Masyarakat menaruh harapan besar adanya sistem pelindungan data pribadi yang lebih baik melalui pengundangan UU PDP. Mata negara-negara sahabat juga tertuju pada Indonesia untuk melihat bagaimana negara ini akan melakukan pengawasan dan penegakan hukum yang baru disahkan DPR beberapa waktu lalu. Lahirnya Lembaga Pelindungan Data Pribadi diharapkan menjadi jawaban dalam memenuhi harapan masyarakat dan memperkuat kerja sama antara Indonesia dan negara-negara lain dalam pemrosesan data pribadi lintas batas.
Reformasi hukum dan praktik
RUU PDP yang disahkan oleh DPR akan berlaku dalam waktu dekat. Legislasi ini akan mereformasi sistem pelindungan data pribadi di Indonesia baik dari aspek hukum maupun praktik. Reformasi terhadap hukum mungkin lebih mudah dibandingkan dengan reformasi praktik pemrosesan data pribadi yang telah berlangsung selama ini. Reformasi praktik akan berkaitan erat dengan perubahan kultur dan kebiasaan manajerial maupun sumber daya manusia.
Reformasi sistem pelindungan data pribadi diawali dengan dikukuhkannya hak atas pelindungan data pribadi sebagai bagian dari hak konstitusional warga negara Indonesia. Pentingnya pengukuhan ini ialah karena sama seperti hak atas privasi, hak atas pelindungan data pribadi tidak disebutkan secara tegas dalam Konstitusi Indonesia. Salah satu implikasinya ialah ketentuan-ketentuan dalam UU PDP akan diterapkan tidak hanya kepada sektor privat tetapi juga sektor publik. Implikasi lainnya ialah sebagai bagian dari hak konstitusional, hak atas pelindungan data pribadi akan mendapatkan pelindungan konstitusional. Pembatasan terhadap hak juga harus dilakukan secara konstitusional.
Penerapan UU PDP juga akan mengubah praktik pemrosesan data pribadi. Keberagaman pengaturan dalam regulasi sektor juga secara gradual akan diharmonisasikan dengan UU PDP. Dasar hukum pemrosesan data pribadi tidak hanya persetujuan subjek data pribadi, tetapi juga berdasarkan pelaksanaan kontrak, kewajiban hukum pengendali, kepentingan publik, kepentingan vital subjek data pribadi, dan kepentingan pengendali yang sah. Semua dasar hukum tersebut sebenarnya sudah digunakan dalam praktik yang dimungkinkan berdasarkan berbagai peraturan perundang-undangan. UU PDP menandaskan dan membakukan keenam dasar hukum pemrosesan tersebut. Dengan adanya kejelasan mengenai dasar hukum pemrosesan, pengendali atau prosesor data pribadi lebih memiliki kepastian hukum dan fleksibilitas dalam menyelenggarakan aktivitasnya.
Reformasi terhadap praktik pemrosesan data pribadi juga akan semakin terlihat dengan penerapan prinsip-prinsip pemrosesan. Sebagai contoh, UU PDP mengatur pengumpulan data pribadi dilakukan secara terbatas dan spesifik. Oleh karena itu, praktik yang menggunakan klausul-klausul pengumpulan data pribadi secara fleksibel (meliputi tetapi tidak terbatas pada) akan dipertanyakan, digugat, atau bahkan dapat dibatalkan. Contoh lain adalah pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan yang tidak sah. Implikasi dari prinsip ini ialah pengendali dan prosesor data pribadi harus menerapkan pengamanan dari segi teknis dan teknologi serta manajerial.
Reformasi sistem pelindungan data pribadi juga diharapkan akan terlihat dari pemenuhan hak-hak subjek data pribadi yang diatur dalam UU PDP. Mengingat hak atas pelindungan data pribadi merupakan hak konstitusional, hak-hak subjek data pribadi juga merupakan bagian dari hak konstitusional. Beberapa hak tersebut ialah hak mendapatkan informasi mengenai pemrosesan serta identitas pengendali atau prosesor data pribadi. Hak lainnya ialah hak mengakses dan memperbaiki data pribadi, termasuk hak untuk menghentikan atau menunda pemrosesan data pribadi. Subjek data pribadi juga berhak untuk mengajukan keberatan dalam pengambilan keputusan terkait dirinya berdasarkan pemrosesan data pribadi secara otomatis. Lebih jauh lagi, UU PDP juga mengatur hak portabilitas data, yaitu hak subjek data pribadi untuk mentransfer data pribadinya dari satu pengendali ke pengendali lain. Pembatasan terhadap hak-hak tersebut dimungkinkan. Akan tetapi, mengingat hak-hak tersebut adalah bagian dari hak konstitusional, maka pembatasannya juga didasarkan pada undang-undang.
Pemenuhan hak-hak tersebut merupakan tanggung jawab pengendali data pribadi. Reformasi akan terjadi secara dinamis seiring dengan pemahaman subjek data pribadi tentang hak-haknya dan penggunaan serta pemenuhannya. Mungkin akan ada ketidaksepahaman atau sengketa antara subjek dan pengendali data pribadi. Akan tetapi, sengketa tersebut dapat menjadi satu tahap yang produktif dalam membuka tabir, menilai dan mereformasi praktik yang telah ada.
Lembaga Pelindungan Data Pribadi
Lembaga Pelindungan Data Pribadi hadir sebagai pihak yang akan menjalankan fungsi pengawasan dan penegakan UU PDP. Lembaga ini juga berfungsi memfasilitasi penyelesaian sengketa di luar pengadilan. Untuk menjalankan fungsinya, Lembaga PDP telah diperlengkapi dengan berbagai kewenangan yang progresif dan koersif.
Lembaga PDP berwenang menyusun kebijakan pelindungan data pribadi, membantu aparat penegak hukum dalam menyelesaikan tindak pidana, bekerja sama dengan lembaga pelindungan data pribadi negara lain. Selain itu, lembaga ini juga diberi kewenangan untuk melakukan pemeriksaan terhadap sistem elektronik, meminta akses terhadap data, memberikan perintah untuk menindaklanjuti hasil pengawasan, melakukan penilaian terhadap pemenuhan persyaratan transfer lintas batas, dan menjatuhkan sanksi administratif.
Sebelum RUU PDP disahkan tanggal 20 September 2022, Pemerintah dan DPR telah berdialog alot mengenai status dan kedudukan Lembaga PDP selama sekitar satu tahun. Waktu panjang in merupakan usaha untuk mencari rumusan terbaik dalam mengakomodasi tingginya ekspektasi masyarakat serta strategisnya tugas dan fungsi lembaga tersebut. Perlu ditekankan bahwa peran Lembaga PDP tidak hanya menjangkau Indonesia, tetapi juga menjangkau negara ke mana data pribadi Indonesia akan diproses.
Permasalahan Independensi Lembaga PDP
Masyarakat menginginkan Lembaga PDP merupakan institusi yang independen. Meskipun independensi merupakan elemen penting, tetapi permasalahan muncul ketika mengkonkretkan mengenai apa yang dimaksud dengan independen. Apabila yang dimaksud dengan independen ialah bahwa lembaga tersebut tidak berada di bawah pemerintah, maka pemahaman tersebut tidak sejalan dengan Konstitusi. Pasal 28I ayat (4) Konstitusi menegaskan bahwa perlindungan, pemajuan, penegakan, dan pemenuhan hak asasi manusia adalah tanggung jawab negara, terutama pemerintah. Rumusan Pasal 58 ayat (4) UU PDP telah selaras dengan Konstitusi, yaitu lembaga bertanggung jawab kepada Presiden yang merupakan cerminal utama cabang eksekutif.
Apakah dengan bertanggung jawab kepada Presiden akan secara otomatis menjadikan Lembaga PDP menjadi tidak independen? Kembali, independen tidaknya lembaga harus dimulai dengan penjelasan konsep independen yang dimaksud. Pertanyaan pragmatis ini perlu dijawab dalam peraturan presiden yang mengamanatkan pengaturan lebih lanjut lembaga tersebut. Yang jelas, aspek organisasi dan prosedur pertanggung jawaban, anggaran, sumber daya manusia, hubungan dengan kementerian atau lembaga lain akan menjadi elemen-elemen penting dalam membangun Lembaga PDP yang dapat dipercaya dan akuntabel.
