RUU PDP simpan potensi penyalahgunaan kekuasaan

JAKARTA (IndoTelko) - Komisi I DPR RI mengingatkan potensi penyalahgunaan kekuasaan oleh negara (abuse of power) dalam Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). Potensi ini terlihat dari tidak jelasnya ketentuan yang mengatur sanksi terhadap lembaga negara jika terjadi penyalahgunaan data pribadi warga.

"Dalam RUU yang sudah masuk ke DPR, hal ini belum diatur. RUU PDP hanya mengatur sengketa antar pribadi dan sengketa pribadi dengan korporasi," kata Anggota Komisi I DPR RI Willy Aditya dalam Rapat Komisi I dengan Menteri Komunikasi dan Informatika Johnny G. Plate di Gedung DPR RI, Senayan, Jakarta, Selasa (25/2).   

Menurut Willy, hal ini amat penting karena menyangkut hal yang paling mendasar dalam isu perlindungan data pribadi. Baginya, kedaulatan data pribadi harus menjadi semangat utama RUU tersebut, bukan hanya sebagai komoditas semata.

“Ketika aksesnya tidak dibatasi untuk kepentingan apa dan oleh siapa, maka ini akan sangat riskan terhadap abuse of power. Nah, ini benar – benar harus jelas benang merahnya. Kuasa korporasi sampai ke mana, kuasa negara sampai di mana,” jelas Willy.

Menurutnya, bukan hanya korporasi yang berpotensi melakukan pelanggaran, lembaga negara juga berpotensi melanggar atau melakukan penyalahgunaan terhadap data pribadi warganya. Kasus Ilham Bintang menjadi contoh yang paling aktual terkait hal ini. Dalam kasus tersebut, Otoritas Jasa Keuangan (OJK) menjadi pihak yang disinyalir paling bertanggung jawab atas kerugian yang dialami olehnya.

"Apalagi banyak lembaga negara yang saat ini memiliki data pribadi warga. Kemendagri, Kominfo, Kepolisian, dsb. Jadi RUU ini juga harus menekankan bagaimana antisipasi terhadap penyalahgunaan lembaga negars atas data pribadi warganya, itu disiapkan. Jangan sampai kedaulatan warga terlanggar, meski atas nama negara," ujarnya.

Willy mengusulkan perlunya mempertimbangkan sebuah kelembagaan yang secara khusus bertindak sebagai regulator dan pengawas dalam rangka pelindungan data pribadi ini. Keberadaan lembaga ini bersifat independen seperti lembaga-lembaga lainnya.

"Lembaganya independen seperti Komnas HAM, KPI, KPK, dan sebagainya  merupakan lembaga independen yang dibentuk oleh negara. Ini saya kira perlu dipertimbangkan keberadaannya," tutupnya.

Sementara Menkominfo Johnny G. Plate menjelaskan bahwa Raker tersebut dalam rangka menindaklanjuti Surat Presiden (Surpres) yang pertama kepada DPR, terkait RUU Perlindungan Data Pribadi. Melalui Surpres tersebut, pemerintah berharap segera disusun jadwal pembahasannya.

"Kami harapkan setelah ini disusun jadwal pembahasan RUU, sekaligus persiapan DIM oleh fraksi-fraksi di DPR RI, mengingat bahwa saat ini juga sedang ada beberapa UU penting lainnya, seperti RUU Omnibus Cipta kerja misalnya," tutur Menteri Johnny

Johnny  berharap, DPR RI juga mempunyai waktu yang cukup agar secara simultan dapat membahas RUU sehingga dapat menjadi undang-undang pertama yang disahkan di masa sidang tahun 2020.

Dijelaskannya, RUU PDP menekankan tiga point penting dalam perlindungan data, yakni kedaulatan data, perlindungan terhadap pemilik data pribadi dan hak-hak pemilik data pribadi, serta kewajiban pengguna data pribadi.

"Di dalamnya sudah diatur sedemikian rupa, sehingga yang terkait dengan data pribadi yang tersebar di berbagai sektor dan 31 UU, hak-hak pemilik datanya diatur dalam UU ini," jelasnya

Setelah RUU PDP nantinya disahkan, pemerintah yakin, penyimpangan penyalahgunaan dan kesewenangan penggunaan data pribadi bisa diberi sanksi, pemilik data pribadi juga mempunyai perlindungan yang memadai secara hukum.

Secara umum, lingkup pengaturan RUU Pelindungan Data Pribadi ini berlaku untuk sektor publik (pemerintah) dan sektor privat (perorangan maupun korporasi, baik yang berbentuk badan hukum maupun tidak berbadan hukum). RUU Pelindungan Data Pribadi mengatur tentang: (1) jenis data pribadi; (2) hak pemilik data pribadi; (3) pemrosesan data pribadi; (4) kewajiban pengendali data pribadi dan prosesor data pribadi dalam pemrosesan data pribadi; (5) transfer data pribadi; (6) sanksi administratif; (7) larangan dalam penggunaan data pribadi; (8) pembentukan pedoman perilaku pengendali data pribadi; (9) penyelesaian sengketa dan hukum acara; (10) kerja sama internasional; (11) peran pemerintah dan masyarakat; dan (12) ketentuan pidana.

Dalam RUU ini, data pribadi didefinisikan sebagai “setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik.” Data pribadi terdiri atas data pribadi yang bersifat umum dan spesifik. Data pribadi yang bersifat umum antara lain nama lengkap, jenis kelamin, kewarganegaraan, agama, dan / atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Data pribadi yang bersifat spesifik antara lain mencakup data biometrik, data genetika, data kesehatan, dan data keuangan pribadi maupun data lainnya yang spesifik.

Dalam melakukan pemrosesan data pribadi, RUU Pelindungan Data Pribadi mengatur prinsip-prinsip, antara lain:

Pertama, pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, patut, dan transparan.

Kedua, pemrosesan data pribadi dilakukan sesuai dengan tujuannya, serta dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan.

Ketiga, pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, dan pengubahan secara tidak sah, serta penyalahgunaan, perusakan, dan/atau kehilangan data pribadi.

Keempat, dalam hal terjadi kegagalan dalam pelindungan data pribadi (data breach), pengendali data pribadi wajib memberitahukan kegagalan tersebut pada kesempatan pertama kepada pemilik data pribadi.

Kelima, data pribadi wajib dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan pemilik data pribadi (right to erasure) kecuali ditentukan lain oleh peraturan perundang-undangan.

Dalam RUU Pelindungan Data Pribadi mengatur tentang pihak-pihak yang terlibat dalam pemrosesan data pribadi, yaitu pemilik data pribadi, pengendali data pribadi, dan prosesor data pribadi. Pemilik data pribadi selaku subyek data memiliki hak, antara lain: (1) hak untuk meminta informasi; (2) hak untuk melengkapi, mengakses, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi miliknya; (3) hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi miliknya (right to erasure); (4) hak untuk menarik kembali persetujuan pemrosesan; (5) hak untuk mengajukan keberatan atas tindakan profiling; (6) hak terkait penundaan atau pembatasan pemrosesan; dan (7) hak untuk menuntut dan menerima ganti rugi.

Pengendali data pribadi adalah pihak yang menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Dengan demikian, pengendali data pribadi bertanggung jawab atas seluruh pemrosesan data pribadi. Di lain pihak, prosesor data pribadi adalah pihak yang melakukan pemrosesan data pribadi atas nama pengendali data pribadi.

Lingkup kewajiban baik pengendali data pribadi maupun prosesor data pribadi dapat berbeda, namun tetap memiliki kewajiban dasar yang sama, seperti: (1) menjaga kerahasiaan data pribadi; (2) melindungi dan memastikan keamanan data pribadi, termasuk menjaga data pribadi diakses secara tidak sah; (3) melakukan pengawasan terhadap seluruh aktivitas pemrosesan data pribadi; (4) melakukan perekaman aktivitas pemrosesan data pribadi; dan (5) menjamin akurasi, kelengkapan, perbaikan dan konsistensi data pribadi.

Untuk dapat melakukan pemrosesan data pribadi, pengendali data pribadi harus melakukan pemrosesan data pribadi berdasarkan: (1) persetujuan yang sah dan tegas dari pemilik data pribadi; (2) pemenuhan kewajiban perjanjian; (3) pemenuhan kewajiban hukum; (4) pemenuhan pelindungan kepentingan yang sah (vital interest) Pemilik Data Pribadi; (5) pelaksanaan kewenangan Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan; (6) pemenuhan kewajiban Pengendali Data Pribadi dalam pelayanan publik untuk kepentingan umum; dan/atau (7) pemenuhan kepentingan yang sah lainnya yang diatur sesuai Undang-Undang.(id)