UU PDP Harus Memastikan Perlindungan Privasi Warga Negara, Kepastian Hukum bagi Pengembangan Bisnis Digital, dan Kedaulatan Data
Jakarta, Komite.id- Komisi I DPR RI bersama Pemerintah sepakat melanjutkan pembahasan Rancangan Undang-Undang= Perlindungan Data Pribadi (RUU PDP) ke tingkat I atau Panitia Kerja (Panja) pada tanggal 1 September 2020 lalu dan DPR menargetkan RUU PDP akan rampung pada November 2020.
Pemerintah dan DPR telah menunjukkan komitmennya untuk segera menyelesaikan RUU ini, Dalam konteks perlindungan masyarakat terkait data pribadi, komitmen ini sangat positif. Namun demikian Masyarakat Telematika Indonesia (MASTEL) ingin mengingatkan agar UU PDP tidak sekadar segera ada.
“UU PDP harus dapat menjawab harapan besar berbagai pihak agar tidak hanya hak asasi pemilik data yang dilindungi; namun UU ini harus pula menyatakan kedaulatan negara dan memberi tugas kepada Pemerintah untuk melakukan segala upaya penegakan kedaulatan; serta segala upaya untuk dapat mengambil manfaat sebesar-besarnya dari kesempatan ekonomi data untuk peningkatan kesejahteraan,” kata Kristiono, Ketua Umum MASTEL dalam keterangan pers yang diterima Komite.id, (11/9).
Lebih lanjut, MASTEL kata Kristiono juga berpandangan bahwa hak perlindungan data pribadi merupakan hak asasi warga negara. Apabila akan dibuat pengecualian terhadap satu atau dua sektor tertentu, maka pengecualian itu perlu dibuat secara cermat dan hati-hati agar tidak mengakibatkan pengecualian secara menyeluruh. “UU PDP diharapkan berlaku komprehensif untuk semua sektor, tidak hanya sektor komunikasi dan informasi,” tambah Kristiono.
Penyampaian Aspirasi MASTEL
Dalam memberikan pandangannya sebagai lembaga Mandiri yang memiliki maksud sebagaimana tercantum dalam UU 36 tahun 1999 tentang Telekomunikasi, Bab III pasal 5 ayat (2), yaitu: Penyampaian pemikiran dan pandangan yang berkembang dalam masyarakat mengenai arah pengembangan pertelekomunikasian dalam rangka penetapan kebijakan, pengaturan, pengendalian dan pengawasan di bidang telekomunikasi, maka pada tanggal 18 Agustus 2020, MASTEL telah menyampaikan aspirasinya kepada Komisi 1 DPR dalam format Daftar Inventarisasi Masalah (DIM).
Garis besar masukan MASTEL yaitu:
Pertama, Terkait Perlindungan Privasi Warga Negara
MASTEL berpandangan bahwa bab-bab dalam draft RUU masih belum memuat ketentuan tentang peristiwa hukum penting yang sedang terjadi saat ini, yaitu:
(a) Pengumpulan/Pemrosesan Data yang dilakukan dari Luar wilayah Indonesia; sehingga data pribadi mengalir deras ke luar negeri tanpa tersentuh aturan apapun; (b) Pembedaan tanggung-jawab dari dua subjek hukum yang merupakan aktor utama dalam peristiwa pengumpulan dan pengolahan data, yakni network operator dan Platform/Apps
yang dapat melakukan perbuatan hukum yang serupa (collect, process, store, transfer)
secara sendiri-sendiri untuk kepentingan masing-masing.
Belum ada pasal yang memuat tanggung jawab hukum dari pengelola Platform/Apps dan network operator; agar jelas bagi masyarakat tentang siapa yang sedang mengelola data pribadi mereka. (c) Belum ada pasal yang menjelaskan tentang perlakuan terhadap Data Pribadi yang ketika Undang-undang ini diundangkan sudah berada di luar negeri. Sementara secara substansi, Data Pribadi tersebut masih mengandung hak asasi pribadi pemilik data yang wajib dilindungi.
Kedua, Terkait Kedaulatan Data
Isu penempatan data di dalam negeri dan transfer data ke luar negeri akan terus dibahas di banyak negara. Untuk menjaga kedaulatan data, pemrosesan data pribadi dilakukan di Indonesia. Apabila tidak dapat dilakukan di Indonesia, transfer data pribadi dapat dilakukan di luar Indonesia dengan batasan-batasan tertentu, misalnya belum tersedia teknologi yang sesuai spesifikasi.
UU PDP diharapkan dapat dengan jelas menjadi dasar aturan mengenai Data Residency, Data Sovereignty dan Data Localization yang lebih sesuai dengan amanah konstitusi untuk menjaga kepentingan nasional. Perlu ditambahkan kewajiban melakukan perlindungan data pribadi baik kepada yang mentransfer dan yang menerima transfer data sebagaimana dikenakan juga dalam Pasal 47 mengenai Transfer Data Pribadi Dalam Wilayah Hukum Negara Kesatuan Republik Indonesia.
Aliran Data melintasi batas negara (cross-border data flow) pasti melalui jaringan tele- komunikasi/ internet domestik ke luar Indonesia; jaringan domestik inilah wilayah teritori atau kedaulatan digital Indonesia. Deklarasi kedaulatan ini penting dimuat dalam UU.
Ketiga, Kepastian Hukum bagi Pengembangan Bisnis Digital
(a) RUU PDP telah mengecualikan kegiatan monetisasi dari lingkup jual atau beli data pribadi. Hal tersebut sudah sejalan dengan kebutuhan industri dalam era digital saat ini. Namun masih perlu penegasan tentang jenis data yang merupakan monetisasi data pribadi yang dimaksud dalam RUU PDP seperti Data Agregat. Hasil pengolahan sekumpulan data dan/ atau data pribadi yang bersifat kualitatif dan/atau kuantitatif yang menghasilkan data
agregat ini tidak lagi dapat digolongkan menjadi data pribadi karena tidak lagi dapat
mengidentifikasi seseorang secara langsung.
(b) Saat ini banyak pelaku industri data yang masih dalam kategori UMKM di mana perlu
mendapatkan perlindungan untuk bisa tetap hidup dengan memanfaatkan kesempatan
besar dalam ekonomi data. Contohnya adalah kegiatan perekaman seluruh kegiatan
pemrosesan Data Pribadi ini yang secara teknis menimbulkan konsekuensi teknis dan biaya. Mengingat Pengendali Data di Indonesia kemungkinan sangat banyak yang perorangan, start-up ataupun perusahaan skala mikro kecil, perlu ada upaya memastikan agar aturan Perlindungan Data juga dapat dijalankan oleh korporasi pada level UMKM.
Oleh karena itu, perlu memberikan klausa pengurangan beban kewajiban, atau pengecualian bagi UMKM dengan mendefinisikan parameter skala bisnis seperti terkait jumlah karyawan atau parameter lainnya. Contoh pendefinisian skala bisnis yang bisa dilakukan pada ‘organisasi berskala kecil’ dan ‘usaha mikro, kecil dan menengah’ yaitu badan usaha atau organisasi yang memiliki karyawan kurang dari 50 orang.
(c) Dengan adanya afirmasi bagi UMKM dalam UU PDP, kesempatan berusaha bagi Badan
Usaha Dalam Negeri juga akan berkembang, khususnya dalam hal monetasi Data. Karena
secara umum makna monetisasi adalah mengubah sesuatu menjadi uang, atau mendapatkan sesuatu dari uang. Sehingga dalam hal kegiatan monetasi data dilakukan
dengan mematuhi prinsip-prinsip perlindungan data yang diatur dalam UU, maka Pemanfaatan hasil pengolahan sekumpulan data pribadi seperti agregat data oleh Badan
Usaha Dalam Negeri, tidak termasuk jual/ beli data pribadi.
(d) MASTEL mengusulkan pula agar pengenaan sanksi pidana penjara diusulkan untuk dihapus dan lebih mengefektifkan sanksi denda atau dalam bentuk lain. Hal ini melihat adanya pengalaman berharga terkait penerapan UU ITE. Selain itu, sanksi-sanksi yang berupa penghentian kegiatan usaha berpotensi buruk yang dapat menghentikan kegiatan ekonomi Indonesia.
Keempat, Perlunya Komite Independen. Komite independen ini adalah sebuah badan yang memiliki kewenangan dan tanggung jawab sendiri yang diberikan/berdasarkan hukum, yang secara organisasi dipisahkan dari Menteri dan tidak dipilih secara langsung atau dikelola oleh Menteri. Terdapat tiga alasan pentingnya keberadaan lembaga independen sehingga implementasi RUU PDP ini dapat berjalan lancar.
(a) Pertimbangan Best Practice. Semua negara yang lebih dahulu menerapkan UU PDP
mewajibkan adanya lembaga independen. Mengingat tingkat kesadaran masyarakat
Indonesia terhadap perlindungan data masih rendah sehingga aspek perlindungan data nya
pun masih perlu ditingkatkan.
(b) Pertimbangan Reciprocity dan Kesetaraan dengan Aturan Internasional. Hampir semua
perjanjian dan standar internasional tentang perlindungan data pribadi, mengharuskan
pembentukan otoritas pengawas independen. Sementara, UU PDP ini berlaku secara
ekstra-teritorial dalam arti hal perbuatan hukum dilakukan di luar wilayah NKRI, tapi
berakibat hukum di NKRI.
(c) Pertimbangan Objek Pengawasan. Lembaga perlindungan data tidak hanya bertugas
mengawasi entitas swasta, seperti perusahaan di berbagai sektor bisnis, tetapi mereka juga diharapkan untuk mengawasi lembaga publik, yaitu badan atau lembaga eksekutif,
legislatif, dan yudikatif.
Demikian butir-butir pemikiran dan pandangan MASTEL yang sangat direkomendasikan untuk dimuat di dalam UU PDP nanti, karena UU Perlindungan Data Indonesia ini adalah UU yang ke 130 lebih, sehingga seharusnya merupakan UU Perlindungan Data yang lebih baik dan lebih lengkap, sebagaimana pernah dinyatakan oleh beberapa anggota DPR RI . (ark/mastel)