RUU PDP Belum Penuhi Standar Internasional Perlindungan Data Pribadi
RUU Perlindungan Data Pribadi (PDP) masih memiliki ketidakjelasan definisi dan dasar hukum, serta menempatkan warga negara di posisi lemah.
Penelitian terbaru yang membandingkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) Indonesia dengan dua aturan perlindungan data pribadi di Eropa, menemukan bahwa RUU PDP masih memiliki banyak kekurangan jika mengacu pada standar perlindungan data pribadi internasional.
Perbedaan tingkat perlindungan ini terlihat jelas ketika penyedia jasa pesan singkat WhatsApp “memaksa” semua penggunanya, termasuk pengguna di Indonesia, untuk setuju membagikan data mereka ke perusahaan induk mereka, Facebook, jika ingin tetap menggunakan layanan ini. Sementara di Eropa, kebijakan penggunaan data ini tidak diberlakukan pada pengguna di sana.
RUU Perlindungan Data Pribadi Memiliki Ketidakjelasan
Penelitian yang dilakukan Yayasan Tifa membandingkan RUU PDP dengan regulasi perlindungan data pribadi di Eropa, seperti Peraturan Pelindungan Data Umum Uni Eropa (GDPR) dan Konvensi Eropa 108+, dua regulasi Eropa yang banyak dijadikan patokan oleh dunia terkait perlindungan data pribadi.
Studi Yayasan Tifa menemukan bahwa RUU PDP masih memiliki banyak kekurangan seperti ketidakjelasan definisi, ketidakjelasan dasar hukum, dan penempatan warga negara di posisi yang lemah.
Dalam RUU PDP, Kementerian Komunikasi dan Informatika (Kominfo) memegang otoritas perlindungan data pribadi atau data protection authority (DPA) di Indonesia. Namun, RUU tersebut tidak menyebutkan secara jelas tugas dan tanggung jawab Kominfo dalam perannya sebagai otoritas perlindungan data pribadi.
Di Eropa, GDPR memastikan otoritas perlindungan data pribadi independen dan memiliki cakupan tanggung jawab yang jelas untuk memastikan badan tersebut bisa menegakkan hukum dan memberikan sanksi kepada pihak-pihak kepentingan seperti pemerintah dan perusahaan.
Baca juga: Kasus Ravio Patra dan Pentingnya Regulasi Perlindungan Data Pribadi
Sherly Haristya, salah satu peneliti Yayasan Tifa, mempertanyakan independensi Kemkominfo sebagai pihak yang bertanggung jawab atas perlindungan data pribadi kalau tidak ada detail yang mengatur.
“Sejauh mana dia berhak mengintervensi jika terjadi pelanggaran perlindungan data pribadi? Seberapa jauh dia bisa mengawal agar pengelola data bisa bertanggung jawab?” kata Sherly.
Masalah utama berikutnya adalah ketidakjelasan RUU PDP dalam pembagian ruang lingkup hukum di antara perorangan dan lembaga.
Dasar Hukum RUU Perlindungan Data Pribadi Kurang Jelas
Di dalam GDPR dan Konvensi Eropa 108+, definisi data pribadi ditetapkan berdasarkan karakteristik seperti “informasi apa pun terkait orang perseorangan (pemilik data)”. Namun di RUU PDP, orang diartikan sebagai perseorangan atau korporasi.
Hal ini berpotensi mengakibatkan penetapan kewajiban perlindungan data pribadi yang tidak sesuai dengan kapasitas pihak yang berbeda-beda. Ini karena penegak hukum dapat menafsirkan bahwa seorang individu memiliki kewajiban yang sama dengan suatu lembaga yang mengendalikan memproses data.
Menurut Sherly, RUU PDP harus memberikan kejelasan yang lebih mendetail untuk membedakan kegiatan pengolahan data rumah tangga dan aktivitas pemrosesan data komersial.
GDPR menjelaskan bahwa prinsip atau dasar proses data pribadi itu harus adil, sah, dan transparan. Pihak pengendali data dan entitas yang mengumpulkan data hanya bisa mengumpulkan data jika memiliki dasar hukum yang kuat.
