Techbiz.id – Naskah Rancangan Undang-Undang tentang Pelindungan Data Pribadi (RUU PDP) telah secara resmi diserahkan Presiden Joko Widodo kepada Ketua Dewan Perwakilan Rakyat RI melalui Surat Presiden No. R-05/Pres/01/2020 tanggal 24 Januari 2020 lalu.
Presiden menugaskan Menteri Komunikasi dan Informatika, Menteri Dalam Negeri, dan Menteri Hukum dan HAM sebagai perwakilan pemerintah untuk mewakili Presiden dalam pembahasan RUU PDP dengan DPR RI. Rancangan UU PDP ini akan menjadi standar pengaturan nasional tentang pelindungan data pribadi, baik data pribadi yang berada di Indonesia maupun data pribadi warga negara Indonesia yang berada di luar negeri.
Di satu sisi, kita memang saat ini begitu membutuhkan adanya pelindungan terhadap data masyarakat, yang sekarang ini telah banyak disalahgunakan. Namun di sisi lain, disayangkan bahwa RUU ini tidak memberikan ruang partisipasi yang cukup bagi semua stakeholders untuk memberikan masukan dan bahkan kritikan. Yang bahkan, RUU ini sempat ingin digolkan di saat terakhir DPR periode lalu bersamaan dengan RUU KPK dan RUU kontroversial lainnya.
Membaca draft RUU ini versi final (061219), ada beberapa catatan yang diharapkan menjadi pertimbangan tinjauan RUU ini menjadi lebih lengkap dan baik.Draft RUU ini masih kebingungan untuk menentukan data mana yang dilindungi, apakah data spesifik atau data umum. Soal tanggal lahir saja tidak bisa ditentukan apakah data umum atau data spesifik.
Draft RUU ini banyak mengadopsi atau mencontek dari GDPR. Dan memang masih banyak ketidakjelasan, lubang dan PR bilamana RUU ini disahkan jadi UU. Apalagi semua penyelenggaraan pelindungan data pribadi ada di Menteri. Namun Menteri yang mana yang bertanggung jawab, tidak jelas.
Ada dua pasal mengatur pengecualian, ini perlu dipilah lagi mana yang tetap harus dilindungi dan mana yang dikecualikan.
Sanksi-sanksinya terutama terkait pidana sangat berat, apalagi kalau lihat ancaman kurungan dan atau ancaman denda hingga puluhan miliar. Ini harus dibuka dasar menghitungnya dari mana. Sebab kalau GDPR kan yang kena denda lebih ke lembaga atau organisasi yang besarnya 4% dari turnover. Nah di RUU ini kan masuk ke individu juga.
Ada juga ketentuan data-data juga bisa dipindah-pindahkan dari satu Pengendali Data Pribadi ke lainnya dalam satu wilayah RI dengan tanpa ada aturan bahwa itu perlu persetujuan Pemilik Data Pribadi. Ini sangat-sangat berbahaya.
Tidak terlihat adanya suatu Lembaga Pengawas/Pemberi Pelindungan Data Pribadi. Beberapa negara ada lembaga itu. Kalau semua di bawah Menteri, tapi tidak jelas Menteri yang mana. Dikhawatirkan nantinya kita punya UU nantinya, tapi yang mengatur, mengawasi dan mengendalikannya tidak ada. Bisa seperti macan ompong
Tidak terlihat juga adanya aturan kewajiban penempatan Data Pribadi orang Indonesia di wlayah hukum Indonesia. Ini perlu diperjuangkan. Harusnya baik pengendali maupun pemroses data pribadi harus berbadan hukum Indonesia dan menempatkan data pribadi orang Indonesia di dalam wilayah Indonesia.
RUU ini terlihat masih memisahkan Pengendali Data Pribadi dan Pemroses Data Pribadi. Padahal, seperti Facebook, Twitter, WhatsApp dan OTT lainnya mereka Pengendali Data Pribadi, tapi juga Pemroses Data Pribadi. Nah ini yang belum terlihat secara tegas mengaturnya, karena seperti dua sisi mata uang. Dan tentunya bagaimana menjatuhkan sanksi bila mereka melanggar juga tidak jelas nantinya. (Artikel ini ditulis oleh: Heru Sutadi (Pengamat Telekomunikasi Indonesia)