Tentang KamiPedoman Media SiberKetentuan & Kebijakan PrivasiPanduan KomunitasPeringkat PenulisCara Menulis di kumparanInformasi Kerja SamaBantuanIklanKarir
2025 © PT Dynamo Media Network
Version 1.102.2
Konten dari Pengguna
UU Pelindungan Data Pribadi: Riwayatmu Kini
27 April 2025 13:33 WIB
·
waktu baca 6 menit
Tulisan dari Mohamad Hanibaldi tidak mewakili pandangan dari redaksi kumparan
PerbesarADVERTISEMENT
UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) disahkan DPR pada 20 September 2022, diundangkan oleh Presiden dalam Lembaran Negara pada 17 Oktober 2022. Ini langkah strategis untuk menjamin kehadiran Negara dalam melindungi data pribadi masyarakat. Namun, sudah lewat dua tahun sejak UU tersebut disahkan, Lembaga yang diperintahkan untuk dibentuk belum juga tampak hilalnya.
ADVERTISEMENT
Lantas, apa pentingnya Lembaga PDP itu? Apa penyebab Lembaga PDP itu tidak juga kunjung dibentuk sementara Lembaga PDP itu penting?
Pasal 58 UU PDP tegas memerintahkan Lembaga Pelindungan Data Pribadi dibentuk melalui Peraturan Presiden (Perpres). Lembaga ini diamanatkan untuk mengawasi kepatuhan pelindungan data pribadi. Tanpa Lembaga tersebut, berpotensi menyebabkan stagnasi dalam fungsi pengawasan, kepatuhan, penegakan hukum, serta penyelesaian permasalahan apabila terjadi insiden pelanggaran privasi. Terlebih lagi, tanpa lembaga yang berwenang, tidak terdapat mekanisme yang jelas dan resmi untuk menjatuhkan sanksi administratif, memberikan peringatan, atau memfasilitasi pengaduan masyarakat.
Sementara itu, hilal dibentuknya Lembaga PDP masih belum terlihat mengingatpembentukan Lembaga sangat bergantung pada lebih dulu terbitnya Peraturan Pemerintah PDP (PP PDP). Apabila memeriksa situs www.pdp.id yang merupakan situs penginformasian publik terkait segala regulasi pelindungan data pribadi, lalu memeriksa kata kunci ‘detail progress’, maka akan ditemukan kenyataan bahwa RPP PDP masih mangkrak di tahapan ‘Harmonisasi’ sejak September tahun lalu. Padahal, setelah ‘Harmonisasi’, RPP PDP ini masih harus melewati tahapan ‘Finalisasi’ dan ‘Penetapan’.
ADVERTISEMENT
Mari mengukur urgensi Lembaga PDP dengan melakukan perbandingan terhadap dua negara di Asia yang relatif unggul dalam tatanan pelindungan data pribadi: Singapura dan Korea Selatan. Hasil perbandingan akan menyajikan fakta bahwa regulasi formal terkait pelindungan data pribadi di kedua negara itu secara ketat akan langsung diikuti dengan pembentukan Lembaga PDP. Sehingga, tidak ada penundaan yang berlarut-larut terjadi.
Korea Selatan
29 Maret 2011 Pemerintah Korea Selatan mengundangkan Personal Information Protection Act (PIPA), kemudian berlaku penuh pada 30 September 2011. Lantas, Protection Information Protection Commision (PIPC) -sama dengan Lembaga PDP- didirikan bersamaan dengan berlakunya PIPA, 30 September 2011. Merujuk Pasal 7 dan 8 PIPA, PIPC mengemban tugas pelindungan informasi pribadi; merumuskan dan melaksanakan kebijakan, sistem, dan rencana; menyelidiki dan mengeluarkan disposisi atas pelanggaran hak-hak privasi; menangani pengaduan dan melaksanakan prosedur perbaikan termasuk mediasi perselisihan; terlibat dalam pertukaran dan kerja sama internasional dengan organisasi privasi asing; melakukan penelitian mengenai hukum, kebijakan, sistem, dan praktik; pendidikan dan promosi kebijakan; mendukung penyebarluasan pengembangan teknologi; dan membina para ahli.
ADVERTISEMENT
Adapun struktur organisasi dari PIPC, yaitu terdiri dari total 9 (Sembilan) komisioner, yang ditunjuk atau ditugaskan oleh Presiden (Pasal 7-2 PIPA). Sebagai komisioner tetap, ketua dan wakil ketua ditunjuk oleh Presiden atas rekomendasi Perdana Menteri. Dua anggota lainnya diusulkan oleh ketua dan lima anggota lainnya direkomendasikan oleh kelompok negosiasi politik (2 (dua) dari partai yang berkuasa dan 3 (tiga) dari partai oposisi). Ketujuh anggota ini ditugaskan oleh Presiden.
Pada 26 Juli 2016, PIPC memperkuat organisasi dan personil di dalamnya sebagai tanggapan atas meningkatnya kebutuhan untuk memperkuat fungsi pelindungan privasi. Penilaian faktor risiko privasi dan mediasi sengketa privasi turut ditambahkan dalam fungsi organisasi.
