Suara.com - Sebuah studi baru yang membandingkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) Indonesia dengan dua regulasi perlindungan data pribadi di Eropa menemukan bahwa RUU PDP memiliki banyak kekurangan jika dibandingkan dengan standar perlindungan data pribadi internasional.
Perbedaan tingkat perlindungan ini terlihat jelas ketika penyedia jasa pesan singkat WhatsApp “memaksa” semua penggunanya, termasuk pengguna di Indonesia, untuk setuju membagikan data mereka ke perusahaan induk mereka, Facebook, jika ingin tetap menggunakan layanan ini.
Kebijakan penggunaan data ini tidak diberlakukan bagi pengguna di Eropa.
Ketidakjelasan RUU PDP
Dalam penelitiannya, Yayasan Tifa membandingkan RUU PDP dengan regulasi perlindungan data pribadi di Eropa, seperti Peraturan Pelindungan Data Umum Uni Eropa (GDPR) dan Konvensi Eropa 108+ – dua regulasi Eropa yang banyak dijadikan patokan oleh dunia terkait perlindungan data privasi.
Studi Yayasan Tifa menemukan bahwa RUU PDP masih memiliki banyak kekurangan, seperti ketidakjelasan definisi, ketidakjelasan dasar hukum, dan penempatan warga negara di posisi yang lemah.
Dalam RUU PDP, Kementerian Komunikasi dan Informatika (Kominfo), memegang otoritas perlindungan data pribadi atau data protection authority (DPA) di Indonesia.
Namun, RUU tersebut tidak menyebutkan secara jelas tugas dan tanggung jawab Kominfo dalam perannya sebagai otoritas pelindungan data pribadi.
Di Eropa, GDPR memastikan otoritas perlindungan data pribadi independen dan memiliki cakupan tanggung jawab yang jelas untuk memastikan badan tersebut bisa menegakkan hukum dan memberikan sanksi kepada pihak-pihak kepentingan seperti pemerintah dan perusahaan.
Baca Juga: WhatsApp Terapkan Kebijakan Privasi Baru, Kemenkominfo Angkat Bicara
Sherly Haristya, salah satu peneliti Yayasan Tifa mempertanyakan indepedensi Kominfo sebagai pengadil perlindungan data pribadi kalau tidak ada detail yang mengatur.
“Sejauh mana dia berhak mengintervensi jika terjadi pelanggaran perlindungan data pribadi? Seberapa jauh dia bisa mengawal agar pengelola data bisa bertanggung jawab?” sebut Sherly.
Masalah utama berikutnya adalah ketidakjelasan RUU PDP dalam pembagian ruang lingkup hukum di antara perorangan dan lembaga.
Di dalam GDPR dan Konvensi Eropa 108+, definisi data pribadi ditetapkan berdasarkan karateristik seperti “informasi apa pun terkait orang perseorangan (pemilik data).” Namun di RUU PDP, orang diartikan sebagai perseorangan atau korporasi.
Hal ini berpotensi mengakibatkan penetapan kewajiban perlindungan data pribadi yang tidak sesuai dengan kapasitas pihak yang berbeda-beda. Ini karena penegak hukum dapat menafsirkan bahwa seorang individu memiliki kewajiban yang sama dengan suatu lembaga yang mengendalikan memproses data.
Menurut Sherly, RUU PDP harus memberikan kejelasan yang lebih mendetail untuk membedakan kegiatan pengolahan data rumah tangga dan aktivitas pemrosesan data komersial.