Analisis Hukum RUU Perlindungan Data Pribadi (PDP)

Jakarta, law-justice.co - Akhir-akhir ini ancaman kebocoran data pribadi kian mengemuka dengan semakin  berkembangnya sektor e‐commerce di Indonesia. Gerakan 1000 Start Up yang diluncurkan oleh Presiden Joko Widodo, sebagai salah satu pilar dalam pengembangan ekonomi digital, setidaknya telah berhasil mendorong tumbuhnya empat startup Unicorn yang berasal dari Indonesia: Go‐Jek, Tokopedia, Traveloka, dan Bukalapak adalah sebagian diantaranya. 

Tumbuhnya startup digital ini juga telah memicu pengumpulan data pribadi konsumen secara besar‐besaran, tidak hanya data pribadi, tetapi juga data perilaku (belanja/aktivitas) dari konsumennya.

Mengacu pada term of services sejumlah e‐commerce di Indonesia, mereka mengumpulkan data pribadi konsumen yang menjadi targetnya. Bahkan, hampir semua aplikasi bila ingin dijalankan oleh calon penggunanya maka akan memaksa user-nya untuk memberikan akses ke data lainnya, misalnya akses identitas diri, daftar kontak, lokasi, SMS, foto/media/file dan lain lainnya.

Sehingga, bila user betul-betul ingin menjalankan aplikasi tersebut tidak memiliki pilihan kecuali harus menyetujui akses terhadap data-data tersebut untuk diberikan kepada pihak yang memintanya. Sayangnya, belum ada UU Perlindungan Data Pribadi berakibat pada tidak adanya standarisasi prinsip perlindungan data.

Disisi lain pengetahuan masyarakat mengenai privasi data pribadi ini masih sangat kurang, beberapa orang tidak sadar melakukan hal-hal yang sangat beresiko terjadinya pembocoran data seperti membuat akun sosial media untuk anaknya yang baru lahir, hal itu sangat rentan dalam penggunaan foto, data oleh seseorang yang tidak bertanggung jawab.

Beberapa kasus sempat mencuat terjadi pada bulan mei 2020 yang lalu, dimana tokopedia, salah satu website online shop terbesar di Indonesia, dibobol oleh seorang hacker yang mengakibatkan bocornya data  91 juta data penggunanya. Data yang berhasil dibobol adalah seperti nama pengguna, alamat e-mail, nomor telepon dan lain lainnya.

Meski peretas tidak mendapatkan data yang berkaitan dengan keuangan, namun peretas ini dapat menjual datanya seharga $5000 dollar atau 70 juta rupiah dalam darkweb, karena peretas tahu bahwa data pribadi bisa digunakan untuk bermacam-macam penipuan online yang akhir akhir ini marak terjadi di Indonesia.

Selain kasus diatas, pernah terjadi data pribadi milik Dinas Kependudukan dan Pencatatan Sipil (Dukcapil) di bawah Kementerian Dalam Negeri pernah dijual dengan berbagai harga dan dengan paket yang bisa disesuaikan di situs friendmarketing.com. 

Menurut laporan berita, tersangka yang ditangkap ditemukan memiliki data dari 50.854 keluarga, termasuk 1.162.864 Nomor Induk Kependudukan (NIK), 761.435 nomor telepon seluler, 129.421 nomor kartu kredit dan 64.164 nomor rekening (VOI, 2020).

Menurut International Business Machines Corporation (IBM), kerugian yang  terjadi akibat pembobolan data mencapai angka 3.86 miliar dollar atau 44 trilliun rupiah per tahunnya. Tentu saja pembobolan data pribadi tidak boleh berlangsung terus menerus tanpa adanya upaya untuk bisa melindunginya.

Perlindungan Data Pribadi di Indonesia

Indonesia sebagai negara modern tentu memerlukan teknologi dan informasi dalam mengikuti perkembangan ekonomi. Informasi mengenai individu selalu dikelola oleh pemerintah dan swasta, tetapi munculnya era komputer menciptakan ancaman yang lebih besar bagi privasi individu tersebut, serta kemungkinan individu menderita kerugian sebagai akibat dari ketidaktelitian atau pembocoran informasi akan jauh lebih besar.