GDPR juga menjelaskan secara detail kondisi-kondisi yang dianggap cukup sehingga pemrosesan data dianggap sah. Salah satu kondisi itu adalah consent atau persetujuan.
Dalam RUU PDP, Kementerian Komunikasi dan Informatika memegang otoritas perlindungan data pribadi di Indonesia. Namun, tidak jelas apa tugas dan tanggung jawab Kemkominfo dalam perannya tersebut.
RUU PDP tidak menawarkan kejelasan tentang keabsahan dan dasar hukum pemrosesan data. RUU PDP mengatur bahwa pengendali data bisa memproses data untuk memenuhi kewajiban hukum untuk kepentingan publik. Tetapi, tidak ada penjelasan lebih lanjut mengenai “kepentingan publik”.
Ada potensi pengendali data bisa menafsirkan sendiri apa yang dimaksud dengan “kepentingan publik” dan memproses data sesuai dengan kepentingan pengendali data belaka.
Beban Perlindungan Data Pribadi pada Warga
GDPR dan Konvensi Eropa 108+ memaparkan hak pemilik data secara detail. Dalam Konvensi Eropa 108+, setiap individu memiliki hak untuk tidak tunduk pada keputusan yang mempengaruhi diri mereka secara signifikan karena pemrosesan data otomatis.
Individu berhak mengetahui data mereka dipakai untuk apa, memprotes pemrosesan data mereka, meminta data mereka diperbaiki atau dihapuskan, dan meminta pemulihan data jika ada haknya dilanggar.
GDPR menjelaskan hal-hal di atas dengan lebih rinci. Aturan itu menjelaskan bahwa pengendali data harus memberikan informasi terkait pemrosesan data kepada pemilik data (hak untuk diberitahukan).
GDPR juga mengatur hak pemilik data untuk mengakses, hak perbaikan data, hak untuk dilupakan, hak membatasi pemrosesan data, dan banyak hak-hak pemilik data lainnya.
Kurang lebih, RUU PDP memaparkan hak-hak pemilik data yang serupa dengan hal-hal di atas seperti hak untuk diberitahukan, hak untuk diperbaiki, hak untuk pemulihan, dan hak-hak lainnya. Namun, RUU PDP menuntut pemilik data yang harus aktif menuntut hak-hak mereka sebagai pemilik data kepada pengendali data alih-alih membebankan pertanggungjawaban terkait hak-hak tersebut kepada pengendali data sedari awal.
Baca juga: Ancaman Utama yang Perlu Diatasi Lewat UU Perlindungan Data Pribadi
Sederhananya, pemilik data harus menjadi pihak yang aktif menuntut hak mereka, sedangkan pengendali data tidak wajib memberitahukan hak-hak pemilik data sebelum memproses data. Ini membuka kemungkinan pihak pemilik data di Indonesia baru mengetahui hak-hak mereka sebagai pemilik data sesudah data mereka diproses.
Penegakan Hukum Terkait Data Pribadi Masih Sulit
Rizky Banyualam Permana, peneliti dan dosen hukum internasional di Universitas Indonesia, mengatakan bahwa di dunia saat ini belum ada komitmen global—peraturan hukum tingkat global—yang mengatur hukum perlindungan data pribadi. Oleh karena itu, ada pendekatan hukum yang berbeda dari satu negara dengan negara lainnya.
“Kalau kita ingin perbandingan yang komprehensif, kita tentu kita harus melihat pandangan yang berseberangan, misalnya pendekatan Amerika Serikat (AS) yang menekankan hak konsumen,” kata Rizky.
Rizky juga menilai bahwa ada beberapa hal dalam pendekatan di Eropa yang tidak realistis dari sisi penegakan hukum. Studi menunjukkan bahwa klaim yurisdiksi global GDPR nyatanya terbatas karena sulit ditegakkan di luar wilayah Uni Eropa. Hambatan-hambatan ini dapat mengakibatkan aturan GDPR, termasuk pemberian denda administratif, menjadi tidak bisa ditegakkan dan dilupakan begitu saja.
Artikel ini pertama kali diterbitkan oleh The Conversation, sumber berita dan analisis yang independen dari akademisi dan komunitas peneliti yang disalurkan langsung pada masyarakat.