Jokowi Tinggalkan Catatan Buruk Perlindungan Data Pribadi, Bisakah Berharap pada Prabowo?
Catatan pelindungan data pribadi buruk di era Jokowi, Prabowo perlu siapkan langkah yang lebih strategis.
Era Presiden Joko “Jokowi” Widodo menyuguhi masyarakat dengan banyak insiden kebocoran data pribadi. Pada Mei 2020, Tokopedia, salah satu aplikasi jual-beli online terbesar di Indonesia, mengalami kebocoran 91 juta data pribadi penggunanya. Pada November 2022, MyPertamina, aplikasi milik BUMN Pertamina, juga mengalami kebocoran data pribadi penggunanya sebanyak 44 juta.
Ironisnya, kebocoran data pribadi tidak hanya terjadi pada sektor privat, tetapi juga pada sektor pemerintah. Pada masa pandemi COVID-19, pemerintah banyak mengumpulkan data pribadi masyarakat, yang sayangnya tidak dibarengi dengan upaya pelindungan yang cukup.
Pada 2020 saja, terdapat beberapa kali insiden kebocoran data pribadi terkait penanganan COVID-19, setidaknya pada Mei, Juli, dan Agustus.
Menjelang Pemilihan Umum (Pemilu) 2024 lalu, Komisi Pemilihan Umum (KPU) juga mengalami kebocoran data sebanyak 252 juta.
Ini patut menjadi catatan bagi Presiden terpilih Prabowo Subianto dan Wakil Presiden terpilih Gibran Rakabuming Raka. Rezim berikutnya perlu menyiapkan langkah yang lebih efektif dan strategis untuk mencegah terjadinya kembali kebocoran data.
Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang disahkan pada 17 Oktober 2022 merupakan langkah progresif pemerintahan Jokowi dalam melindungi data pribadi masyarakat. Namun, implementasinya tidak akan mudah, terutama terkait pembentukan Lembaga PDP.
Baca juga: UU Perlindungan Data Pribadi Berlaku Oktober, ini 8 Catatan Penting untuk Jurnalis
Kompetensi dan Transparansi Pemerintah Dipertanyakan
Menghadapi masifnya kebocoran data pribadi di Indonesia, pemerintah belum banyak melakukan langkah-langkah taktis dan strategis. Setiap terjadi kebocoran data pribadi, seringkali pemerintah justru mengetahuinya dari publik—yang lebih tanggap mengungkap kebocoran data melalui media sosial. Hal tersebut menunjukkan bahwa pemerintah belum memiliki sistem tata kelola pelindungan data pribadi yang mumpuni dan mampu mendeteksi kebocoran data pribadi di Indonesia secara cepat.
Ketika akhirnya pemerintah bergerak menangani kebocoran data pribadi, lembaga negara seperti Kementerian Komunikasi dan Informatika (Kominfo), Badan Siber dan Sandi Negara (BSSN), dan lainnya seringkali hanya saling melempar tanggung jawab.
Hasil dari penanganan kebocoran data pribadi yang dilakukan oleh pemerintah juga umumnya tidak transparan dan tidak akuntabel. Masyarakat tidak mengetahui proses dan hasil akhir dari penanganan tersebut. Pada situasi demikian, tentu masyarakat adalah pihak yang paling dirugikan karena tidak mendapat kepastian akan keamanan data pribadinya.
Baca Juga: Dari Pembobolan Akun sampai ‘Sextortion’: Risiko Besar Kebocoran Data Pribadi
Berlakunya UU PDP: Harapan Versus Kenyataan
Sebelum UU PDP disahkan, Indonesia sebenarnya sudah memiliki pengaturan terkait pelindungan data pribadi, namun berlakunya secara sektoral (berlaku per lembaga saja, tidak keseluruhan sistem pemerintahan). UU PDP dibuat sebagai legislasi khusus (lex specialis derogat legi generali) agar ketika terdapat konflik norma antara legislasi sektoral, semua merujuk pada UU PDP.
Penyusunan UU PDP yang berlangsung pada 2020 hingga 2022 banyak dipengaruhi oleh European Union General Data Protection Regulation (EU GDPR)—regulasi pelindungan data pribadi Uni Eropa yang sering menjadi rujukan global.
Banyak ketentuan-ketentuan dalam UU PDP yang pada dasarnya merujuk pada EU GDPR, seperti jenis data pribadi, hak subjek data pribadi, kewajiban pengendali data pribadi dan prosesor data pribadi, transfer data pribadi, sanksi administratif, kelembagaan, kerja sama internasional, penyelesaian sengketa dan hukum acara, serta larangan dalam penggunaan data pribadi.
