Di Balik RUU PDP yang Mangkrak

material-symbols:fullscreenPerbesar

Baca berita dengan sedikit iklan, klik di sini

Poin penting

Menteri Kominfo bertemu dengan sejumlah anggota DPR untuk membahas nasib RUU PDP.
Ada usul agar otoritas pengawas data pribadi dipegang lembaga lain, seperti BSSN.
Independensi pengawas data diperlukan untuk mengawasi bukan hanya swasta, tapi juga pemerintah.

DATANG seorang diri ke Hotel Mulia, Senayan, Jakarta, awal April lalu, Menteri Komunikasi dan Informatika Johnny Gerard Plate bertemu dengan tiga petinggi Dewan Perwakilan Rakyat. Hari itu ia bermaksud membahas nasib Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang mandek di Dewan.

Baca berita dengan sedikit iklan, klik di sini

Kepada Tempo, Ketua Komisi Informasi DPR Meutya Viada Hafid membenarkan isi persamuhan tersebut. “Kami bertemu secara informal untuk konsultasi,” ujar politikus Partai Golkar itu, Selasa, 19 April lalu. Meutya hadir bersama Wakil Ketua DPR Lodewijk Freidrich Paulus dan Wakil Ketua Komisi Informasi Abdul Kharis Almasyahari.

Baca berita dengan sedikit iklan, klik di sini

Menurut Meutya, dalam pertemuan itu Lodewijk menyampaikan bahwa pembahasan RUU Perlindungan Data Pribadi sudah terlampau lama. Rancangan aturan itu sudah dibicarakan bersama Komisi Informasi selama enam masa sidang Dewan atau sekitar dua tahun. Mandeknya pembahasan RUU itu bersumber pada lembaga pengawas perlindungan data pribadi.

Pemerintah dan DPR berbeda sikap soal institusi yang akan mengawasi entitas swasta atau otoritas publik yang mengumpulkan dan mengelola data pribadi penduduk. Menteri Johnny berkukuh agar otoritas perlindungan data berada di bawah struktur Kementerian Komunikasi dan Informatika (Kominfo). Sedangkan Komisi Informasi menginginkan pembentukan lembaga baru yang independen.

Lodewijk, kata Meutya, juga menyinggung hiruk-pikuk di publik yang menilai pemerintah dan DPR tak serius membahas RUU PDP. “Meski RUU ini inisiatif pemerintah, kredibilitas DPR juga dipertaruhkan,” ucap Meutya.

Sedangkan Abdul Kharis Almasyhari mengatakan pembahasan RUU PDP tak bisa diteruskan jika pemerintah ngotot mempertahankan otoritas pengawas data di bawah Kominfo. Namun ia memastikan Komisi Komunikasi akan mengajukan perpanjangan waktu pembahasan kepada pimpinan DPR jika sikap Johnny berubah.

Ketua Panitia Kerja RUU Perlindungan Data Pribadi ini juga menyinggung gelaran Konferensi Tingkat Tinggi G20 yang akan berlangsung di Bali, akhir tahun ini. Ia mengatakan tak pantas jika Indonesia selaku tuan rumah belum memiliki Undang-Undang Perlindungan Data Pribadi. Padahal transformasi digital menjadi salah satu topik prioritas pemerintah Indonesia, yang memegang presidensi G20.

Menteri Kominfo Johnny G. Plate bersama pimpinan Komisi I DPR RI dalam Rapat Kerja Pembicaraan Tingkat I mengenai RUU Pelindungan Data Pribadi di Gedung DPR RI, Senayan, Jakarta, September 2020. kominfo.go.id

Menurut Kharis, Johnny setuju dengan pendapatnya dan melunak. “Menteri mau bergeser, otoritas pengawas tidak harga mati harus di bawah Kementerian Kominfo,” ujar politikus Partai Keadilan Sejahtera ini kepada Tempo, Jumat, 22 April lalu.

Adapun Meutya Hafid menilai pertemuan itu telah menghasilkan titik temu untuk memecah kebuntuan. Nantinya, keputusan soal lembaga pengawas diserahkan kepada Presiden Joko Widodo. “Silakan pemerintah mau menunjuk lembaga mana yang dianggap pas atau membentuk lembaga baru,” kata Meutya.