Pada 4 Februari 2020, dilakukan amandemen pertama terhadap PIPA dan mulai berlaku pada 5 Agustus 2020. Amandemen ini memasukan pengaturan lebih lanjut atas pemrosesan data pseudonim dan anonim sambil menerapkan persyaratan, batasan, dan hukuman baru.
ADVERTISEMENT
Pengaturan penting lainnya yang lahir dari amandemen ini adalah pelimpahan semua masalah pelindungan data ke tangan PIPC di bawah naungan Komisi Pelindungan Informasi Pribadi.
Sehingga PIPC merupakan otoritas pengawas independen yang bertanggung jawab untuk melakukan investigasi dan rekomendasi privasi data serta mengelola dan menegakkan PIPA dengan tanggung-jawab pelaporan bersifat langsung kepada Perdana Menteri.
Pada 6 Januari 2021, PIPC mengajukan amandemen tambahan terhadap PIPA, antara lain, memperkuat hak-hak subjek data dengan memperkenalkan hak atas portabilitas data. Lebih rinci, subjek data dapat meminta pemindahan informasi pribadi sensitif mereka kepada diri mereka sendiri atau pihak ketiga yang memenuhi syarat. Ini juga mencakup hak untuk dikecualikan dari pengambilan keputusan otomatis, sehingga memberdayakan subjek data untuk mengajukan keberatan, menolak, atau menggugat keputusan dari sistem pengambilan keputusan otomatis.
ADVERTISEMENT
Kemudian, PIPC mengusulkan untuk menggantikan sanksi pidana dengan hukuman yang lebih bersifat administratif (denda), kecuali untuk pelanggaran tertentu yang baru diperkenalkan seperti menghalangi penyidikan dan terkait menambah persyaratan untuk mentransfer informasi pribadi yang sensitif ke luar negeri dengan dasar hukum tambahan. Pada 27 Februari 2023, proposal amandemen yang diajukan PIPC tersebut disahkan menjadi undang-undang dan mulai berlaku pada 15 September 2023.
Singapura
Singapura mengesahkan Personal Data Protection Act (PDPA) pada 15 Oktober 2012. Pelaksanaan PDPA secara keseluruhan baru dilakukan pada tahun 2014. Dalam masa tunggu menjelang tahun 2014 diberlakukannya PDPA secara penuh, Pemerintah Singapura secara sadar mahfum dengan arti penting membentuk Lembaga PDP. Pada 2 Januari 2013, Singapura membentuk Personal Data Protection Commission (PDPC), alias Lembaga PDP.
ADVERTISEMENT
Komisi ini ditempatkan di bawah naungan Info-communications Media Development Authority (IMDA) yang didirikan pada tahun 2016, semacam Komdigi meski tidak sama dengan Komdigi, dengan tetap mempertahankan posisi independennya ketika menjalankan fungsi pengawasan dan penegakan hukum pelindungan data.
Pada 2 Juli 2014, ketentuan inti PDPA diberlakukan penuh. Butir-butir penting dalam pengaturan di dalamnya seperti kepatuhan dalam pengumpulan, penggunaan, pengungkapan, serta penyimpanan data pribadi, lalu terkait hak individu atas akses dan koreksi data pribadi miliknya sudah berlaku penuh. Sejak saat itu, PDPC juga telah menjalankan fungsi penegakan hukum secara penuh, termasuk melakukan investigasi dan menjatuhkan sanksi administratif terhadap pelanggaran.
Menunda Keadilan Pelindungan Data adalah Ketidakadilan
Dalam Ilmu Hukum terdapat adagium ‘justice delayed is justice denied’. Adagium ini tentu dapat beroperasi pula dalam mendekati realitas mangkraknya tindak lanjut UU PDP meski dalam UU PDP itu sendiri telah eksplisit (lex certa) mengamanaatkan sejumlah perintah untuk dipatuhi oleh regulator. Menuntut kepatuhan regulator -sebagai lembaga negara yang sui generis berkewenangan menuntut kepatuhan masyarakat luas atas UU Pelindungan Data Pribadi ini- tentu saja tidak berlebihan, lagipula proporsional.
ADVERTISEMENT
Dua tahun telah diberikan waktu oleh UU PDP sebagai waktu bersiap. Jika dalam dua tahun ini sejumlah perintah undang-undang tidak dijalankan juga, maka tentu saja ini bentuk dari menunda keadilan pelindungan data pribadi. Korea Selatan dan Singapura dapat menjadi preseden bagaimana rapatnya tenggat keberlakuan regulasi pelindungan data pribadi di sana dengan dibentuknya Lembaga PDP.
Oleh karena itu, demi mewujudkan kepastian hukum bagi subjek data pribadi di negara Indonesia, proses ‘Harmonisasi’ di tubuh regulator perlu didorong lebih cepat. Jika RPP PDP ini telalu lama parkir di tahapan ‘Harmonisasi’ maka tidak berlebihan jika publik membaca fenomena ini sebagai fenomena terdapatnya banyak kepentingan yang ingin dimasukkan tetapi belum dapat “diharmoniskan”.