Kemajuan teknologi dan informasi yang pesat ini juga memberi dampak negatif, salah satunya ialah pelanggaran terhadap data pribadi dan keamanan informasi. Era digital yang tengah berlangsung ini telah memicu ledakan pertumbuhan data pribadi  yang dibuat, disimpan dan ditransmisikan pada komputer, situs internet, bahkan sosial media.

Namun ternyata dalam praktiknya, telah terjadi banyak pelanggaran yang dilakukan baik oleh pemerintah maupun pihak swasta, sehingga diperlukan pengaturan perlindungan data pribadi untuk mencegah terjadinya penyalahgunaannya. 

Sejatinya, sudah menjadi tugas negara untuk melindungi masyarakat dalam menghadapi permasalahan tersebut sebagaimana termaktub dalam konstitusi kita pada: Pasal 28 G ayat (1): “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”

Selain itu secara mendasar diatur pula pada  Pasal 28 H ayat (4):“Setiap orang berhak mempunyai hak milik pribadi dan hak milik tersebut tidak boleh diambil alih secara sewenang–wenang oleh siapa pun”

Meskipun sudah ada ketentuan dasar tentang perlindungan data pribadi di Indonesia namun implementasinya masih belum memenuhi kebutuhan yang ada.Saat ini  aturan implementasi mengenai perlindungan data pribadi di Indonesia masih lemah dan bersifat umum karena aturannya termaktub dalam beberapa peraturan perundang-undangan yang terpisah dan bersifat sektoral.

Beberapa aturan perundang-undangan yang terpisah tersebut antara lain terdapat dalam Undang- Undang-Undang Nomor 43 Tahun 2009 tentang Kearsipan, Undang-Undang Nomor 8 Tahun 1997 tentang Dokumen Perusahaan, Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan, Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan, Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi (UU Telekomunikasi), dan Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan Atas Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (UU Adminduk).

Selain itu terdapat pula pengaturannya terdapat pula pada  Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). Pada umumnya beberapa ketentuan dalam Undang Undang tersebut hanya mengatur bagian bagian tertentu saja terkait dengan perlindungan data pribadi sebagai contoh perlindungan data pribadi diatur dalam beberapa pasal di UU ITE. 

UU ITE belum memuat aturan perlindungan data pribadi secara tegas dan komprehensif. Meskipun demikian, secara tidak langsung Undang-undang ini melahirkan pemahaman baru mengenai perlindungan terhadap keberadaan suatu data atau informasi elektronik baik yang bersifat umum maupun pribadi. 

Perlindungan data pribadi dalam sebuah sistem elektronik di UU ITE meliputi perlindungan dari penggunaan tanpa izin, perlindungan oleh penyelenggara sistem elektronik, dan perlindungan dari akses dan interferensi ilegal.

Dengan demikian UU ITE masih sangat tidak signifikan dalam mengatur penggunaan data pribadi karena pasal yang ada dalam UU ITE tersebut hanya merupakan ketentuan umum dan tidak menjelaskan berbagai isu masalah yang banyak di bicarakan di level internasional saat ini.

Jadi dapat dipahami berdasarkan deskripsi di atas bahwa aturan berkenaan dengan Perlindungan Data Pribadi Indonesia masih bersifat umum dan terletak terpisah-pisah dalam beberapa aturan undang-undangan yang ada

Untuk menjembatani persoalan ini,Pemerintah melalui Kementerian Komunikasi dan Informasi (Kemenkominfo) telah berusaha membuat ketentuan hukum yaitu dengan dikeluarkannya Peraturan Menteri Kominfo (Permen Kominfo) Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

Permen PDP ditetapkan 7 November 2016, diundangkan dan berlaku sejak 1 Desember 2016 yang lalu. Ruang lingkup Permen PDP ini mencakup perlindungan terhadap perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan data pribadi, sebagaimana yang diatur dalam Pasal 2 ayat (1) Permen PDP.

Landasan dari dikeluarkannya  Permen ini adalah untuk memberikan penghormatan terhadap data pribadi sebagai privasi seseorang. Privasi yang dimaksudkan disini, merupakan hak pemilik data pribadi untuk menyatakan boleh atau tidaknya data pribadi miliknya untuk diketahui dan diakses pihak-pihak yang bersangkutan, selama diatur oleh peraturan perundang-undangan. 

