Baca berita dengan sedikit iklan, klik di sini
Poin penting
Koalisi masyarakat sipil memastikan adanya kekosongan hukum ataupun pasal yang berpotensi bertentangan dengan konstitusi.
Pelibatan publik dalam perumusan UU PDP dianggap masih minim.
Kedudukan lembaga penyelenggara pelindungan data pribadi di bawah Presiden dinilai miskonsepsi.
JAKARTA – Koalisi Advokasi Rancangan Undang-Undang Pelindungan Data Pribadi membuka peluang mengajukan judicial review Undang-Undang Pelindungan Data Pribadi (UU PDP) ke Mahkamah Konstitusi. Saat ini, gabungan sejumlah lembaga masyarakat sipil tersebut tengah mengkaji pasal-pasal dalam UU PDP.
Baca berita dengan sedikit iklan, klik di sini
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam)—yang tergabung dalam Koalisi—Wahyudi Djafar mengatakan Koalisi Advokasi RUU PDP tengah mendalami undang-undang tersebut untuk memastikan adanya kekosongan hukum ataupun pasal yang berpotensi bertentangan dengan konstitusi.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
"Itu yang kemudian akan menjadi dasar apakah proses advokasinya bisa dilanjutkan melalui mekanisme pengujian atau lainnya. Kami masih mencerna," kata Wahyudi, Kamis, 21 September 2022.
Ia mengatakan Koalisi Advokasi RUU PDP membutuhkan waktu untuk memahami substansi undang-undang tersebut. Sebab, Koalisi kesulitan mengikuti pembahasan akhir draf RUU PDP pada Juli-Agustus 2022 karena dilakukan secara tertutup. Kondisi itu membuat Koalisi ataupun publik kesulitan mencerna serta memaknai rumusan pasal yang disepakati DPR dan pemerintah.
Dua hari lalu, DPR mengesahkan RUU PDP menjadi undang-undang. Aturan ini terdiri atas 16 bab dan 76 pasal. Pengesahan undang-undang ini berlangsung di tengah masifnya kebocoran data pribadi dalam dua bulan terakhir. Misalnya data pribadi 17 juta pelanggan PT PLN; 26 juta data pelanggan IndiHome, penyedia jasa Internet milik Telkom Group; 1,3 miliar data registrasi kartu SIM; 85 ribu data pegawai Kementerian Hukum dan Hak Asasi Manusia; serta data anggota Badan Intelijen Negara (BIN) dan sejumlah surat BIN kepada Presiden Joko Widodo sepanjang 2019-2021. Akun anonim Bjorka-lah yang mengaku sebagai peretas data itu, lalu menjualnya di forum online.
Ketua Komisi I DPR RI Meutya Viada Hafid saat pengesahan RUU PDP dalam rapat kerja antara Komisi I DPR RI dengan Kementerian Kominfo, Kemendagri, serta Kementerian Hukum dan HAM (Kemenkumham), di Gedung Nusantara I, Senayan, Jakarta, 7 September 2022. dpr.go.id
Alia Yofira dari PurpleCode Collective menyebutkan pelibatan publik dalam perumusan UU PDP masih minim. Kondisi itu membuat muatan undang-undang tersebut mempunyai banyak celah, khususnya mengenai prosedur pembahasan dan substansi undang-undang. Pelibatan publik yang minim bisa menjadi pertimbangan mengajukan judicial review UU PDP ke Mahkamah Konstitusi.
Aturan yang Hilang dalam UU PDP
Wahyudi Djafar menilai muatan dalam UU PDP sudah mengacu pada standar tertinggi pelindungan data pribadi di dunia, yaitu European Union General Data Protection Regulation (EU GDPR). Namun ada beberapa bagian penting yang belum diakomodasi dalam undang-undang itu.
Wahyudi mencontohkan, ada miskonsepsi tentang lembaga penyelenggara pelindungan data pribadi. Dalam Pasal 58 UU PDP diatur bahwa lembaga pelindung data pribadi dibentuk oleh presiden dan bertanggung jawab kepada presiden. Ketentuan pasal ini membuat kedudukan lembaga pelindung data pribadi tidak independen.
"Semestinya, kalau memang ingin menghadirkan satu legislasi data pribadi yang betul-betul komprehensif dan kuat, untuk menjamin efektivitasnya, itu sangat bergantung pada kedudukan otoritas lembaga ini," kata Wahyudi.
Persoalan lainnya, ia melanjutkan, UU PDP tak mengatur soal sanksi bagi badan publik atau institusi pemerintah ketika melanggar. UU PDP justru lebih berfokus pada sanksi bagi perorangan dan korporasi secara umum. Padahal institusi pemerintah juga mengumpulkan dan memproses data pribadi dalam jumlah besar. Sebagai contoh, kebocoran data belakangan ini justru terjadi di lembaga pemerintah.
"Itu menjadi kesulitan untuk menjalankan secara efektif undang-undang ini, terutama terhadap badan publik atau institusi pemerintah," ujar Wahyudi. "Kesannya, undang-undang ini akan lebih tajam kepada korporasi sektor swasta, tapi tumpul kepada pemerintah."
Saat pembahasan RUU PDP, kedudukan lembaga pelindung data menjadi perdebatan antara DPR dan Kementerian Komunikasi dan Informatika. Sebagian besar fraksi di Komisi I DPR menghendaki kedudukan lembaga itu bersifat independen. Sebaliknya, Kementerian Komunikasi menginginkan lembaga tersebut berada di bawahnya.
Anggota Komisi I DPR, Muhammad Farhan, mengakui bahwa keputusan menetapkan lembaga pelindung data di bawah presiden merupakan jalan tengah untuk mengakhiri perdebatan. Farhan mengimbuhkan, kedudukan lembaga pelindung data di bawah presiden sangat berisiko terhadap keamanan data pribadi masyarakat Indonesia.
"Lembaga itu tak punya pemberdayaan. Efektivitasnya akan sangat rendah dalam melindungi data pribadi warga negara Indonesia," kata Farhan.
Adapun Anton Muhajir dari SAFEnet menyoroti ruang lingkup data pribadi spesifik dalam UU PDP. Undang-undang ini mengkategorikan orientasi seksual dan pandangan politik bukan sebagai data pribadi spesifik. Aturan ini berpotensi menimbulkan diskriminasi bagi kelompok minoritas gender dan penggunaan data untuk kepentingan politik. "Ruang lingkup data pribadi spesifik dan bentuk pelindungan khusus bagi data pribadi sensitif juga masih luput untuk diatur lebih lanjut dalam UU PDP," kata Anton.
EGI ADYATAMA
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo
