Undang-Undang Perlindungan Data Pribadi kian dibutuhkan di tengah maraknya peretasan yang tak hanya mengancam data masyarakat, tetapi juga negara.

 

JAKARTA, KOMPAS – Pemerintah dan Dewan Perwakilan Rakyat hendaknya mendahulukan kepentingan rakyat dengan segera mengakhiri perbedaan pandangan mengenai sejumlah materi krusial dalam Rancangan Undang-Undang tentang Perlindungan Data Pribadi. Sebab, selain pembahasan sudah memakan waktu lama, perlindungan data pribadi juga semakin dibutuhkan di tengah maraknya peretasan yang tidak hanya mengancam data pribadi masyarakat, tetapi juga data negara.

Hingga Rabu (6/4/2021), pembahasan Rancangan Undang-Undang tentang Perlindungan Data Pribadi (RUU PDP) masih buntu karena ada perbedaan pendapat antara pemerintah dan DPR mengenai kelembagaan pengawas data pribadi. Pemerintah menginginkan kelembagaan pengawas berada di bawah Kementerian Komunikasi dan Informatika (Kominfo). Sementara DPR ingin lembaga pengawas data pribadi langsung berada di bawah presiden.

Ketua Komisi I DPR Meutya Hafid mengatakan, Komisi I berupaya mencari titik temu, baik dengan menyerap masukan publik, rapat internal, rapat panitia kerja, maupun lobi-lobi.

Hal yang membuat RUU lama itu bukan karena penjadwalan, tetapi karena adanya perbedaan pandangan terhadap suatu isu. Dalam hal ini mengenai kedudukan badan pengawas,” ungkap Meutya, pekan lalu.

DPR memberikan kesempatan kepada pemerintah untuk menimbang ulang usulannya mengenai kedudukan badan pengawas pelindungan data pribadi sehingga dapat dicapai kesepakatan. Saat ini, Komisi I juga tengah melakukan simulasi untuk memberikan kewenangan pengawasan perlindungan data pribadi kepada Badan Siber dan Sandi Negara (BSSN).

Anggota Komisi I DPR dari Fraksi Partai Golkar, Christina Aryani, menjelaskan, usulan pemberian kewenangan kepada BSSN sebagai badan pengawas masih harus dikomunikasikan dengan pemerintah. Hal itu pun sebenarnya tidak ideal karena di negara lain posisi otoritas pengawas data pribadi tidak merangkap dengan tugas pokok dan fungsi lain. ”Exercise pendayagunaan BSSN lebih kepada itikad baik kami di DPR untuk mencari solusi agar RUU PDP bisa diundangkan,” katanya.

Tidak serius

BSSN dipertimbangkan dapat menjadi jalan tengah bagi kebuntuan RUU PDP karena selama ini tupoksi BSSN berkaitan dengan bidang keamanan siber. Ketika terjadi permasalahan kebocoran data, BSSN juga memberikan keterangan dalam penyelidikan yang dilakukan kepolisian.

”Kalau sampai ini tidak bisa juga dijadikan solusi, ngotot tetap harus di bawah Kominfo, maka kami menilai pemerintah tidak serius mencari solusi. Sebab, pembentukan undang-undang itu menjadi kewenangan bersama antara DPR dan presiden, bukan pemaksaan kehendak satu pihak,” ucap Christina.

Menanggapi usulan itu, Juru Bicara BSSN Anton Setiawan menyampaikan siap mendukung setiap kebijakan pemerintah serta melaksanakan segala amanat yang diberikan. Dalam pelaksanaan tugas itu nanti, BSSN akan mengedepankan prinsip kolaborasi dengan pihak-pihak terkait.

 

”Hal yang terpenting, lembaga otoritas perlindungan data pribadi sebagai komponen utama dalam menjalankan pengawasan harus memiliki kapabilitas dan sumber daya yang mencukupi guna menjalankan fungsi tersebut,” ujar Anton.

Sementara itu, Direktur Jenderal Aplikasi Informatika Kementerian Kominfo Semuel Pangerapan mengatakan, usulan DPR belum disampaikan secara resmi kepada pemerintah. Karena itu, pemerintah belum dapat berkomentar lebih jauh mengenai usulan DPR tersebut.

”Kami belum pernah mendengar usulan disampaikan. Namun, apa pun itu, penting bagi kita semua untuk duduk dan membahas solusi terbaik bagi masyarakat karena UU ini sangat dibutuhkan. Kalau bisa, duduk dan membahasnya dengan argumentasi-argumentasi yang bisa diterima,” lanjutnya.

Namun, Semuel menegaskan, akan lebih baik jika pengawasan tetap berada di tangan pemerintah. Hal ini sejalan dengan peraturan lain terkait dengan PDP, seperti Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan PP No 80/2019 tentang Perdagangan Melalui Sistem Elektronik, dengan kewenangan pengawasan itu ada di tangan pemerintah.

”Kalau bukan diberikan kepada pemerintah, lalu diberikan kepada siapa? Bagaimana pertanggungjawaban dan pengendaliannya nanti? Sebab, dengan diberikan kepada pemerintah, ini akan menjadi lebih jelas siapa yang bertanggung jawab,” tuturnya.

Untuk mengawasi perlindungan data pribadi, lanjut Semuel, diperlukan profesi setingkat penyidik pegawai negeri sipil (PPNS). Kementerian Kominfo memiliki PPNS tersebut. Keberadaan lembaga pengawasa saja tanpa ada mekanisme penegakan hukum dari PPNS akan membuat pelanggaran terhadap UU PDP tidak bisa ditindak dan masyarakat yang akan dirugikan.

Jika kewenangan lembaga itu diberikan kepada pemerintah, semua pihak bisa mengawasi kerja-kerja pemerintah. Bahkan, pemerintah juga bisa digugat jika dalam melakukan kerja-kerjanya tidak sesuai dengan aturan undang-undang.

”Sebaiknya kita tidak terlalu apriori dengan pemerintah sebab pemerintah juga sudah berbenah. Di alam demokrasi semacam ini, pemerintah bisa diawasi siapa saja. Ombudsman bisa mengawasi kerja kami dan DPR juga bisa memanggil pemerintah jika ada kerja pengawasan tidak sesuai undang-undang,” katanya.

Kelembagaan ideal

Menurut pengajar hukum siber dari Universitas Padjadjaran, Bandung, Sinta Dewi Rosadi, peran pengawasan dapat diberikan kepada Komisi Informasi Pusat (KIP) atau Ombudsman RI jika badan otoritas pengawas perlindungan data pribadi tidak bisa dibentuk. Sebab, keduanya merupakan lembaga negara yang independen.

Jika otoritas pengawasan diberikan kepada KIP, lembaga itu bisa dipisah menjadi dua kamar. Pertama, komisi yang bertugas membuka informasi publik. Kedua, komisi yang berfokus melindungi data pribadi. Konsekuensinya, harus ada pemilihan komisioner baru dengan bidang yang sesuai. Praktik seperti ini sudah diterapkan di negara lain, seperti Inggris.

Sinta tidak menyarankan otorita pengawas data pribadi itu berada di bawah kementerian karena masalah independensi. Hal itu tidak akan efektif karena pemerintah menjadi regulator sekaligus subyek yang diawasi. Walaupun pemerintah mengatakan bisa menjaga independensi, hal itu tetap dipertanyakan.

”Kalau terus-menerus deadlock, semua malah akan rugi bersama karena tidak punya RUU PDP yang ditunggu-tunggu. Bagaimana komitmennya, kok, tidak ada yang mengalah sama sekali. Kalau negosiasi macet, kan, harusnya ada alternatif,” kata Sinta.

Sinta kurang sepakat dengan usulan DPR memasukkan otoritas pengawas data pribadi ke BSSN. Sebab, pada dasarnya, BSSN adalah lembaga yang dibentuk untuk menjaga keamanan siber. BSSN difungsikan sebagai lembaga keamanan sistem siber negara. Tugas BSSN lebih kepada masalah keamanan data dari aspek intelijen. Jika disatukan dengan pengawasan perlindungan data pribadi, hal itu justru akan berpotensi konflik. Apalagi, BSSN adalah lembaga yang berada di bawah pemerintah.

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, idealnya, untuk memastikan efektivitas UU PDP, otoritas pengawas perlindungan data pribadi memang harus bersifat independen. Dari 145 negara di dunia yang sudah memiliki UU PDP, 80 persen di antaranya memiliki otoritas PDP yang independen. Apalagi, di Indonesia, UU PDP tidak hanya mengikat sektor swasta, tetapi juga pemerintah. Pemerintah pun akan bertindak sebagai pengendali data yang mengelola data pribadi nasional.