Hal ini tak lain bertujuan untuk memberikan kenyamanan dan kepercayaan dari pemilik data pribadi ketika data tersebut bocor. Meskipun telah adan Permen tentang PDP ternyata masih banyak lingkup dalam Perlindungan Data Pribadi yang belum terakomodir dalam pengaturannya. Terutama di jenis-jenis data pribadi yang tidak disebutkan dalam peraturan tersebut. 

Dalam perjalanannya pelaksanaan dari Permen PDP tersebut memang tidak efektif karena masih banyak permasalahan yang belum diatur didalamnya.Permen PDP terbukti hanya menggambarkan konsep perlindungan data pribadi secara general saja. 

RUU Perlindungan Data Pribadi

Belum adanya peraturan yang mengatur secara komprehensif mengenai perlindungan data pribadi telah mendorong pemerintah melalui Kominfo untuk menyusun RUU Perlindungan Data Pribadi. RUU PDP dinilai sangat penting untuk melindungi hak warga Negara, sehingga RUU PDP sudah mulai diusulkan sejak tahun 2014 yang lalu. 

Sejak mulai dibicarakan tahun 2014, pembahasan RUU PDP sudah ditarget untuk bisa dirampungkan  sebelum berakhirnya periode DPR RI 2014-2019 namun target ini ternyata tidak tercapai dan RUU PDP belum berhasil disahkan. Pada tahun 2020, RUU PDP masuk Prolegnas untuk segera diselesaikan pembahasannya, namun pada kenyataannya  masih belum kelar juga.

Memasuki tahun 2021, RUU PDP kembali dimasukkan kedalam salah satu RUU Prolegnas 2021.Rapat paripurna DPR RI hari Selasa (23/3/2021) telah mengesahkan 33 RUU yang masuk Prolegnas Prioritas tahun 2021, dimana salah satunya adalah RUU Perlindungan Data Pribadi (PDP) 

Menurut anggota Komisi I DPR RI Fraksi Golkar, Bobby Rizaldy, UU PDP nanti tidak hanya mengatasi masalah kebocoran data di platform digital. "Yang banyak diperdebatkan di publik tentang UU PDP ini adalah platform digital. Padahal trafik di platform digital itu hanya bagian dari UU PDP," kata Bobby dalam program Sapa Indonesia sebagaimana dikutip  KompasTV, Selasa (23/3/2021). 

Adapun ujuan utama daripada RUU  PDP  adalah melindungi hak warga terkait data pribadi mereka supaya tidak digunakan di luar keinginan atau kewajiban mereka baik oleh pihak swasta maupun pemerintah.

Perlindungan tersebut memungkinkan setiap warga bisa mengetahui tujuan pengumpulan data pribadi, apakah akan dijual ke pihak ketiga? Mereka pun akan diberi pilihan untuk bisa menolaknya. Selain itu, warga bisa meminta perusahaan menghapus data pribadi yang sudah diberikan.

RUU PDP menjadi salah satu rancangan undang-undang yang pengesahannya sangat dinantikan masyarakat. Apalagi setelah beberapa kasus bocornya data pengguna di berbagai platform dan lembaga pemerintah yang beruntun terjadi tahun lalu.

RUU Perlindungan Data Pribadi,materinya kurang lebih mengadopsi materi‐materi yang ada pada EU GDPR (Europian Union-General Data Protection Regulation atau Regulasi Perlindungan Data) adalah regulasi dalam hukum Uni Eropa (UE) yang mengatur perlindungan data pribadi di dalam maupun di luar Uni Eropa)

RUU PDPt erdiri dari 15 Bab dan 74 Pasal. RUU ini mengatur mulai dari Ketentuan Umum, Jenis Data Pribadi, Hak Pemilik Data Pribadi, Pemrosesan Data Pribadi, Kewajiban Pengendali dan Prosesor Data Pribadi dalam Pemrosesan Data Pribadi, Transfer Data Pribadi, Larangan dalam Penggunaan Data Pribadi, Pembentukan Pedoman Perilaku Pengendali Data Pribadi, Penecualian Terhadap Perlindungan Data Pribadi, Penyelesaian Sengketa, Kerja Sama Internasional, Peran Masyarakat, Ketentuan Pidana, Ketentuan Peralihan, dan Ketentuan Penutup.

