Oleh: M Iqsan Sirie
Sudah saatnya topik pelindungan data pribadi di Indonesia yang disorot beranjak dari yang sebelumnya melulu menyuarakan perlu adanya sebuah produk legislasi ke arah pembahasan yang lebih konkret.
“Urgensi Undang-Undang Pelindungan Data Pribadi”, “Indonesia Darurat Undang-Undang Pelindungan Data Pribadi”, “Data Nasabah Bocor, UU Pelindungan Data Pribadi Kian Penting” – inilah beberapa dari sekian banyak judul artikel dan opini yang menghiasi dan sangat sering kita jumpai tiga tahun belakangan ini di berbagai media di tanah air.
Semua tulisan-tulisan tersebut bisa dikatakan mengaungkan narasi yang sama, yaitu Indonesia belum memiliki Undang-Undang Pelindungan Data Pribadi. Alhasil, tidak terdapat jaminan pelindungan bagi para pemilik data pribadi serta tidak ada tonggak-tonggak penanda yang jelas apabila pelaku usaha menggunakan data pribadi masyarakat untuk kepentingan kegiatan usahanya. Karena itu, pemerintah perlu segera menerbitkan Undang-Undang Pelindungan Data Pribadi.
Tentunya tidak ada yang salah dengan narasi di atas. Nyatanya aturan main terkait pelindungan data pribadi yang ada saat ini (bertebaran di berbagai peraturan perundang-undangan dan tidak sinkron satu sama lain serta tidak komprehensif) masih jauh dari kata memadai, sehingga memang perlu ada pengaturan setingkat Undang-Undang yang lebih baik.
Namun demikian, sudah saatnya topik pelindungan data pribadi di Indonesia yang disorot beranjak dari yang sebelumnya melulu menyuarakan perlu adanya sebuah produk legislasi (act) ke arah pembahasan yang lebih konkret, yakni langkah (action) nyata apa yang perlu dilakukan segenap pemangku kepentingan agar tujuan dibentuknya Undang-Undang Pelindungan Data Pribadi dapat tercapai tatkala rancangan beleid tersebut selesai ‘diketok palu’ di Senayan. Walaupun pemangku kepentingan dalam konteks ini ada banyak, pemerintah sebagai pemegang mandat amanah penyelenggaraan negara harus menjadi aktor utama yang menginisiasi langkah-langkah yang diperlukan tersebut.
Seperti yang kita ketahui, pemerintah telah menyampaikan naskah Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) kepada Dewan Perwakilan Rakyat pada awal tahun ini. Terlepas RUU PDP akan rampung atau tidak dalam waktu dekat, sudah terlihat adanya progres di sisi ini. Terlebih lagi, kedua lembaga negara tersebut sudah menyatakan komitmennya untuk mengakselerasi proses pembahasan RUU PDP agar dapat disahkan menjadi Undang-Undang sebelum lewat tahun 2020.
Yang belum terdengar gemanya adalah upaya pemerintah untuk membuat semacam peta jalan (roadmap) atau dokumen serupa, yang berisi arahan dan langkah-langkah penyiapan untuk memastikan Undang-Undang Pelindungan Data Pribadi dapat diimplementasikan dengan mulus. Karena yang ingin kita semua hindari adalah ketika Undang-Undang tersebut sudah disahkan dan masa peralihannya berakhir namun tidak berhasil diimplementasikan karena kurangnya persiapan.
Edukasi dan Peningkatan Kesadaran Pelindungan Data Pribadi
Salah satu hal utama yang perlu diperhatikan saat menyusun rencana pelaksanaan Undang-Undang Pelindungan Data Pribadi adalah bagaimana cara mengedukasi secara efektif pihak-pihak yang akan terkena dampak Undang-Undang Pelindungan Data Pribadi. Hal ini penting sebab ketentuan-ketentuan dalam Undang-Undang Pelindungan Data Pribadi tidaklah mudah untuk dimengerti mengingat banyaknya konsep-konsep pelindungan data pribadi di dalamnya yang mengadopsi aturan pelindungan data pribadi yang berlaku di Eropa, yaitu General Data Protection Regulation.
Berkaca dari pengalaman negara-negara lain yang telah lebih dulu memiliki legislasi komprehensif di bidang pelindungan data pribadi, banyak pelajaran yang bisa diambil dan dijadikan sebagai referensi oleh pemerintah kita. Sebagai contoh Singapura. Upaya negara ASEAN ketiga yang memiliki Undang-Undang Pelindungan Data Pribadi yang bernama Personal Data Protection Act (PDPA) ini terbilang ‘jorjoran’ untuk memastikan para pihak yang diatur dalam PDPA mendapatkan pemahaman yang cukup mengenai hak dan kewajiban mereka.
Upaya-upaya tersebut di atas digawangi oleh komisi pelindungan data pribadi Singapura atau Personal Data Protection Commission (PDPC). Sejak dibentuk pada tahun 2012, agenda utama PDPC adalah meningkatkan kesadaran organisasi-organisasi yang mengumpulkan data pribadi mengenai pentingnya pelindungan data pribadi dan mengedukasi tentang kewajiban-kewajiban yang terdapat dalam PDPA sehingga mereka dapat bersiap-siap dan mulai menerapkan segala sesuatunya sebelum PDPA berlaku efektif.