”Kementerian Kominfo juga akan bertindak sebagai pengendali data. Misalnya, saat kita registrasi SIM card itu akan masuk ke sana. Mereka juga akan mengelola data kependudukan sehingga tidak tepat jika otoritas pengawas data pribadi di bawah Kementerian Kominfo,” ucap Wahyudi.

Jika otoritas pengawas tetap dipaksakan dibentuk di bawah pemerintah, lanjut Wahyudi, UU PDP diyakini tidak akan efektif dijalankan. Pengalaman Jepang dan Korea Selatan yang mengamendemen UU PDP untuk mengubah posisi serta bentuk otoritas pengawas semestinya menjadi pertimbangan. Kedua negara itu sebelumnya menempatkan otoritas pengawas perlindungan data pribadi di bawah pemerintah, tetapi kini diubah menjadi lembaga independen.

 

Terkait usulan DPR bahwa BSSN bisa menjadi otoritas pengawas perlindungan data pribadi, Wahyudi mengatakan, bisa saja hal itu diterapkan. Namun, kelembagaan BSSN harus disesuaikan. Sebagai pengawas PDP, BSSN tidak bisa dengan model kepemimpinan sekarang. Idealnya, ada beberapa komisioner yang pemilihannya melibatkan proses politik antara presiden dan DPR. Alasannya, sebagai pengawas PDP, BSSN harus bisa mengambil keputusan secara kolektif kolegial.

”Kalau model kepemimpinan seperti sekarang, presiden bisa sewaktu-waktu mengganti Kepala BSSN. Ini tidak cocok dengan persyaratan pengawasan data pribadi. Jika memang tidak mau menambah nomenklatur lembaga baru, struktur lembaga BSSN harus dibenahi,” tutur Wahyudi.

Idealnya independen

Dihubungi terpisah, pengajar hukum siber di International Islamic University Malaysia, Sonny Zulhuda, mengatakan, Indonesia dan India adalah dua negara dari G20 yang belum memiliki UU PDP. Situasi ini tentu sangat merugikan Indonesia karena saat ini Indonesia memegang presidensi G20. Sebelum perhelatan Konferensi G20 digelar, sebaiknya Indonesia telah memiliki UU PDP.

”Sebab, salah satu fokus presidensi G20 di bawah Indonesia ialah transformasi ekonomi berbasis digital. Bagaimana mungkin Indonesia bicara soal transformasi ekonomi berbasis digital jika belum memiliki UU PDP yang krusial bagi perlindungan data di era ekonomi digital,” katanya.

Oleh karena itu, menurut Sonny, pembuat kebijakan saat ini harus berusaha sangat keras untuk mewujudkan UU PDP. Upaya titik temu harus segera dicapai sehingga Indonesia selaku presidensi G20 tidak malu di hadapan dunia dan memiliki landasan kuat berbicara mengenai transformasi ekonomi berbasis digital.

Mengenai solusi yang mungkin dapat dicapai dari kebuntuan ini, menurut Sonny, usulan BSSN sebagai lembaga yang diberi kewenangan pengawasan data pribadi sesungguhnya tidak ideal. Karena Indonesia mengatur perlindungan data pribadi itu mencakup juga data yang dikelola swasta ataupun pemerintah, idealnya lembaga tersebut independen. Kalau berada di bawah kementerian dan setingkat direktur jenderal, dikhawatirkan akan muncul kendala ego sektoral antarlembaga pemerintahan.

Namun, melihat situasi kebuntuan dalam pembahasan RUU PDP, menurut Sonny, bisa saja BSSN dijadikan alternatif solusi. BSSN juga ada di bawah ranah pemerintah dan bertanggung jawab kepada presiden langsung. Selama ini, BSSN juga mengurusi keamanan siber serta memiliki kemampuan koordinatif.

Hanya saja, Sonny mengingatkan, ada pemahaman yang berbeda antara paradigma keamanan data yang selama ini dijalankan BSSN dan paradigma perlindungan data pribadi. Perlindungan data pribadi itu terkait dengan hak-hak pribadi masyarakat dan berkenaan langsung dengan bisnis dan industri digital, sedangkan keamanan data berkaitan dengan keamanan nasional.

”Ini dua paradigma yang berbeda, yang nantinya akan diemban oleh BSSN. Yang satu berkaitan dengan hak asasi manusia dan kesejahteraan masyarakat serta urusan ekonomi. Sementara satu lagi bicara tentang keamanan negara atau keamanan nasional,” katanya.

Dua paradigma yang dijalankan oleh satu lembaga itu dikhawatirkan akan berbenturan. ”Jangan sampai nanti isu-isu perlindungan data ini tertutup demi kepentingan nasional. Sebab, ketika bicara keamanan negara, itu pasti nomor satu. Bahkan, urusan perlindungan HAM bisa dikesampingkan,” kata Sonny.

Usulan memberikan kewenangan kepada BSSN dalam pengawasan data pribadi bisa saja dibicarakan sebagai alternatif solusi kendati itu juga bukan sesuatu yang ideal serta mengandung risiko. ”Harus dibuat jalur yang jelas di BSSN, mana kepentingan perlindungan data pribadi dan mana yang merupakan urusan keamanan nasional,” ucapnya.

Ketua Indonesia Cyber Security Forum Ardi Sutedja juga berpandangan, posisi lembaga otoritas perlindungan data pribadi seharusnya tetap independen. Jalan tengah yang bisa ditempuh jika pembahasan RUU PDP tetap buntu adalah presiden dapat mengeluarkan keputusan presiden (keppres) untuk membentuk badan independen berupa komisi perlindungan data.

”Badan tersebut harus beranggotakan multistakeholder mengingat perlindungan data ini adalah masalah yang sudah mencakup hajat hidup orang banyak,” ujar Ardi.

Ia mengingatkan, pemerintah dan DPR harus menyadari bahwa keberadaan RUU PDP menjadi undang-undang adalah taruhan besar bagi Indonesia. Dalam artian, kehadiran legislasi tersebut untuk menjaga persepsi dan reputasi bangsa serta kepercayaan dunia usaha domestik ataupun global bahwa Indonesia mampu menjaga dan melindungi data. Hal ini akan menjadi salah satu tolok ukur investasi yang akan dipergunakan dunia usaha global jika ingin berinvestasi ke Indonesia.

”Jadi, penundaan pengesahan RUU PDP merupakan sesuatu yang sangat mengecewakan bagi masyarakat ataupun dunia usaha mengingat jumlah manhour ataupun biaya mempersiapkan RUU PDP yang telah dihabiskan sangat besar dan alangkah baik semua pihak bisa mencari titik temu guna tetap memelihara kepercayaan publik,” tutur Ardi.

Berkaitan soal wacana pemberian wewenang lembaga otoritas perlindungan data pribadi kepada BSSN, menurut Ardi, hal itu sangatlah keliru. Perlindungan data pribadi memang terdapat ranah sibernya, tetapi pengelolaan serta keamanannya tetap menjadi tanggung jawab penyelenggara sistem elektronik.

Tugas pokok dan fungsi BSSN saat ini sudah sangat luas, selain itu juga kemampuannya masih terbatas. Hal ini tecermin dalam laporan tahunan BSSN tahun 2021 yang baru terbit beberapa waktu lalu. Karena itu, apabila beban tanggung jawab perlindungan data diberikan kepada BSSN, hal ini sama saja memaksa BSSN untuk melakukan tugas yang melebihi kapasitas dan kemampuan yang dimilikinya.

”Lembaga otoritas nanti perlu juga diisi SDM yang mumpuni dan tidak boleh ada pendekatan secara birokratis karena ini menyangkut hajat hidup orang banyak,” kata Ardi.

Ia pun mengingatkan, kebocoran data tidak melulu akibat serangan siber. Kebocoran data bisa juga terjadi akibat faktor-faktor lain, seperti perintah undang-undang. Misalnya, UU Pemilu di mana pihak Komisi Pemilihan Umum (KPU) diwajibkan untuk berbagi data dengan para kontestan pemilu.

Untuk itu, ia menilai, saat ini di samping perlunya badan independen dalam ikut mengelola masalah perlindungan data, peran serta para pengelola dan penyelenggara sistem elektronik juga harus bisa ditingkatkan berdasarkan pola-pola yang bersifat best practices. Artinya, mereka harus mengikuti norma-norma yang saat ini sudah berlaku global, seperti Regulasi Umum Perlindungan Data (General Data Protection Regulation), dan hal ini tidak perlu menunggu disahkannya RUU PDP menjadi undang-undang.