Dikatakan di dalamnya, “Undang‐Undang ini berlaku untuk setiap Orang, Badan Publik, Pelaku Usaha, dan organisasi/institusi yang melakukan perbuatan hukum sebagaimana diatur dalam Undang‐Undang ini, baik yang berada di wilayah hukum Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di wilayah hukum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan kepentingan Indonesia”.

Dalam RUU ini, data pribadi ditafsirkan sebagai: “setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non elektronik”. 

Data pribadi dibedakan menjadi dua kategori: data pribadi yang bersifat umum, dan data pribadi yang bersifat spesifik (sensitive). Sayangnya dalam rancangan ini, tidak disebutkan dengan detail mengenai jenis‐jenis data pribadi yang masuk dalam kualifikasi spesifik/sensitive, hanya dikatakan ditetapkan sesuai dengan peraturan perundang‐undangan. Penerapan UU ini akan mengikuti asas extra‐teritorial jurisdiction. 

Adapun jenis-jenis data pribadi menurut Pasal 3 RUU Perlindungan Data Pribadi antara lain:

1. Data Pribadi yang bersifat umum; dan
2. Data Pribadi yang bersifat spesifik.
3. Data Pribadi yang bersifat umum sebagaimana dimaksud pada ayat (1) huruf a meliputi:
4. nama lengkap;
5. jenis kelamin;
6. kewarganegaraan;
7. agama; dan/atau
8. data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
9. Data Pribadi yang bersifat spesifik sebagaimana dimaksud pada ayat (1) huruf b meliputi:
10. data dan informasi kesehatan;
11. data biometrik;
12. data genetika;
13. kehidupan/orientasi seksual;
14. pandangan politik;catatan kejahatan;
15. data anak;
16. data keuangan pribadi; dan/atau
17. data lainnya sesuai dengan ketentuan peraturan perundang undangan.

Transfer data dimungkinkan dilakukan baik di dalam negeri, maupun keluar negeri, dengan sejumlah persyaratan. Jika di dalam negeri, data controller dan data processor harus memastikan perlindungan terhadap data‐data pribadi tersebut, sesuai dengan ketentuan peraturan perundang‐undangan. 

Sementara jika data transfer dilakukan keluar Indonesia, pengendali data harus terlebih dahulu meminta dan memperoleh persetujuan tertulis dari Pemilik Data Pribadi untuk mentransfer Data Pribadi yang diprosesnya kepada pihak ketiga di luar wilayah hukum Indonesia. 

Selain itu, transfer data pribadi keluar negeri, juga hanya dimungkinkan jika: (a) negara atau organisasi internasional tersebut memiliki tingkat pelindungan Data Pribadi yang setara atau lebih tinggi dari UU ini; (b) terdapat kontrak antara Pengendali Data Pribadi dengan pihak ketiga di luar wilayah Indonesia dengan memperhatikan aspek pelindungan Data Pribadi; dan/atau (c) terdapat perjanjian internasional antarnegara.

Pengguna data pribadi memiliki kewajiban untuk menjaga kerahasiaan data pribadi yang diperoleh, dikumpulkan, diolah, dan dianalisisnya. Juga wajib menggunakan data pribadi sesuai kebutuhan pengguna saja, serta melindungi data pribadi beserta dokumen yang memuat data pribadi serta bertanggung jawab atas data pribadi yang terdapat dalam penguasaannya.

Beberapa poin penting dalam RUU PDP yaitu kedaulatan data, perlindungan terhadap pemilik data pribadi sekaligus hak-haknya, dan kewajiban pengguna data pribadi.  Dengan demikian, berbagai penyimpangan, penyalahgunaan, dan kesewenangan penggunaan data pribadi bisa diberi sanksi. 

Kebocoran data yang dialami pengguna Facebook tahun lalu menjadi dasar atau menjadi pukulan bagi pemerintah Indonesia agar secepatnya mengesahkan undang-undang yang mengatur mengenai hal ini. Maka dari itu dapat disimpulkan bahwa perlindungan data pribadi di Indonesia belum maksimal, butuh regulasi yang benar-benar mengatur secara tegas agar bisa menghindari kebocoran data

Mengingat begitu berharganya data, berikut adalah beberapa manfaat jika nantinya RUU PDP ini telah berhasil disahkan berlakunya, antara lain :

Pertama, adanya jaminan  hukum dan regulasi  untuk perlindungan data pribadi. Dalam hal ini perusahaan-perusahaan akan diwajibkan untuk  melaksanakan serta memenuhi standar teknologi terkait keamanan dan privasi data.

