Cegah RUU Perlindungan Data Pribadi Jadi Alat Negara "Menginteli" Warga
RUU Perlindungan Data Pribadi harus memuat regulasi yang merinci hak dan kewajiban penegak hukum terkait perlindungan data pribadi untuk mendukung pemberantasan tindak kriminal. Jangan jadi alat negara menginteli warga.
Oleh
SATRIO PANGARSO WISANGGENI
·5 menit baca
JAKARTA, KOMPAS — Susunan norma pada rancangan undang-undang perlindungan data pribadi atau RUU PDP dinilai masih kurang rinci terkait pengecualian kewajiban bagi lembaga publik. Regulasi yang penting ini jangan sampai hanya menjadi legalisasi surveilans oleh negara terhadap warganya.
Hak pemilik data pribadi telah dijelaskan pada Pasal 8 hingga Pasal 15. Pemilik data, misalnya masyarakat, berhak untuk mengakhiri pemrosesan dan kemudian menghapus data pribadi miliknya. Pemilik data juga berhak menarik kembali persetujuan pemrosesan data pribadi yang telah diberikan kepada pengendali data pribadi.
Namun, hak-hak tersebut dikecualikan untuk sejumlah kegiatan yang dilakukan oleh lembaga negara, seperti kepentingan pertahanan dan keamanan nasional; proses penagakan hukum, pengawasan sektor jasa keuangan, hingga kepentingan umum dalam rangka penyelenggara negara.
Klausul ini dinilai terlalu luas. Koordinator riset Imparsial, Ardi Manto Adiputra, Selasa (28/7/2020), mengatakan, saking luasnya, potensi terjadinya penyalahgunaan oleh negara juga sangat besar.
Ardi meminta seharusnya prinsip-prinsip pembatasan hak asasi manusia (HAM) seperti diatur hukum (prescribed by law), bertujuan sah (legitimate aim), serta sesuai dengan kebutuhan dan proporsional (necessity) dapat dicantumkan menjadi syarat untuk pengecualian tersebut.
”Jangan sampai dengan aturan dan definisi yang longgar justru RUU PDP menjadi bentuk legalisasi terhadap state surveillance. Negara bisa memantau perilaku masyarakatnya. Untuk itu, masukan dari masyarakat sipil ini perlu diperhatikan,” kata Ardi.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar juga bersikap demikian. Ia mencontohkan bahwa MI5, lembaga intelijen domestik Inggris, juga mengikuti kewajiban sebagai pengendali data.
Jangan sampai dengan aturan dan definisi yang longgar justru RUU PDP menjadi bentuk legalisasi terhadap state surveillance. Negara bisa memantau perilaku masyarakatnya.
Dalam situs MI5 juga dibuka kebijakan privasi (privacy policy) yang dimiliki oleh lembaga tersebut. ”Dalam privacy policy dijelaskan jenis data personal apa saja yang diproses oleh MI5. Berapa lama data itu akan disimpan itu juga jelas,” kata Wahyudi.
Uni Eropa, yang menyusun regulasi proteksi data komprehensif General Data Protection Regulation atau biasa dikenal dengan EU GDPR juga telah membuat arahan regulasi yang jelas merinci hak dan kewajiban aparat penegak hukum terkait dengan perlindungan data pribadi untuk mendukung upaya pemberantasan tindak kriminal.
Arahan yang terdapat pada EU Directive 2016/680 ini berada dalam satu paket kebijakan reformasi proteksi data bersama EU GDPR (EU Directive 2016/679).
Larangan tidak menyentuh institusi
Terkait kebijakan dan tanggung jawab perlindungan data pribadi, komisioner Komnas HAM Choirul Anam juga melihat ada sedikit celah pada RUU PDP yang dapat meloloskan sebuah institusi atau badan hukum terhadap kelalaian atau pelanggaran yang dilakukan.