Program pendidikan yang dibuat oleh PDPC untuk mencapai objektif di atas ditargetkan untuk petugas/pegawai yang bertanggung jawab atas pelindungan data pribadi yang dikelola oleh organisasi tempat mereka bekerja (atau dikenal juga sebagai Data Protection Officer atau DPO). Program tersebut disampaikan oleh PDPC dengan cara menyelenggarakan seminar dan workshop secara berkala dan kegiatan-kegiatan edukasi tersebut dirancang sebagai sebuah pelatihan yang intensif dan interaktif dengan tujuan agar para DPO bisa mendapatkan pemahaman yang mendalam mengenai PDPA dan memiliki kemampuan memadai untuk membuat rencana aksi yang khusus untuk kebutuhan organisasinya.
Selain itu, PDPC juga menjalin kerja sama dengan puluhan asosiasi pelaku usaha di berbagai sektor untuk menambah jaringan PDPC dalam rangka memsosialisasikan program pendidikan terkait PDPA. Melalui asosiasi-asosiasi ini, merekalah yang nantinya memberikan penyuluhan tentang PDPA kepada para anggotanya. Dengan kerja sama ini, program pendidikan PDPC tentunya dapat menjangkau lebih banyak pihak. Rangkaian inisiatif peningkatan kesadaran juga dilakukan PDPC kepada masyarakat kelompok usia muda hingga lansia dengan cara mendatangi sekolah-sekolah dan mendirikan stan pada kegiatan-kegiatan sosial yang diselenggarakan masyarakat.
Secara online, upaya sosialisasi yang dilakukan oleh PDPC juga sangat gencar. Hal ini dilakukan dengan cara membuat konten-konten edukasi terkait PDPA, baik itu berupa tulisan maupun video, yang semuanya dapat diakses pada website resmi PDPC. Kemudian, PDPC juga menyediakan program e-learning pada website resminya, yang berisi program pembelajaran gratis yang disiapkan bagi DPO untuk mendapatkan pemahaman dasar mengenai PDPA. Lalu yang terakhir adalah PDPC membuka jalur konsultasi via telepon, e-mail dan chatting melalui fitur chatbot berbasiskan artificial intelligence yang tersedia pada website resmi PDPC bernama “Ask Jamie @ PDPC.”
Sedikit banyak hal serupa juga dilakukan oleh komisi pelindungan data pribadi Filipina atau National Privacy Commission (NPC). Bedanya, strategi utama NPC dalam mensosialisasikan program edukasi dan peningkatan kesadaran publik terhadap aturan pelindungan data pribadi yang berlaku di Filipina yang bernama Data Privacy Act, adalah dengan cara memfokuskan upaya-upaya tersebut melalui berbagai platform online.
Platform tersebut contohnya adalah website resmi NPC, platform sosial media seperti Facebook (@privacy.gov.ph) dan Twitter (@privacyPH), dan fitur chatbot AI pada website NPC yang bernama “AskPriva.” Semua platform online tersebut digunakan oleh NPC tidak hanya sebagai sarana untuk mengkomunikasikan program edukasinya kepada masyarakat secara luas, tetapi juga sebagai memfasilitasi apabila terdapat pertanyaan-pertanyaan seputar Data Privacy Act.
Peraturan Pelaksanaan
Walaupun program pendidikan dan peningkatan kesadaran merupakan hal utama, adanya peraturan pelaksanaan dari Undang-Undang Pelindungan Data Pribadi tidak kalah penting untuk menjamin Undang-Undang tersebut dapat diimplementasikan secara optimal. Karena seperti kita ketahui, aturan-aturan yang terdapat dalam sebuah Undang-Undang lazimnya bersifat sangat umum dan abstrak, bahkan tidak jarang aturan-aturan di dalamnya masih dalam tataran prinsip.
Dalam mendukung pelaksanaan Undang-Undang Pelindungan Data Pribadi, pemerintah masih perlu untuk menerbitkan peraturan pelaksanaannya untuk lebih menjelaskan dan menerapkan prinsip-prinsip yang ada hingga dapat dilaksanakan oleh pihak-pihak yang bersangkutan. Sebagai contoh, dalam RUU PDP dinyatakan bahwa pemrosesan data pribadi hanya dapat dilakukan apabila memenuhi satu atau lebih syarat sah (lawful basis) yang disebutkan dalam Pasal 20, antara lain, untuk kepentingan pelaksanaan kewenangan resmi yang diberikan kepada pengendali data pribadi.
Walaupun penjelasan ketentuan tersebut ditulis “cukup jelas,” faktanya malah sebaliknya. Tidak ada kejelasan mengenai tindakan seperti apa yang dianggap atau termasuk dalam kriteria ‘pelaksanaan kewenangan resmi’ seperti yang dimaksud Pasal 20. Dengan adanya peraturan pelaksanaan diharapkan akan memperjelas dan menegaskan apa yang harus dilakukan oleh para pihak yang bersangkutan dalam mewujudkan prinsip-prinsip yang tercantum dalam Undang-Undang Pelindungan Data Pribadi.
