Pengamat Minta RUU PDP Diperbaiki: Multitafsir hingga Diskriminasi Sanksi
PerbesarADVERTISEMENT
Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP ) yang diberikan oleh Kementerian Komunikasi dan Informatika (Kominfo) ke Sekretariat Negara pada Januari 2020 perlu diperbaiki lagi, menurut sejumlah pengamat. Hal ini karena RUU tersebut masih memiliki sejumlah kekurangan.
ADVERTISEMENT
Menurut Deputi Direktur Riset Lembaga Studi & Advokasi Masyarakat (ELSAM), Wahyudi Djafar, cakupan material dari RUU PDP masih mengandung masalah. Salah satunya, individu masih dianggap sebagai pengendali data pribadi yang dapat dikenai sanksi apabila terjadi kesalahan dalam perlindungan data pribadi.
Cakupan material (material scope) dari RUU PDP menekankan tentang pihak-pihak yang dikenakan kewajiban dari UU ini. Dalam Pasal 23 RUU PDP mengenai Kewajiban Pengendali dan Pemroses Data Pribadi, misalnya, pengendali dan pemroses tersebut meliputi 'Setiap Orang, Badan Publik, dan Organisasi atau Institusi'. Sebagai catatan, 'Setiap Orang' yang dimaksud dalam RUU ini didefinisikan sebagai 'orang perseorangan atau korporasi'.
Menurut Wahyudi, definisi ini problematis. Sebab, secara prinsipil, yang seharusnya terkena kewajiban untuk menjalankan kewajiban sebagai pengendali dan pemroses data adalah badan publik, yakni pemerintah dan swasta.
ADVERTISEMENT
"Individu dan rumah tangga (household) tidak terkena kewajiban. Karena kan menjadi sulit ketika seseorang dibebankan untuk melindungi data pribadinya masing-masing," kata Wahyudi, saat dihubungi kumparan, Kamis (27/2). "Setiap orang mengelola data pribadinya masing-masing, tapi bukan dalam kapasitas sebagai pengendali data, ya itu kan karena memang itu data miliknya. Jadi, itu harusnya lebih tegas."
Tak Ada Lembaga Perlindungan Data Independen
Selain itu, Wahyudi juga menyoroti ketiadaan lembaga perlindungan data independen dalam RUU PDP. Dalam pasal 58 dan 59 mengenai peran pemerintah di RUU tersebut dijelaskan, pemerintah berperan menjadi pengawas perlindungan data pribadi.
Hal inilah yang menjadi masalah. Sebab, RUU ini juga memosisikan pemerintah sebagai pengendali dan prosesor data pribadi .
"Ketika fungsi regulator dan pengawasan itu adalah pemerintah, menjadi aneh. Nanti, bagaimana kalau misalnya terjadi kegagalan perlindungan data pribadi di pemerintah? Diawasi sendiri, dilaporkan sendiri, lalu ditangani sendiri atau seperti apa?" kata Wahyudi.
ADVERTISEMENT
"Ini kemudian menjadi penting untuk membuat sebuah data protection authority yang independen. Itu memang belum ada dalam RUU ini," sambungnya.
Rancunya posisi pemerintah juga disuarakan oleh Executive Director SAFEnet, Damar Juniarto. Menurutnya, RUU PDP menghilangkan sanksi pidana bagi Lembaga Negara, atau disebut Badan Publik, bila melakukan pelanggaran data pribadi, mengacu kepada pasal 51 sampai pasal 54 dalam beleid tersebut.
Di sisi lain, sanksi untuk perseorangan dan korporasi jelas sekali dicantumkan dalam pasal 61 sampai pasal 69.
"Padahal selama ini publik menghadapi kecemasan atas jual-beli data pribadi, hingga muncul dugaan bahwa salah satu penyebabnya adalah kerjasama yang dilakukan oleh Dukcapil dengan pihak-pihak swasta yang jumlahnya mencapai lebih dari seribu perusahaan," tulis Damar dalam laporannya di SAFEnet pada 3 Februari lalu.
ADVERTISEMENT
"Dugaan ini berkembang sedemikian rupa sehingga perlu diantisipasi bahwa siapapun, termasuk Badan Publik bisa dikenai sanksi pidana penjara, pidana denda, dan administratif bila melakukan pelanggaran data pribadi," sambungnya.
Diskriminasi Sanksi
Damar juga menyebut, bahwa RUU PDP melakukan diskriminasi sanksi. Hal ini karena pada pasal 61-64 di beleid itu mengenai sanksi pidana pada perseorangan, sanksi pidananya mulai dari 1 tahun sampai 7 tahun penjara dengan denda puluhan miliar.