Payung hukum yang jelas sangat dibutuhkan untuk memastikan bahwa perusahaan fintech mengelola data yang mereka peroleh untuk manfaat para penggunanya dan memastikan terdapat langkah keamanan untuk melindungi data tersebut.

Kedua, perumusan dan pengesahan RUU PDP ini akan membantu fintech dari aspek legal dan kepatuhan. Dengan kejelasan hukum yang hadir dari RUU PDP, akan meningkatkan kepercayaan konsumen kepada layanan fintech karena munculnya suatu payung hukum terhadap perlindungan data konsumen. 

Konsumen menginginkan agar persetujuan atas penggunaan data pribadi mereka bersifat jelas dan transparan, sehingga mereka memercayakan data mereka kepada perusahaan fintech atas keyakinan bahwa data tersebut akan terutilisasi untuk suatu tujuan yang bermanfaat bagi pengalaman konsumen.

Ketiga, RUU PDP akan membawa dampak positif terhadap aspek bisnis dari industri fintech itu sendiri. Dengan keberadaannya suatu kerangka legal yang jelas dan diberlakukan, hal tersebut akan membangkitkan sektor jasa keuangan, terutama di masa pandemi saat ini, dimana semuanya akan terdigitalisasi.

Selain manfaat tersebut, dengan disahkannya RUU PDP, warga berhak memilih informasi apa saja yang bisa dikumpulkan oleh laman atau aplikasi internet, berhak menghapus data pribadi yang disimpan oleh perusahaan atau perpanjangannya dan diharapkan mampu melindungi warga ketika bersengketa dengan perusahaan besar

Pengaruh lain yang bakal dialami langsung oleh warga adalah ketika menuntut hak-hak mereka saat berinteraksi dengan pengendali data seperti media sosial, marketplace, seperti Tokopedia dan Shopee, lalu aplikasi multiguna seperti GoJek, aplikasi game, hingga badan publik yang mengumpulkan data kependudukan.

Dalam relasi kuasa yang tidak imbang itu, warga bisa saja dirugikan dengan besarnya potensi pelanggaran yang dilakukan perusahaan-perusahaan besar di atas.Hal ini tentunya membutuhkan tindakan tegas, adil, dan transparan dari otoritas negara.

Pengalaman GDPR membuktikan, denda yang besar tapi terukur menjadi penekan pengendali data untuk ekstra hati-hati saat memanfaatkan data digital warga. Salah satu denda terbesar di bawah GDPR adalah yang diberikan regulator di Prancis kepada Google sebesar 50 juta euro atau sekitar Rp 858 miliar.

Dengan demikian posisi RUU PDP sangat penting, selain sebagai payung hukum untuk pertumbuhan e-commerce kedepannya, RUU PDP ini sangat penting bagi masyarakat dan negara. RUU PDP adalah cara bagaimana kita mendesain negara hukum yang dianggap setara dengan perlindungan data di negara lain. 

Diharapkan kelak dengan adanya Undang-undang Perlindungan Data Pribadi di Indonesia dapat melindungi data masyarakat Indonesia namun tidak menutup ruang gerak untuk terus berinovasi. Jika Indonesia gagal mengesahkan UU PDP ini secara memadai, kita bisa dianggap tidak serius oleh pemerintah luar negeri maupun raksasa teknologi global, sehingga mereka pun bisa menyepelekan kedaulatan data kita.

Karena itu, Indonesia memerlukan komitmen politik dan anggaran besar dari pemerintah dan DPR untuk membangun lembaga otoritas yang independen. Yang dipertaruhkan adalah data pribadi 270 juta penduduk yang bernilai mahal dan strategis. Jadi untuk melindunginya negara harus memiliki lembaga yang kuat dalam aspek hukum dan sumber daya manusianya  menyerupai Komisi Pengawas Persaingan Usaha atau Komisi Pemberantasan Korupsi.