Bagaimanapun, kita perlu mengapresiasi keberadaan UU PDP karena mampu menempatkan subjek data sebagai aktor yang memiliki kontrol penuh atas data pribadinya. Sebagai pemegang kontrol, subjek data memiliki beragam hak, seperti hak mendapatkan informasi tentang pemrosesan data, hak melengkapi dan memperbaiki data, hak mengakhiri pemrosesan data, dan hak menerima ganti rugi atas pelanggaran pemrosesan data pribadi.
Di samping itu, pengendali data pribadi dan prosesor data pribadi juga memiliki berbagai kewajiban dalam pemrosesan data pribadi. Keberadaan hak dan kewajiban tersebut memberikan subjek data pribadi posisi yang mumpuni. Ini bisa menjadi langkah awal dalam menekan praktik eksploitasi dan penyalahgunaan data pribadi.
Meski demikian, pengesahan UU PDP bukan tanpa kritik, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) memiliki sepuluh kritik, di antaranya, ruang lingkup data pribadi spesifik (data yang apabila diproses dapat mengakibatkan dampak besar pada subjek data), data pribadi anak, pengendali data gabungan, sanksi pidana, dan independensi lembaga pengawas.
Tantangan implementasi UU PDP juga menjadi isu tersendiri. Sejak disahkannya aturan tersebut, pemerintah belum menunjukkan langkah signifikan untuk mengimplementasikannya. Agar efektif, implementasi UU PDP membutuhkan keberadaan aturan turunan dan Lembaga PDP.
Implementasi Belum Maksimal Tanpa Aturan Turunan
Ketentuan peralihan dalam UU PDP mengatur bahwa UU PDP akan berlaku secara penuh bagi pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi paling lama dua tahun setelah pengesahannya. Artinya, 17 Oktober 2024 kemarin adalah tenggat waktu bagi seluruh aktor tersebut untuk patuh terhadap UU PDP.
Sayangnya, terdapat beberapa ketentuan dalam UU PDP yang belum dapat diimplementasikan dengan secara maksimal. Pasalnya, UU PDP mengamanatkan keberadaan peraturan turunan, dalam bentuk peraturan pemerintah maupun peraturan presiden, yang sampai saat ini belum ada.
Terdapat sebelas pasal yang mensyaratkan adanya peraturan turunan. Ketiadaan peraturan turunan menjadikan pasal-pasal tersebut tidak dapat diimplementasikan. Salah satu contohnya adalah Pasal 12 yang mengamanatkan bahwa ketentuan lebih lanjut mengenai pelanggaran pemrosesan data pribadi dan tata cara pengenaan ganti rugi diatur dalam peraturan pemerintah. Meskipun hak atas menerima ganti rugi telah eksis dalam UU PDP, tanpa adanya tata cara yang diatur dalam pemerintah, subjek data tidak akan memperoleh hak tersebut.
Inisiasi pembentukan peraturan turunan, dalam bentuk peraturan pemerintah, sejatinya sudah dimulai oleh Kominfo sejak Januari 2023 dan telah melewati tahap perumusan, konsultasi publik, dan pembahasan dalam tahap harmonisasi. Artinya, tahapan ini hanya menyisakan finalisasi dan penetapan. Namun sampai sekarang, belum ada kepastian kapan proses harmonisasi tersebut akan selesai.
Pekerjaan Rumah untuk Pemerintahan Prabowo
Salah satu hal yang harus menjadi perhatian Prabowo adalah pembentukan Lembaga PDP. Lembaga ini memiliki fungsi perumusan dan penetapan kebijakan dan pengawasan terhadap penyelenggaraan terkait pelindungan data pribadi, penegakan hukum administrasi, dan fasilitasi penyelesaian sengketa di luar pengadilan.
Ketiadaan Lembaga PDP akan berpengaruh pada bagaimana penanganan kebocoran data pribadi kedepannya. Tanpa adanya Lembaga PDP, penanganan kebocoran data pribadi akan stagnan—saling lempar tanggung jawab.
Penting juga bagi Prabowo untuk memerhatikan isu terkait independensi lembaga PDP tersebut. UU PDP mengatur bahwa lembaga pengawas ini beroperasi di bawah pemerintah. Keberadaannya yang tidak independen ini menjadikan fungsi dan wewenangnya kurang efektif, terutama ketika mengawasi lembaga-lembaga pemerintahan. Padahal, rekam jejak telah membuktikan bahwa lembaga pemerintahan tidaklah luput dari kebocoran data pribadi.
Shevierra Danmadiyah, Peneliti, Indonesian Institute for Independent Judiciary (LEIP)
Artikel ini pertama kali diterbitkan oleh The Conversation, sumber berita dan analisis yang independen dari akademisi dan komunitas peneliti yang disalurkan langsung pada masyarakat