Sedangkan pada korporasi, sanksinya tiga kali lipat dari yang ditetapkan pada perseorangan, dengan denda pada staf dan organisasinya hanya administratif saja. Untuk itu, kata dia, perlu penyesuaian terhadap ketentuan tersebut.
"Apakah dengan sanksi hukum yang tinggi dan diskriminatif ini akan memberikan rasa keadilan yang diharapkan oleh masyarakat atas hak privasi?" tulis Damar.
ADVERTISEMENT
"Indonesia memiliki pengalaman memiliki UU ITE yang di dalamnya mengatur tentang persoalan pencemaran nama, ujaran kebencian dan pengancaman. Namun dalam lebih dari 10 tahun, UU ITE ini memiliki persoalan terkait dengan jumlah warga yang dipidana dan proses pidana saat penegakkan hukum dan peradilan yang tidak fair," sambungnya.
Damar menambahkan, pemerintah perlu berefleksi dari pelaksanaan hukum ITE dalam menentukan sanksi PDP. Refleksi itu terkait dengan minimnya ketersediaan penjara, mekanisme penegakan hukum yang ternyata tidak siap mengerti teknologi digital, hingga pengetahuan dari lembaga peradilan.
Senada dengan Damar, Wahyudi juga ragu apakah sanksi yang dicantumkan di dalam RUU PDP dapat efektif atau tidak ketika diterapkan.
Kontroversi Profiling
Selain sanksi, kedua pengamat juga menganggap bahwa RUU PDP mengandung pengecualian hak privasi yang terlalu luas. Salah satunya adalah mengenai pasal 16 yang menyebut hak warga negara atas data pribadi dikecualikan untuk keperluan Lembaga Negara.
ADVERTISEMENT
RUU PDP juga masih kurang dalam menyoroti praktik penyadapan ilegal, kata Damar. Beberapa aksi penyadapan ilegal seperti spyware, pengumpulan data ke cloud ilegal, dan pengenalan wajah berbasis kecerdasan buatan masih belum masuk ke dalam beleid tersebut.
Selain kurang menyoroti praktik penyadapan ilegal, RUU PDP juga disebutnya berupaya mengaburkan isu identifikasi otomatis seseorang dengan cara mengombinasikan data pribadi (profiling). Dalam catatan Damar, pada RUU PDP yang beredar pada April 2019, penyalahgunaan profiling memiliki pasalnya sendiri beserta dengan sanksinya. Tapi, hal tersebut hilang dalam beleid terakhir.
Dalam rancangan terakhir, profiling dianggap sebagai data pribadi yang bersifat umum, seperti yang dicantumkan dalam pasal 3 ayat 2e. Profiling sendiri hanya dapat dihentikan apabila warga mengajukan keberatan, seperti yang tertuang dalam pasal 10.
Namun, Damar menilai bahwa hal tersebut tidak cukup.
ADVERTISEMENT
"Nantinya data bersifat umum ini sedikit dilindungi bila dibandingkan dengan data pribadi bersifat spesifik," ujarnya.
"Terus terang dalam pandangan SAFEnet ini tidak cukup. Profiling harus termasuk dalam data pribadi bersifat spesifik, bukan data pribadi bersifat umum, karena itu merupakan perlindungan penting dari upaya pengancaman diri seseorang dan pelindungan atas hak untuk berbuat atau tidak berbuat sesuatu," tegasnya.
Sementara Wahyudi bilang, RUU PDP mengandung ancaman-ancaman yang multitafsir. Contohnya bisa dilihat dalam pasal 62 dan 63 yang mengatur ketentuan mengenai pemantauan visual.
"Nah, pemantauan visual dikatakan hanya bisa dilakukan oleh aparat penegak hukum dan keamanan. Ketika itu dilakukan oleh bukan penegak hukum dan keamanan, bisa dikenakan tindakan pidana ketika terjadi pemrosesan data pribadi dari hasil pemantauan visual," jelas Wahyudi. "Ada beberapa hal yang masih multitafsir dan perlu diperbaiki rancangan undang-undang ini."
ADVERTISEMENT
Tanggapan Kominfo
"Dari hasil DIM-nya para fraksi, nanti akan ada rapat kerja, pandangan umum fraksi. Kita hargai saja proses di DPR," kata Ferdinandus, saat ditemui di gedung Kominfo, Jakarta, Jumat (28/2).