Berdasarkan RUU PDP, para pihak yang memproses data pribadi diberikan waktu dua tahun sejak Undang-Undang Pelindungan Data Pribadi mulai berlaku untuk menyesuaikan dengan ketentuan-ketentuan yang terdapat dalam Undang-Undang tersebut. Berdasarkan praktik di lapangan selama ini, pemerintah umumnya baru mulai menyusun peraturan pelaksanaan atas suatu Undang-Undang selagi masa peralihan dan menyelesaikan serta menerbitkan peraturan tersebut tidak lama setelah masa peralihan berakhir. Namun sering kita jumpai juga di lapangan dimana peraturan pelaksanaan atas suatu Undang-Undang baru berhasil ditetapkan jauh setelah masa peralihan Undang-Undangnya berakhir.
Akibatnya setidaknya ada dua hal. Pertama, terdapat potensi terciptanya ketidakpastian hukum karena mungkin terdapat ketentuan-ketentuan dalam Undang-Undang yang sulit atau bahkan tidak dapat dilaksanakan tanpa adanya peraturan pelaksanaan dari Undang-Undang tersebut. Kedua, terhambatnya pencapaian tujuan dari dibentuknya Undang-Undang tersebut dalam waktu singkat.
Secara nyata, persoalan keterlambatan penerbitan peraturan pelaksanaan dapat kita lihat pada kasus Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE). UU ITE memandatkan pemerintah untuk menetapkan peraturan pelaksanaannya paling lambat dua tahun sejak tahun 2018. Peraturan pelaksanaan atas UU ITE diperlukan untuk mengatur lebih lanjut ketentuan-ketentuan dalam UU ITE seperti tanda tangan elektronik, penyelenggara sistem elektronik dan penyelenggara sertifikasi elektronik. Sayangnya, peraturan pelaksanaan atas UUITE, yaitu Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, baru dapat diselesaikan oleh pemerintah pada tahun 2012. Empat tahun lamanya sejak UU ITE disahkan tahun 2008 berarti terdapat ketidakpastian hukum seputar tanda tangan elektronik, penyelenggara sistem elektronik dan penyelenggara sertifikasi elektronik.
Gambaran permasalahan di atas tentu bukan dalam rangka mengurangi apresiasi kita pada pemerintah, namun hanya untuk mengingatkan kembali agar pemerintah dapat menghindari kesalahan yang sama kedepannya, termasuk dalam hal implementasi Undang-Undang Pelindungan Data Pribadi. Sehubungan dengan hal ini, pemerintah bisa mencontoh keberhasilan Singapura.
Sebagian besar peraturan pelaksanaan PDPA (yaitu Personal Data Protection Regulations) telah disiapkan sebelum PDPA berlaku efektif secara keseluruhan pada tanggal 2 Juli 2014. Karena peraturan pelaksanaannya telah diterbitkan begipula disosialisasikan kepada publik sebelumnya, maka seluruh ketentuan dalam PDPA langsung dapat diberlakukan dengan baik setelah tanggal 2 Juli 2014. Kalaupun ada beberapa ketentuan dalam PDPA yang belum ada peraturan pelaksanaannya atau peraturan pelaksanaan yang ada masih multitafsir, PDPC menerbitkan pedoman-pedoman (advisory guidelines) yang dapat digunakan oleh para pihak yang bersangkutan sebagai panduan dalam menginterpretasikan ketentuan dalam PDPA dan peraturan pelaksanaannya yang kurang jelas.
Hadirnya Undang-Undang Pelindungan Data Pribadi akan menjadi tonggak capaian penting bagi Indonesia mengingat keberadaan Undang-Undang tersebut dapat menunjukkan Indonesia sebagai negara yang memiliki rezim pelindungan data pribadi bertaraf internasional dan membuat kedudukan Indonesia setingkat dengan negara-negara lain yang memiliki aturan pelindungan data pribadi yang komprehensif.
Hasil bacaan situasi saat ini tampaknya bisa membuat kita cukup tenang karena pembahasan RUU PDP terbilang masih berada dalam jalur (on track). Oleh karenanya, fokus yang perlu diusung oleh kita semua mulai dari sekarang adalah bagaimana mempersiapkan segala sesuatunya secara matang agar tidak ada hambatan dalam mengimplementasikan Undang-Undang Pelindungan Data Pribadi.
Dalam mempersiapkan ini, Pemerintah tidak perlu memikul beban tanggung jawab ini sendirian. Pemangku kepentingan lainnya seperti perwakilan elemen masyarakat, asosiasi pelaku usaha, akademisi hingga praktisi tentunya akan dengan senang hati dan mendukung apabila diikutsertakan dalam proses persiapan ini mengingat terlaksananya Undang-Undang Pelindungan Data Pribadi dengan baik semata-mata adalah untuk kepentingan dan kebaikan semua pihak.
0 Comments