Pengesahan RUU Pelindungan Data Pribadi, ELSAM: "Terancam" Menjadi Macan Kertas

Suara.com - Dalam rapat paripurna tanggal 20 September 2022, DPR akhirnya mengesahkan RUU Pelindungan Data Pribadi
menjadi undang-undang.

Pengesahan ini menjadi cukup bersejarah, mengingat panjang dan penuh dramanya proses perdebatan RUU tersebut, setidaknya sejak diajukan usul inisiatif oleh Presiden pada 24 Januari 2020, hingga kemudian disahkan setelah lebih dari 2,5 tahun proses pembahasan.

Publik telah menunggu lama hadirnya legislasi PDP yang komprehensif di Indonesia, mengingat karut-marutnya perlindungan data pribadi, salah satunya sebagai akibat sektoralisme hukum PDP, yang berdampak pada ketidakpastian hukum dalam perlindungan.

Pertanyaannya kemudian, apakah RUU yang dihasilkan ini dapat menjawab berbagai permasalahan perlindungan data pribadi di Indonesia?

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat Wahyudi Djafar dalam pernyataan tertulis menyebutkan secara umum membaca substansi materi UU PDP yang disepakati memang telah mengikuti standar dan prinsip umum perlindungan data pribadi yang berlaku secara internasional.

Terutama, kata Wahyudi, adanya kejelasan rumusan mengenai definisi data pribadi, jangkauan material yang berlaku mengikat bagi badan publik dan sektor privat, perlindungan khusus bagi data spesifik, adopsi prinsip-prinsip pemrosesan data pribadi, batasan dasar hukum pemrosesan data pribadi, perlindungan hakhak subjek data, serta kewajiban pengendali dan pemroses data. Artinya dengan klausul demikian, mestinya legislasi ini dapat memberikan kepastian hukum dan perlindungan hukum yang menyeluruh dalam pemrosesan data pribadi di Indonesia.

Meski telah mengakomodasi berbagai standar dan memberikan garansi perlindungan bagi subyek data, akan tetapi implementasi dari undang-undang ini berpotensi problematis, hanya menjadi macan kertas, lemah dalam penegakkannya, kata Wahyudi.

Mengapa demikian? Menurut Wahyudi situasi tersebut hampir pasti terjadi, akibat ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum, sebagai imbas kuatnya kompromi politik, khususnya berkaitan dengan Lembaga Pengawas Pelindungan Data Pribadi.

Wahyudi  mengatakan pada dasarnya, belajar dari praktik di banyak negara, kunci efektivitas implementasi UU PDP berada pada otoritas perlindungan data, sebagai lembaga pengawas, yang akan memastikan kepatuhan pengendali dan pemroses data serta menjamin pemenuhan hak-hak subjek data. Apalagi ketika UU PDP berlaku mengikat tidak hanya bagi sektor privat, tetapi juga badan publik (kementerian/lembaga), maka independensi dari otoritas ini menjadi mutlak adanya, untuk memastikan ketegasan dan fairness dalam penegakan hukum PDP.

Sayangnya, menurut Wahyudi, meski UU PDP ditegaskan berlaku mengingat baik bagi korporasi maupun pemerintah, undang-undang ini justru mendelegasikan kepada Presiden untuk membentuk lembaga pemerintah non kementerian, yang bertanggung jawab kepada Presiden.

Artinya otoritas ini pada akhirnya takubahnya dengan lembaga pemerintah (eksekutif) lainnya, padahal salah satu mandat utamanya adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran.

Pertanyaan besarnya, kata Wahyudi, apakah mungkin satu institusi pemerintah memberikan sanksi pada institusi pemerintah yang lain? Belum lagi UU PDP juga seperti memberikan cek kosong pada Presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini, sehingga ‘kekuatan’ dari otoritas yang dibentuk akan sangat tergantung pada ‘niat baik’ Presiden yang akan merumuskannya.

Wahyudi  menyebutkan kondisi tersebut makin problematis dengan ‘ketidaksetaraan’ rumusan sanksi yang dapat diterapkan terhadap sektor publik dan sektor privat, ketika melakukan pelanggaran. Bila melakukan pelanggaran, sektor publik hanya mungkin dikenakan sanksi administrasi (Pasal 57 ayat (2)), sedangkan sektor privat selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan (Pasal 57 ayat (3)), bahkan dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70.

Dengan rumusan demikian, kata dia, meski disebutkan undang-undang ini berlaku  mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data, namun dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik. 

Risiko over-criminalisation juga mengemuka dari berlakunya undang-undang ini, khususnya akibat kelenturan rumusan Pasal 65 ayat (2) jo. Pasal 67 ayat (2), yang pada intinya mengancam pidana terhadap seseorang (individu atau korporasi), yang mengungkapkan data pribadi bukan miliknya secara melawan hukum.