Kharis mengimbuhkan, kesepakatan ihwal otoritas pengawas akan memperlancar pembahasan pasal-pasal lain dalam RUU PDP. Ia mengatakan RUU itu bisa diselesaikan pada masa sidang DPR mendatang, yang berlangsung Mei-Juni.

Dimintai tanggapan soal pertemuan tersebut, Menteri Komunikasi dan Informatika Johnny Gerard Plate enggan berkomentar. Ia menyatakan semua substansi RUU PDP akan dibicarakan dalam rapat panitia kerja. “Belum saatnya disampaikan di media,” tutur politikus Partai NasDem itu kepada Tempo, Jumat, 22 April lalu.

•••

MANDEKNYA pembahasan Rancangan Undang-Undang Perlindungan Data Pribadi terjadi di tengah maraknya kasus kebocoran data pribadi. Peristiwa itu bahkan menimpa Presiden Joko Widodo. Pada September 2021, sertifikat vaksin Covid-19 Presiden yang memuat nomor induk kependudukannya tersebar di media sosial.

Sebulan sebelumnya, sebanyak 1,3 juta data pengguna electronic health alert card atau e-HAC milik Kementerian Kesehatan juga bocor. Dua bulan setelah sertifikat vaksin Jokowi bocor, 28 ribu data personel Kepolisian RI diduga diretas. Belum lagi berbagai kasus rembesan informasi pribadi di sejumlah marketplace.

Saat peringatan Hari Hak Asasi Manusia Sedunia, 8 Desember 2021, Presiden memerintahkan Kementerian Komunikasi dan Informatika segera menuntaskan pembahasan RUU PDP. Jokowi mengatakan perlindungan data bagian tak terpisahkan dari hak asasi manusia dan melindungi masyarakat di tengah disrupsi digital. “Perlindungan data pribadi jadi perhatian serius pemerintah,” ujarnya.

RUU PDP diinisiasi oleh Kementerian Pendayagunaan Aparatur Negara dan Reformasi Birokrasi pada 2006, menyusul pengesahan Undang-Undang Administrasi Kependudukan. Proses penyusunannya lantas dilanjutkan Kementerian Komunikasi dan Informatika pada 2014.

Pada Januari 2020, Presiden mengirim surat presiden kepada DPR untuk memulai pembahasan RUU Perlindungan Data Pribadi. Namun target untuk segera mengesahkan hal ini meleset satu per satu. Sebab utamanya adalah kengototan pemerintah menempatkan otoritas pengawas data di bawah Kementerian Komunikasi.

Senyampang dengan kelambanan pengesahan RUU PDP, kasus kebocoran data pribadi terus bertambah. Saat konferensi pers “Mendigitalkan Indonesia: Retrospeksi Kominfo 2021 dan Outlook 2022” akhir tahun lalu, juru bicara Kementerian Kominfo, Dedy Permadi, mengklaim ada 43 kasus kebocoran data pribadi yang ditangani lembaganya. Kebocoran itu terjadi di pemerintahan dan swasta.

Menurut Dedy, sebanyak 19 di antaranya telah dijatuhi sanksi. “Berupa teguran tertulis hingga rekomendasi perbaikan sistem,” ujarnya pada akhir 2021. Adapun 24 kasus kebocoran data sisanya masih ditangani Kementerian. Dedy tak merespons pertanyaan Tempo ihwal perkembangan hasil investigasi Kementerian.

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan tak pernah ada laporan yang utuh kepada publik soal berbagai kebocoran data pribadi. Misalnya penyebab kebocoran, pemulihan terhadap subyek yang datanya bocor, dan rekomendasi agar kejadian serupa tidak terulang.

Menurut Wahyudi, maraknya kebocoran informasi, termasuk dari lembaga pemerintah, seharusnya melandasi perlunya otoritas perlindungan data pribadi independen. “Jika di bawah Kominfo, apakah mungkin ada proses yang akuntabel untuk menyelesaikan kebocoran itu?” kata Wahyudi kepada Tempo, Rabu, 20 April lalu.

