda.
3. Pidana denda yang dijatuhkan kepada Korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan.
4. Selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), Korporasi dapat dijatuhi pidana tambahan berupa:

1. perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
2. pembekuan seluruh atau sebagian usaha Korporasi;
3. pelarangan permanen melakukan perbuatan tertentu;
4. penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan Korporasi;
5. melaksanakan kewajiban yang telah dilalaikan;
6. pembayaran ganti kerugian;
7. pencabutan izin; dan/atau
8. pembubaran Korporasi.

Kharis menjelaskan mengenai adanya perbedaan aturan antara hukuman bagi pelanggar data pribadi dari individu dan perusahaan. Apabila dari individu bisa dikenakan sanksi pidana berupa kurungan. Sedangkan perusahaan hanya denda sebagaimana tercantum dalam Pasal 70 RUU PDP.

“Nanti sanksi administratifnya ada 2 persen dikali pendapatan kotor selama 1 tahun maksimal di Indonesia dalam satu entitas bisnis. Sedangkan sanksi pidana ada dalam rentang satu tahun hingga enam bulan," jelasnya.

Ia berharap dengan adanya RUU PDP yang akan segera disahkan dalam sidang paripurna ini, tidak ada lagi perusahaan atau individu yang menggunakan data pribadi di luar persetujuan. Termasuk perusahaan finansial hingga teknologi informasi yang memiliki bank data pelanggannya.

“Itu artinya mereka (perusahaan) hanya bisa menggunakan data pribadi sesuai dengan persetujuan. Di luar persetujuan itu nggak boleh. Sehingga tidak ada lagi telepon yang tiba-tiba menawarkan asuransi ini-itu, kartu-kredit ini itu. Dan yang berbuat seperti itu akan kena," tegasnya.

RUU PDP Sulit Diterapkan Bila Pelanggarnya Instansi Negara?

Walau RUU PDP nyaris menuju final untuk sah menjadi UU, sejumlah keganjilan masih ada di dalamnya. Direktur EKsekutif Lembaga Advokasi Masyarakat (Elsam) Wahyudi Djafar mengkhawatirkan soal independensi badan otoritas PDP yang akan berdampak pada proses pemberian sanksi bilamana pelanggarnya adalah pemerintah atau BUMN.

“Karena mereka berbeda dengan swasta. Apabila swasta itu bisa didenda atau seterusnya. Sedangkan pemerintah atau lembaga publik itu tidak. Karena kesannya pemerintah memiliki dua persona yaitu pengawas dan juga diawasi,” kata dia.

Wahyudi menambahkan, “Karena yang menjadi pertanyaan, apakah satu institusi pemerintah bisa memberikan sanksi kepada instansi pemerintah lainnya? Sehingga secara pembentukan lembaga dalam RUU PDP ini seperti memberikan cek kosong kepada presiden. Karena bentuk lembaganya menunggu itikad baik dari presiden.”

Wahyudi juga menyebut Pasal 65 dan 67 di RUU PDP bersifat karet karena sangat mungkin membuat individu dikriminalisasi terkait aturan pidananya.

“Seperti dalam konteks hukuman pidana yang hanya bisa dikenakan individu perseorangan atau badan hukum dan ini tidak seimbang dengan badan publik yang hanya mendapat hukuman denda atau sanksi administratif saja," terangnya.

Ia berkesimpulan ada unsur ketergesa-gesaan dalam proses rancangan RUU PDP ini. Karena pasal yang dikenakan pada individu perorangan atau yang berbadan hukum dengan badan publik memiliki perbedaan.

“Antara sanksi administrasi dan ketentuan pidana masih kurang sinkron, sehingga nampak terlalu terburu-buru dalam mengesahkannya," ungkapnya.

Walau ada sejumlah celah dalam RUU PDP, namun Wahyudi mengapresiasi aturan rancangan perundang-undangan baru ini. Setidaknya bisa melindungi data pribadi masyarakat di tengah isu peretasan yang begitu masif. Selain itu, sejumlah klausul dalam RUU PDP sudah memenuhi standar perlindungan data pribadi.

“RUU PDP sudah memenuhi penjelasan terkait apa itu data pribadi, apa saja hak subjek data pribadi dan kewajiban pengendali dan pemroses data pribadi juga sudah diakomodir," jelasnya.

Sementara itu, Peneliti Keamanan Siber dari Communication Information System Security Research Center (CISSReC) Pratama Persada menambahkan, perlindungan data pribadi tidak cukup hanya dengan RUU PDP, namun juga ada kerja sama dari sektor swasta.

“Dari sisi pelaku bisnis harus mau proaktif melakukan pengamanan pada lembaga," jelasnya.

Selain dari aspek hukum, pemerintah juga harus mengambil kebijakan perlindungan data pribadi dari sudut pendidikan. Salah satunya dengan memasukkan keamanan siber dalam kurikulum pendidikan dasar.

“Dengan keamanan siber masuk dalam kurikulum pendidikan dasar, ini penting agar dalam jangka panjang, semua pengambil kebijakan punya bekal cukup terkait keamanan siber," ungkapnya.