“Bukan hanya peraturan dari GDPR-nya sendiri kita adopsi di undang-undang kita, tapi yang lebih penting bagaimana kita melaksanakan peraturan kedepannya dan juga mengeluarkan peraturan-peraturan turunan yang bisa menjadi practical guidelines bagi kalangan pelaku usaha.”

Hingga kini, belum ada aturan komprehensif terkait pelindungan data pribadi di Indonesia. Sementara jauh di benua biru, sudah ada General Data Protection Regulation (GDPR) yang diterbitkan Uni Eropa, yang menjadi aturan yang banyak dianggap sebagai golden standard terkait isu pelindungan data pribadi.

Melihat hal ini, praktisi pelindungan data, sekaligus Ketua Asosiasi Praktisi Pelindungan Data Indonesia (APPDI) berpendapat bahwa, banyak aturan dari GDPR yang bisa diadopsi oleh Indonesia. Namun, tidak semuanya, sebab terdapat perbedaan karakteristik sistem hukum dan masyarakat yang perlu diperhatikan.

“Ada beberapa prinsip yang bisa kita ambil atau pengaturan-pengaturan dari GDPR, atau mungkin juga pengaturan-pengaturan yang [dimiliki] negara lain, untuk kita terapkan disini. Tapi memang, kita harus hati-hati, kita harus lihat karakternya (sistem hukum dan masyarakat) ‘kan juga berbeda. Kalau seluruh pengaturan GDPR kita ambil lalu diterapkan di Indonesia, mungkin secara pelaksanaan juga akan cukup challenging,” ujar Kosasih dalam podcast Votecast, bertajuk “Melihat Pelindungan Data di Indonesia”, (14/06) lalu.

Namun karena GDPR diperhitungkan sebagai golden standard untuk aturan pelindungan data di dunia. Aturan di Indonesia nantinya tetap perlu untuk mengarah seperti GDPR, agar pelindungan data di Indonesia memiliki standar yang tinggi, layaknya GDPR di Uni Eropa.

Menurutnya, ada beberapa hal yang dapat “dicontek” dari GDPR, yakni terkait dengan alasan (legal basis) pemrosesan data, konsep data protection impact assessment, dan konsep privacy by design. Kosasih menilai konsep-konsep tersebut cukup baik untuk diadopsi di Indonesia. Sebab, konsep-konsep itu tidak hanya menitikberatkan pada pelindungan data, namun juga pencegahan terjadinya kebocoran data.

Kosasih juga mengungkapkan pandangannya, bahwa GDPR tidak hanya fokus pada penindakan atas terjadinya pelanggaran terhadap peralindungan data. Namun, GDPR juga fokus pada pencegahan insiden-insiden tersebut, seperti apa yang harus dilakukan oleh pihak-pihak yang melakukan pengumpulan data supaya bisa meminimalisir terjadinya kebocoran data, dan sebagainya. Hal ini dapat diikuti Indonesia dengan memasukkan konsep-konsep terkait di aturannya.

Namun, aturan komprehensif terkait pelindungan data, juga tidak dapat hanya berdiri sendiri. Aturan komprehensif tersebut perlu ditindaklanjuti dengan aturan-aturan turunan yang lebih spesifik dan jelas.

“Setelah mengeluarkan peraturan tentang pelindungan data pribadi, sebetulnya PR (pekerjaan rumah) kita masih banyak, karena setelah memiliki peraturan, pertanyaan selanjutnya adalah bagaimana kita bisa melaksanakan peraturan ini,” papar Kosasih.

Menurutnya, terbitnya suatu undang-undang tidak akan langsung menyelesaikan semua masalah. Namun terbitnya undang-undang, setidaknya memberikan suatu landasan hukum yang jelas, khususnya terkait prinsip-prinsip yang harus diterapkan.

Kosasih mengatakan, “(Apalagi) karena teknologi juga berkembang begitu cepat, perlu ada panduan-panduan yang lebih spesifik untuk bagaimana bisa melaksanakan pelindungan data pribadi itu, yang diatur dalam undang-undang itu nanti. Jadi dengan hanya menerbitkan undang-undang, itu merupakan suatu langkah yang bagus, tapi nanti kita juga harus menindaklanjuti dengan peraturan-peraturan yang lebih spesifik.”

Hal ini seperti halnya yang dilakukan Uni Eropa dengan GDPR. Setelah GDPR diterbitkan, diterbitkan pula pedoman-pedoman yang berperan sebagai penjelasan dari GDPR.

Pedoman-pedoman ini diterbitkan oleh yang namanya, European Data Protection Board (EDPB). EDPB merupakan lembaga independen Eropa yang bertujuan untuk memastikan penerapan konsisten dari GDPR dan mempromosikan kerjasama di antara otoritas pelindungan data Uni Eropa. Pada 25 Mei 2018, EDPB menggantikan Article 29 Working Party atau WP29 yang bertujuan serupa.

EDPB bertugas dalam, diantaranya, menerbitkan pedoman dan rekomendasi, mengidentifikasi best practices dalam interpretasi dan penerapan GDPR, dan mengadopsi pendapat-pendapat untuk memastikan konsistensi penerapan GDPR oleh otoritas pengawas nasional, khususnya terkait keputusan yang memiliki efek cross-border atau lintas batas.

Kosasih melanjutkan, “Di Singapura pun mereka punya suatu otoritas yang disebut Personal Data Protection Commission (PDPC), PDPC ini mengeluarkan peraturan-peraturan, guidelines yang lebih spesifik daripada PDPA [Personal Data Protection Act (legislasi pelindungan data pribadi di Singapura)] itu sendiri. Ini yang akan cukup berguna bagi kalangan pelaku usaha atau pihak-pihak yang melakukan pegumpulan data.”

Menurutnya, panduan itu nantinya akan lebih bersifat praktikal, sehingga akan lebih mudah untuk diikuti. Sehingga ia berpendapat, Indonesia tidak hanya perlu mengadopsi aturan-aturan pelindungan data di dunia yang telah menjadi preseden-preseden yang baik, namun juga perlu menyiapkan tindak lanjut dari pengadopsian tersebut.

“Jadi bukan hanya peraturan dari GDPR-nya sendiri kita adopsi di undang-undang kita, tapi yang lebih penting bagaimana kita melaksanakan peraturan kedepannya dan juga mengeluarkan peraturan-peraturan turunan yang bisa menjadi practical guidelines bagi kalangan pelaku usaha,” tutup Kosasih.

AAB