Wakil Ketua Komisi Informasi DPR Abdul Kharis Almasyhari juga menyoroti independensi lembaga perlindungan data jika berada di bawah Kementerian Kominfo. Sebab, otoritas data pribadi akan ikut mengawasi data yang disimpan oleh pemerintah. “Kominfo menjadi regulator, operator hal teknis, terus pengawasnya dia juga?” tutur Abdul Haris.

Kharis mengusulkan agar kewenangan mengawasi data pribadi diserahkan ke lembaga lain seperti Badan Siber dan Sandi Nasional (BSSN). Jika saran ini disetujui, pemerintah tinggal merevisi peraturan presiden untuk memperkuat BSSN.

Juru bicara BSSN, Ariandi Putra, mengatakan otoritas pengawas data pribadi harus memiliki kapabilitas dan sumber daya untuk menjalankan tugas dan fungsinya. Ariandi menyatakan BSSN siap mendukung kebijakan pemerintah untuk melindungi data pribadi. “Kami siap melaksanakan segala amanat yang diberikan dan berkolaborasi dengan pihak terkait,” ujarnya.

Adapun anggota Komisi Pertahanan dari Partai NasDem, Muhammad Farhan, mengatakan bisa saja otoritas pengawas data berada di bawah kementerian. DPR tinggal membentuk dewan pengawas untuk mengawasi kinerjanya. Cara ini digunakan DPR yang membentuk Dewan Pengawas Intelijen untuk mengawasi Badan Intelijen Negara (BIN).

Independensi otoritas perlindungan data pribadi mengacu pada aturan umum perlindungan data atau general data protection regulation (GDPR) yang diterbitkan Uni Eropa pada 2018. Kerangka hukum ini mengatur panduan pengumpulan dan pemrosesan data dari orang-orang yang tinggal di Uni Eropa.

Wahyudi mengatakan otoritas independen menjadi indikator kesetaraan aturan perlindungan data pribadi di Indonesia dengan negara-negara lain. Misalnya untuk keperluan transfer data lintas negara atau cross border data flow, yang skemanya diatur dalam GDPR Uni Eropa. “Kesetaraan ini berpengaruh dalam pengembangan ekonomi digital di Indonesia,” tuturnya.

Anggota Komisi Informasi DPR, Bobby Adhityo Rizaldi, menduga pemerintah ingin meniru sistem yang berlaku di Singapura dan Malaysia. Di dua negara tetangga itu, otoritas perlindungan data pribadi berada di bawah kementerian. Namun kewenangan mereka memang hanya mengawasi sektor swasta, sedangkan lembaga pemerintah tak termasuk.

“Kita seperti mau mengadopsi GDPR, tapi soal kelembagaan mau meniru Malaysia dan Singapura. Jadi kayak gado-gado,” kata politikus Partai Golkar ini kepada Tempo, Rabu, 20 April lalu.

Bobby pun mengamini aturan perlindungan data penting untuk sektor ekonomi digital Indonesia. Apalagi jumlah pengguna Internet di Tanah Air, seperti dilaporkan We Are Social pada Januari 2022, mencapai 204,7 juta orang. Bobby mencontohkan, tanpa aturan proteksi data, pemerintah tak bisa menarik pajak dari transfer informasi data perilaku pengguna Internet.

Ketua Umum Asosiasi E-Commerce Indonesia (idEA) Bima Laga mengatakan undang-undang yang melindungi data pribadi sangat penting untuk mengawal perkembangan industri perdagangan elektronik. Ia mengatakan e-commerce kini bukan lagi sebatas jual-beli memanfaatkan teknologi, tapi sudah melibatkan sistem pembayaran.

Seperti kebanyakan fraksi di DPR, Bima mengusulkan lembaga perlindungan data bersifat independen. Otoritas independen itu diharapkan terdiri atas unsur pemerintah seperti Kementerian Komunikasi dan BSSN, serta non-pemerintah seperti pelaku bisnis atau asosiasinya. “Kami berharap pembahasan RUU PDP segera tuntas,” ujar Bima.