“Kalau kita tidak memiliki hukum yang komprehensif dan pengaturan yang memadai di bidang pelindungan data pribadi ini. Nanti bisa-bisa, kita tidak bisa melakukan data sharing atau data flow ke negara lain.”

Salah satu praktisi pelindungan data pribadi, Raditya Kosasih, yang juga merupakan Ketua Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), mengeluhkan absennya instrumen hukum Indonesia yang secara komprehensif mengatur mengenai pelindungan data pribadi.

“Sebetulnya sekarang ini, sudah ada beberapa peraturan seputar pelindungan data pribadi, tapi pengaturan-pengaturan itu tersebar di beberapa peraturan sektoral. Kalau tidak salah, ada sekitar 30 peraturan perundang-undangan yang mengatur mengenai isu pelindungan data pribadi ini. Tapi, yang kita belum punya adalah suatu pengaturan yang komprehensif, misalnya dalam bentuk undang-undang,” ujar Kosasih dalam podcast Votecast, bertajuk “Melihat Pelindungan Data di Indonesia”, (14/06) lalu.

Saat ini, pemerintah tengah menyiapkan aturan komprehensif itu, yang kini masih berupa Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP). Kosasih mengharapkan agar RUU PDP ini bisa segera disahkan untuk memberikan kepastian hukum terkait isu pelindungan data pribadi di Indonesia.

Ia mengatakan, Indonesia sudah tertinggal jauh dari negara-negara tetangga yang telah lama mengesahkan aturan komprehensif tentang pelindungan data pribadi di negaranya.

“Kita harus mengejar ketertinggalan dengan negara-negara tetangga. Tahun 2012, Singapura sudah mengeluarkan personal data protection act atau PDPA. Jadi mereka sudah memiliki peraturan sejak tahun 2012, dan akhir tahun lalu atau tahun ini, mereka sudah melakukan amandemen,” papar Kosasih.

Seperti halnya Singapura, Filipina juga telah menerbitkan Data Privacy Act (DPA), yang sebenarnya bernama Republic Act No. 10173, pada tahun 2012. Kemudian, negara gajah putih, Thailand, juga sudah memiliki peraturan terkait. Lebih tepatnya, PDPA Thailand disahkan pada 28 Mei 2019 silam.

Kosasih mengungkapkan alasan perlunya Indonesia segera mengejar ketertinggalan, berkaitan dengan transfer data antar negara.

“(Alasannya) kenapa? Karena data pribadi itu, biasanya tidak hanya ada di satu tempat atau satu negara, tapi kadang data pribadi itu dibagikan ke negara lain. Makanya, ada yang namanya cross-border data transfers atau cross-border data flows, karena data flows itu sudah susah untuk hanya dilakukan di satu negara, tapi kadang ada server-nya yang di luar, ada yang misalnya, platformnya berbasis di luar negeri,” tutur Kosasih.

Oleh karena itu, menurutnya penting untuk Indonesia mengejar ketertinggalannya dengan setidaknya memiliki aturan yang komprehensif terkait isu pelindungan data pribadi. Tak hanya memberikan kepastian hukum bagi yang masyarakat yang berada di dalam negeri, adanya aturan itu juga bisa meningkatkan kepercayaan publik dari kalangan internasional terhadap pelindungan data pribadi di Indonesia.

Kosasih memaparkan, bahwa kalau Indonesia tidak memiliki hukum yang komprehensif dan pengaturan yang memadai di bidang pelindungan data pribadi. Besar kemungkinan pihak-pihak di Indonesia tidak bisa melakukan data sharing atau data flow ke negara lain.

Ia juga memaparkan secara singkat awal mula diadopsinya General Data Protection Regulation atau GDPR oleh Uni Eropa. Bahwa, sebelum berbentuk regulasi seperti sekarang ini, GDPR awalnya berbentuk directive semata.

“Di Eropa, dulu sekitar tahun ’95 atau ’96, mereka punya directive, yang membicarakan tentang data pribadi. Tapi sekarang, mereka baru mengeluarkan peraturan yang sekarang menjadi golden standard, (yakni) GDPR.”

AAB