Analisis Hukum

Sebagaimana dikemukakan diatas, belum adanya peraturan yang mengatur secara komprehensif mengenai perlindungan data pribadi telah mendorong pemerintah melalui Kominfo untuk menyusun RUU PDP. Pentingnya kehadidran  UU PDP  sebenarnya sudah disadari sejak lama sehinga pembicaraan soal RUU PDP ini sudah terjadi  sejak tahun 2014 yang lalu. 

Namun proses pembahasan RUU PDP tersebut sangat panjang dan berliku sehingga sampai sekarang masih belum juga disahkan pemberlakuannya. Selain masalah masalah teknis yang berkaitan dengan soal prosedur formal pembuatan Undang Undangnya, RUU PDP juga tersendat pengesahannya karena secara substansi ada beberapa bagian yang masih menjadi perdebatan.

Salah satu perdebatan yang mengemuka adalah terkait dengan soal Pengendalian Data.Hal-hal yang dinilai penting terkait dengan hal ini antara lain yang berhubungan dengan ketentuan tentang pihak-pihak mana saja yang boleh mengendalikan atau menyimpan data pribadi, dan juga berapa lama data pribadi bisa dikelola.Apa yang terjadi kalau ada kebocoran data pribadi dan sebagainya. 

Dalam kaitan dengan hal tersebut, RUU PDP membuka akses pemerintah ke data pribadi RUU PDP memberikan pengecualian di mana persetujuan pemilik data tidak dibutuhkan untuk diakses data pribadinya ketika terkait masalah:

1. pertahanan dan keamanan nasional
2. proses penegakkan hukum 
3. pengawasan sektor jasa keuangan 
4. stabilitas sistem aturan moneter, pembayaran, dan keuangan 
5. kepentingan masyarakat dalam administrasi negara

Namun demikian tidak dijelaskan lebih lanjut mengenai batasan dan mekanisme dalam pengecualian tersebut, termasuk tidak adanya mandat pembentukan peraturan teknis untuk mengatur pengecualian. Hanya dikatakan, “pengecualian dilaksanakan hanya dalam rangka pelaksanaan ketentuan undang‐undang dan/atau perjanjian internasional yang telah diratifikasi”.

Hal yang belum sama sekali diatur dalam RUU ini adalah terkait dengan pembentukan lembaga yang berfungsi sebagai regulator, pengawas, dan pengendali (independent regulatory body), atau sebuah komisi perlindungan data pribadi. 

Tugas pengawasan ini justru diserahkan kepada pemerintah, sesuai dengan sektornya masing‐masing, dengan berkoordinasi kepada Menteri Komunikasi dan Informatika. Ini berarti Kementerian Dalam Negeri akan mengawasi data pribadi yang terkait dengan kependudukan, OJK akan mengawasi data pribadi yang terkait dengan keuangan dan perbankan, Kementerian Kesehatan akan mengawasi data pribadi yang terkait dengan rekam medis pasien, Kementerian Hukum dan HAM akan mengawasi data pribadi yang terkait dengan passport dan data‐data hukum lainnya, dan seterusnya.

Pada hal kita ketahui kalau lembaga atau institusi negara juga mempunyai ambisi politik, sehingga seharusnya lembaga pengawas terhadap RUU PDP bersifat independen. Sebab bila pengawasan dan pertanggungjawaban diserahkan kepada negara, misalnya Kementerian Komunikasi dan Informatika, akan ada potensi penyalahgunaan yang sangat besar. 

Negara bisa memantau perilaku masyarakatnya siapa saja, pergi kemana, suka beli apa, suka bicara apa, teman mainnya siapa, itu menjadi sangat rentan dan bahaya.Mengizinkan pemerintah untuk mengakses data pribadi masyarakat memiliki risiko penggunaan data untuk tujuan politik atau bahkan ekonomi (Greenleaf, 2017). 

Hal tersebut mungkin tidak akan terjadi pada masa administrasi pemerintahan yang ada sekarang, namun tetap membuka kesempatan bagi administrasi yang akan datang yang bisa mengambil informasi individu masyarakat tanpa persetujuan pemilik data. 

Mirip dengan RUU PDP, Pasal 23 dalam GDPR juga mengatur tujuan khusus di mana pemerintah negara anggota Uni Eropa dapat mengesahkan UU yang mengizinkan badan pemerintah untuk mengakses data pribadi. Dengan pembatasan bahwa UU tersebut “menghormati inti dari hak dan kebebasan dasar dan memang merupakan sebuah upaya yang diperlukan dan proporsional dalam komunitas yang demokratis” UU nasional dapat menggagalkan hak kerahasiaan data dalam hal pertahanan nasional dan keamanan umum, penegakkan hukum, moneter, isu anggaran dan perpajakan, kesehatan masyarakat dan jaminan sosial. 