Menanti Kelahiran Lembaga
Meskipun UU PDP berlaku pada tanggal diundangkan, legislasi tersebut memberikan masa tenggang paling lama dua tahun bagi pengendali dan prosesor data pribadi untuk menyesuaikan kebijakan dan praktik pemrosesan data pribadinya dengan UU PDP. Masa tenggang tersebut juga merupakan waktu menanti lahirnya Lembaga PDP.
Waktu dua tahun penting untuk digunakan secara maksimal sampai dengan Lembaga PDP dapat beroperasi secara efektif. Efektif di sini tidak hanya menekankan pada pembentukan Lembaga PDP secara de jure atau formalitas, yaitu sampai dengan diundangkannya peraturan presiden yang memuat struktur organisasi dan penjabaran lebih lanjut tugas dan fungsi Lembaga PDP. Efektif juga menekankan pada aspek de facto, yaitu lembaga telah menjalankan fungsinya untuk melakukan pengawasan dan penegakan hukum. Itu artinya, Lembaga PDP telah memiliki prosedur operasi standar, sumber daya manusia dan anggaran.
Beroperasinya secara efektif satu organisasi baru membutuhkan waktu dan pengembangannya perlu didasarkan pada evaluasi yang diikuti penyesuaian secara progresif, dari segi hukum maupun nonhukum. Akan tetapi, ada hal-hal yang seharusnya selesai sebelum Lembaga PDP berdiri. Berkaitan dengan hukum, pertama-tama, harus ditentukan bentuk lembaga tersebut. Apakah Lembaga PDP akan berbentuk kementerian, badan, atau bentuk lain yang dikenal dalam peraturan perundang-undangan. Apakah Lembaga PDP akan bertanggung jawab kepada Presiden atau kepada Presiden melalui kementerian/lembaga. Setiap pilihan bentuk lembaga memiliki kekuatan dan kelemahan masing-masing.
Kedua, bagaimana hubungan antara Lembaga PDP dan kementerian/lembaga lain yang memiliki kewenangan dan telah menjalankan pengawasan atau bahkan penegakan hukum sebelum Lembaga PDP lahir. Sebagai contoh, Kementerian Komunikasi dan Informatika, Kementerian Dalam Negeri, Kementerian Kesehatan memiliki kewenangan pengawasan dan penegakan hukum di sektor nya masing-masing. Apakah setelah Lembaga PDP terbentuk, seluruh kewenangan yang ada di kementerian/lembaga tersebut akan berakhir dan diambil alih oleh Lembaga PDP? Ataukah Lembaga PDP akan menjadi institusi induk yang akan mengawasi pelaksanaan pengawasan dan penegakan hukum yang dilakukan oleh kementerian/lembaga tersebut?
Berkaitan dengan nonhukum, kultur organisasi yang akan dibangun dalam lembaga tersebut yang sesuai dengan tugas dan fungsinya juga menjadi aspek penting. Kultur tersebut juga merefleksikan sumber daya manusia yang diperlukan untuk menjadi bagian dari lembaga. Apakah Lembaga akan diisi oleh para birokrat, pelaku industri, akademisi, penegak hukum, atau diisi oleh para pejabat sesuai dengan tugas dan fungsinya? Dalam hal Lembaga PDP sudah terbentuk dan sumber daya manusia telah terisi, dapat diprediksi bahwa organisasi ini pun membutuhkan waktu untuk memahami kultur, menyusun kebijakan internal, menggunakan anggaran, merencanakan program, menyiapkan sistem, dan sebagainya.
Sebelum Lembaga PDP beroperasi dengan efektif, kementerian/lembaga yang memiliki fungsi pengawasan dan penegakan hukum dalam penyelenggaran pelindungan data pribadi perlu tetap menjalankan tugas dan fungsinya tersebut. Hal ini dimaksudkan untuk mencegah kekosongan hukum dan memastikan bahwa hak-hak subjek data pribadi dapat tetap terlindungi.
Reformasi hukum dan praktik pelindungan data pribadi membutuhkan kemauan politik yang kuat, pertimbangan yang mendalam, kegigihan, serta konsistensi. Setelah UU PDP diundangkan, waktu akan terus berjalan dalam mempersiapkan kelahiran Lembaga PDP. Penguatan benih Lembaga PDP melalui regulasi dan perencanaan anggaran, sumber daya manusia, dan organisasi harus menjadi prioritas.
Artikel ini telah diterbitkan di kompas 22 Oktober 2022