Merujuk pada pasal-pasal dalam Bab VIII RUU PDP tentang Larangan dalam Penggunaan Data Pribadi, Anam menilai, larangan tersebut hanya dibatasi pada individu; bukan institusi pada badan hukum.
Larangan pada bab tersebut di antaranya larangan kepada setiap orang untuk mengumpulkan data pribadi milik orang lain dengan maksud untuk menguntungkan diri sendiri; larangan jual-beli data pribadi, hingga larangan untuk mengoperasikan alat pengolah data untuk untuk mengidentifikasi orang di tempat umum.
Padahal, pemrosesan data pribadi yang dilakukan tanpa persetujuan eksplisit, seperti pemasaran produk melalui telepon (telemarketing) ataupun SMS blast kepada pengunjung sebuah mal adalah kebijakan yang dibuat oleh sebuah institusi.
Seharusnya, menurut Anam, eksekusi hukum juga harus bisa dilakukan kepada institusi, bukan hanya kepada operator individu. ”Kita ingin mendorong iklim usaha yang sehat dengan mengatur perilaku perusahaan ikut bertanggung jawab atas perlindungan data pribadi. Itu kayak perusahaan enggak mau disalahkan sehingga yang disalahkan itu individu,” kata Anam.
Menanggapi masukan ini, anggota Komisi I DPR, Farah Puteri Nahlia, menyatakan bahwa DPR membuka ruang diskusi sebesar-besarnya kepada semua pihak.
Ia mengungkapkan, sejak draf RUU PDP diserahkan pemerintah kepada DPR pada Januari 2020, Komisi I telah melakukan rapat kerja dengan Kemenkominfo, Kementerian Dalam Negeri, serta Kementerian Hukum dan HAM. Pihaknya juga telah menggelar rapat dengar pendapat dengan para pakar dan perwakilan industri untuk membahas RUU PDP.
”Kami rasa kami butuh untuk mendengarkan lebih banyak lagi masukan untuk RUU PDP yang diinginkan oleh masyarakat sehingga ada rasa aman bagi masyarakat ketika main internet dan meng-input data, misalnya,” kata Farah.
Farah mengakui bahwa pandemi juga menyebabkan progres pembahasan RUU PDP terhambat. Namun, ia berharap, sebagai salah satu RUU dalam Program Legislasi Nasional (Prolegnas) 2020, RUU PDP dapat disahkan pada Oktober 2020.
Komisi independen
RUU PDP yang tidak mengatur adanya sebuah badan otoritas atau sebuah komisi independen untuk perlindungan data pribadi juga disayangkan. Keberadaan lembaga ini dinilai integral untuk menjaga upaya perlindungan data pribadi dapat berjalan sesuai dengan undang-undang.
Ardi mengatakan, apabila fungsi lembaga tersebut diserahkan kepada pemerintah; misalnya kepada Kemenkominfo, maka akan rentan terjadi penyalahgunaan kekuasaan. Menurut dia, lembaga pengawas itu seharusnya bersifat independen.
”Kita tahu bahwa lembaga dan institusi negara itu punya ambisi politik. Dengan demikian, seharusnya, lembaga pengawas itu bersifat independen dan diisi oleh mereka yang memahami isu dan betul paham tentang data pribadi,” kata Ardi.
Farah juga menyatakan hal yang sama. Menilik ke sejumlah negara tetangga, Farah mengatakan, Filipina, misalnya, sudah memiliki sebuah lembaga yang disebut sebagai komisi privasi nasional.
”Di Indonesia ini juga kelak diharapkan punya komisi privasi nasional,” kata Farah.
Apabila bisa mengesahkan RUU PDP dengan segera, kata Farah, Indonesia akan menjadi negara kelima di ASEAN yang memiliki regulasi perlindungan data pribadi yang komprehensif. Negara ASEAN lain yang sudah memiliki UU PDP adalah Singapura, Malaysia, Thailand, dan Filipina.