Akan tetapi, pasal yang sama tersebut di dalam GDPR juga secara jelas menyatakan bahwa UU semacam itu harus merinci tujuan dari pemrosesan data, kategori data yang diakses, ruang lingkup pembatasan, pengamanan untuk mencegah penyalahgunaan dan akses yang melanggar aturan atau transfer data, periode penyimpanan data, hak pemilik data untuk diinformasikan tentang pembatasan, dll. (GDPR, 2018).

Dalam hal RUU PDP Indonesia, harus ada jaminan bahwa setelah pemerintah mengakses data pribadi, data tersebut tidak akan digunakan untuk tujuan lain yang tidak disebutkan sebelumnya dan tidak dibocorkan ke masyarakat. Pemerintah di banyak negara berupaya untuk melindungi kerahasiaan data pribadi. 

Pemerintah diwajibkan untuk memberikan alasan yang jelas ketika mau mengakses data pribadi. Dalam hal pertahanan dan keamanan nasional misalnya, harus ada keadaan mendesak sehingga pemerintah harus mengakses data pribadi seseorang. Selain itu  ada definisi dan batasan khusus yang mengatur akses pemerintah tersebut, yaitu yang mewajibkan transparansi tujuan pengecualian dan periode penyimpanan data.

Untuk menghindari adanya potensi penyelewengan RUU PDP seharusnya membentuk badan independen guna melindungi data pribadi yang berlaku sebagai pemegang wewenang pengawasan dalam proses pelaksanaan RUU PDP. Singapura, misalnya, telah membentuk 7 lembaga independen yang mengawasi masalah PDP, sesuai dengan UU yang berlaku di Singapura. 

Oleh karena itu, Personal Data Protection Commission (PDPC) Singapura bisa berlaku secara independen ketika mengawasi pengelolaan data pribadi oleh pemerintah dan lembaga swasta. Britania Raya juga telah melakukan penunjukkan penugasan dan kuasa untuk mengawasi kerahasiaan data kepada lembaga independen, yaitu Kantor Komisioner Informasi atau The Information Commissioner’s Office yang merupakan badan negara non-departemen yang melapor secara langsung kepada parlemen (Information Commissioner’s Office, 2018a).

Terlepas dari masih adanya serangkaian masalah terkait dengan substansi RUU PDP kiranya saat ini sudah mendesak munculnya urgensi untuk sesegera mungkin mengesahkan undang-undang yang di dalamnya memiliki ketentuan yang jelas melindungi data pribadi dan privasi warga negara Indonesia. 

Kita tidak dapat berpangku lagi kepada peraturan perundang-undangan yang terpecah belah dan tidak tentu kepastian hukumnya. Bila UU ITE disahkan atas dasar kesadaran maraknya kejahatan pada dunia cyber, maka UU Perlindungan data pribadi juga harus disahkan sesegera mungkin atas kesadaran yang sama atau bahkan lebih mendesak lagi.

Karena pada dasarnya data pribadi adalah identitas diri, yang keberadaanya merupakan hak konstitusional warga negara. Ketidakteraturan mengenai hal tersebut menyebabkan kerugian bagi warga negara yang hak terhadap privasinya dilangkahi oleh pihak yang menyimpan data pribadinya.

Melihat betapa banyaknya negara-negara yang telah menerapkan undang-undang serupa, maka Indonesia sebagai salah satu warga cyber terbesar di dunia, seharusnya sesegera mungkin menetapkan rancangan undang-undang yang serupa, menjadi peraturan perundang-undangan yang mengikat.

Semangat RUU PDP seharusnya ialah melindungi data. Namun, dalam draf RUU yang dapat diakses publik terlihat sebagian besar pasal masih fokus pada pemidanaan dan denda terhadap pelanggaran perseorangan. Bahkan, hukuman bagi korporasi yang melakukan tindakan melawan hukum hanya berupa denda dan sita. Padahal RUU PDP ini tidak hanya fokus pada data online, tetapi juga offline.