UU PDP Disahkan, Implementasinya Disebut Bakal Seperti `Macan Kertas`?

Jakarta, law-justice.co - Risiko kebocoran data disebut masih akan tetap terjadi meskipun DPR telah mengesahkan Undang-Undang Perlindungan Data Pribadi. Ini karena implementasi aturan baru tersebut, menurut pengamat, tidak bertaji alias tumpul.

Pasalnya sanksi yang dijatuhkan kepada instansi pemerintah lebih ringan ketimbang sektor swasta atau privat. Padahal data pribadi warga yang dikumpulkan lembaga pemerintah sangat banyak. Menanggapi persoalan itu, anggota Komisi 1 DPR Dave Laksono, menjamin tidak akan ada perlakukan berat sebelah.

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, menyebut UU perlindungan data pribadi yang baru saja disahkan DPR ini merupakan "capaian luar biasa" atas persoalan berulang terkait kebocoran data privasi di Indonesia. Di mana UU teranyar ini mengatur soal perlindungan data pribadi yang bersifat spesifik, kewajiban pengendali dan pemproses data, termasuk sanksi yang dijatuhkan. Sayangnya, kata dia, implementasi undang-undang ini berpotensi menjadi "macan kertas".

Pertama, karena lembaga pengawas data pribadi yang diamanatkan dalam UU tersebut berada di bawah kekuasaan presiden. Padahal tugas dan kewenangan mereka mengharuskan untuk tidak memihak atau independen dalam memeriksa hinga menjatuhkan sanksi kepada pihak pengelola. Sehingga yang dikhawatirkan penegakkan hukumnya akan lemah terutama kepada badan publik milik pemerintah. "Secara hukum meskipun memiliki kewenangan untuk memberikan sanksi tapi praktik politik dan ketatanegaraan menjadi sulit lembaga ini menjatuhkan sanksi kepada sesama institusi eksekutif," imbuh Wahyudi Djafar, dikutip dari BBC News Indonesia, Rabu (21/9/2022)

Kedua, sanksi yang diterapkan kepada badan publik milik pemerintah dan swasta/privat dinilai tidak adil. Pengamatan Elsam, bila terjadi pelanggaran oleh sektor pubik maka hukuman yang dikenakan hanya berupa sanksi administrasi seperti yang tercantum di pasal 57 ayat 2. Sedangkan sektor swasta/privat, bisa dijatuhi saksi administrasi, juga diancam dengan denda administrasi sampai dengan 2% dari total pendapatan tahunan, serta bisa diseret dengan hukuman pidana denda miliaran rupiah.

Padahal menurut Wahyudi, data pribadi warga yang dikumpulkan oleh sektor publik milik pemerintah sangat banyak. Ia mencontohkan data kependudukan yang dipegang Kementerian Dalam Negeri, data kesehatan yang dikelola Kementerian Kesehatan, atau data telekomunikasi yang berada di tangan Kementerian Komunikasi Informatika. Itu mengapa, baginya risiko penyalahgunaan maupun kebocoran data pribadi oleh institusi pemerintah masih akan terus terjadi. "Itulah yang kemudian menjadi sulit untuk memastikan kepatuhan dari badan publik sebagai pengendali data, ketika terjadi pelanggaran sulit memastikan ada tindakan hukum yang akuntabel terhadap lembaga atau kementerian tersebut."

Ketiga, lembaga pengawas data pribadi ini tidak dilengkapi dengan wewenang untuk memutus ganti rugi kepada korban kebocoran data atas adanya praktik pelanggaran. "Jadi meskipun kita bisa mengadu, tapi tidak bisa secara langsung mendapat ganti rugi melalui mekanisme mediasi. Karena lembaga ini tidak dimandatkan untuk menjalankan fungsi itu." "Kita bisa dapat ganti rugi ketika menggunakan mekanisme perdata di pengadilan yang panjang dan rumit prosesnya."

Agar lembaga ini bergigi, Wahyudi Djafar mendesak Presiden Jokowi memilih orang yang menguasai persoalan pengelolaan data. Selain itu sistem kepegawaiannya juga diisi oleh tenaga profesional. "Jangan sampai institusi pemerintah ini murni diisi oleh aparatur sipil negara, karena akan sulit operasionalnya," imbuhnya.

 

Tidak ada istilah berat sebelah, kalau salah harus tanggung jawab

Anggota Komisi 1 DPR, Dave Laksono, menampik anggapan jika UU perlindungan data pribadi menyasar pada satu pihak saja. Kata dia, baik instansi pemerintah maupun swasta diperlakukan sama. UU perlindungan data pribadi ini nantinya akan mengatur secara lebih rinci soal sanksi yang diberikan kepada badan publik milik pemerintah maupun privat.

"Undang-undang kan payung, aturan turunannya atau teknisnya akan dibuat dalam bentuk peraturan pemerintah atau keputusan menteri," ujar Dave Laksono.

"Jadi kalau ada kebocoran data di lembaga pemerintah ya lembaga itu yang bertanggung jawab, hukumannya apa? Bisa diusut pidana."

"Tidak ada istilah berat sebelah, kalau salah harus bertanggung jawab."

Kasus-kasus kebocoran data

Undang-Undang Perlindungan Data Pribadi telah lama didesak pengesahannya oleh kelompok masyarakat sipil. Sebab tanpa ada aturan ini, kasus-kasus kebocoran data tidak bisa ditindak dan terus berulang. Sepanjang tahun 2022 sampai sekarang saja, setidaknya sudah terjadi 10 kasus dugaan kebocoran data pribadi. Pada Januari 2022 misalnya, grup ransomware Conti diduga mencuri 228 GB data dari Bank Indonesia. Lalu pada bulan yang sama, terdapat dugaan kebocoran data catatan medis pasien di sejumlah rumah sakit di Indonesia. Data berukuran 720 GB itu dijual di forum online Raidforums.

Kemudian pada Agustus 2022, 17 juta data pelanggan PLN bocor dan dijual di situs breached.to dan baru-baru ini 1,3 miliar data pendaftaran atau resgistrasi kartu SIM di Indonesia diduga bocor dan dijual di forum yang sama. Peretas dengan identitas Peretas Bjorka mengklaim memiliki data yang meliputi nomor induk kependudukan, nomor telepon, nama operator seluler, dan tanggal registrasi. Kuasa hukum penggugat dugaan kebocoran data pribadi oleh pemerintah, Nelson Simamora, mengatakan UU ini adalah satu langkah maju untuk perlindungan data privasi. Sebab kini, masyarakat yang dirugikan bisa melapor.

"Misalnya kalau ada pinjaman online yang biasanya sebar-sebar data kita, atau menyedot data itu bisa diadukan," ujar Nelson kepada BBC News Indonesia. Karena itulah, dia mendesak pemerintah segera membuat aturan turunan dari UU tersebut. Berbarengan dengan itu, aparat penegak hukum maupun aparatur sipil negara yang bekerja di lembaga pemerintah harus diberi pemahaman soal tata cara mengelola data pribadi. "Harus mulai dilakukan itu diklat-diklat supaya mereka paham. Selama ini polisi mungkin tahunya KUHP atau UU ITE."