JAKARTA, KOMPAS — Dewan Perwakilan Rakyat dan pemerintah mengatur sejumlah hal mendasar terkait dengan perlindungan data pribadi warga negara sebagai bagian dari hak asasi manusia yang harus dihargai di dalam Rancangan Undang-Undang Perlindungan Data Pribadi. Titik tolak pembahasan berangkat dari upaya mencegah penyalahgunaan data pribadi warga oleh pihak mana pun, baik perseorangan maupun korporasi, yang tidak dapat dipertanggungjawabkan.
Di dalam pembahasan lanjutan Daftar Inventarisasi Masalah (DIM) RUU Perlindungan Data Pribadi (PDP), Rabu (11/11/2020), di Jakarta, Panitia Kerja RUU PDP yang diketuai oleh Wakil Ketua Komisi I DPR Abdul Kharis, bersama dengan perwakilan pemerintah, membahas sejumlah definisi dasar untuk memberikan pengertian yang jelas tentang perlindungan data pribadi.
Satu per satu definisi dibahas, yakni mulai dari pengertian data pribadi, pemilik atau subyek data pribadi, pengendali data pribadi, hingga prosesor atau pemroses data pribadi.
Pembahasan definisi itu mengikuti struktur dari penyusunan RUU, yang dimulai dari pembuatan judul hingga unsur konsideran atau bagian menimbang dan mengingat, serta setiap definisi yang akan digunakan di dalam tubuh RUU.
Baca juga: Cegah RUU PDP Jadi Alat Negara ”Menginteli” Warga
Dari total sekitar 400 butir DIM, 89 DIM telah diselesaikan pembahasannya oleh Panja RUU PDP bersama pemerintah pada masa sidang DPR sebelumnya sehingga menyisakan sekitar 303 DIM yang akan dibahas di dalam masa sidang DPR saat ini.
Ketua Panja RUU PDP Abdul Kharis mengatakan, RUU PDP merupakan salah satu RUU prioritas yang ditargetkan dapat dituntaskan persetujuan tingkat pertamanya pada masa sidang ini. RUU itu sendiri masuk ke dalam Program Legislasi Nasional (Prolegnas) 2020 dan merupakan inisiatif pemerintah.
”Jadi, pokoknya begini, semangatnya ialah bagaimana data pribadi rakyat Indonesia harus terlindungi dengan baik. Tidak ada satu pun yang bisa memanfaatkannya untuk kepentingan komersial atau apa pun yang merugikan data pribadi warga,” ujarnya.
Di dalam pembahasan kemarin disepakati, data pribadi warga merupakan bagian dari hak asasi warga yang harus dilindungi. Dengan pengertian itu, bagian konsideran mengingat di dalam RUU itu mencantumkan pasal-pasal terkait dengan hak asasi manusia di dalam Undang-Undang Dasar 1945, yakni Pasal 5 Ayat (1), Pasal 20, Pasal 28G Ayat (1), Pasal 28H Ayat (4), dan Pasal 28J.
Namun, ada masukan juga dari sejumlah fraksi agar memperjelas bagian konsideran itu dengan Kovenan Internasional tentang Hak-hak Sipil dan Politik, Deklarasi Universal HAM, serta UU Nomor 39 Tahun 1999 tentang HAM.
Anggota Panja RUU PDP dari Fraksi Partai Kebangkitan Bangsa (PKB), Abdul Kadir Karding, mengatakan, UU HAM, Deklarasi HAM Universal, dan Kovenan Internasional tentang Hak-hak Sipil dan Politik penting untuk dimasukkan ke dalam konsideran mengingat, guna menegaskan posisi perlindungan terhadap data pribadi warga sebagai bagian dari HAM.
”Karena UU Perlindungan Data Pribadi ini, kan, sebenarnya menyebar di banyak UU, misalnya di UU ITE dan UU Kependudukan, juga masuk semua. Karena itu, usulan ini memperkuat saja dasarnya, baik dari konvensi maupun dari UU yang kita punya. Karena itu memang masuk dalam tata urutan pembuatan UU sehingga seharusnya dapat dicantumkan,” ujarnya.
Pemerintah yang diwakili oleh Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan setuju dengan konsep yang menempatkan perlindungan data pribadi sebagai bagian dari perlindungan HAM.
Hanya saja, menurut dia, pasal-pasal di dalam konstitusi yang dirujuk oleh rumusan konsideran RUU PDP dinilai telah mewakili semangat tersebut. Oleh karena itu, pencantuman kembali UU tentang HAM ataupun kovenan internasional dipandang tidak perlu lagi dilakukan.
”Untuk usulan poin pertama (tentang pasal-pasal di dalam konstitusi), itu dapat diterima. Akan tetapi, untuk poin kedua, ketiga, dan keempat (tentang UU HAM, kovenan internasional, dan deklarasai HAM), itu sebenarnya telah tercantum di dalam konstitusi. UU No 39/1999, juga merujuk pada UUD kita,” katanya.
Karena tidak tercapai kesepakatan mengenai poin mengingat dalam bagian konsideran, pimpinan rapat memutuskan untuk menunda pembahasan butir DIM terkait konsideran tersebut. Kharis mengatakan, pembahasan terkait dengan bagian mengingat akan dilanjutkan setelah ada penjelasan memadai dari perwakilan Kementerian Hukum dan HAM.
Definisi dasar
Pembahasan DIM lainnya menyangkut pengertian data pribadi, pengendali data pribadi, dan pemroses (prosesor) data pribadi. Data pribadi disepakati oleh fraksi-fraksi untuk didefinisikan sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombisasikan dengan informasi lainnya, baik secara langsung maupun tidak langsung, melalui sistem elektronik atau non-elektronik.
Terkait pengertian itu, anggota Panja RUU PDP dari Fraksi Golkar, Bobby Adhityo Rizaldi, mempertanyakan, apakah definisi data pribadi yang dilindungi di dalam RUU PDP itu secara eksplisit berarti tidak termasuk data korporasi, tetapi hanya data orang perorangan warga negara. Hal ini, lanjutnya, harus diperjelas karena di dalam pengaturan RUU tersebut juga diatur tentang perusahaan platform elektronik dan media sosial yang merupakan organisasi internasional.
Dalam kaitannya dengan perusahaan platform, sekalipun belum ada DIM terkait jenis korporasi itu yang dibahas oleh panja, Kharis mengatakan, RUU PDP juga akan mengatur banyak mengenai hal itu. Sebab, selama ini perusahaan platform belum secara memadai diatur dengan UU yang ada.
RUU PDP diharapkan akan memberikan kejelasan pengaturan dan kedudukan perusahaan platform berbasis internasional itu sehingga pengelolaan data pribadi warga tidak dimanfaatkan untuk kepentingan di luar izin pemilik atau subyek data.
”Untuk DIM yang kita bahas di awal ini masih tergolong sedang, nanti yang tergolong berat sekali atau isu-isu krusial akan dibahas mendalam dalam rapat-rapat selanjutnya. Termasuk di dalamnya mengenai pengaturan soal platform,” katanya.
Kharis mengatakan, RUU PDP ingin melindungi warga negara. Jangan sampai warga yang tidak mengerti apa-apa, lalu tiba-tiba dijejali informasi, termasuk iklan, yang di luar keinginannya. Kondisi ini tidak terlepas dari penggunaan big data warga oleh perusahaan platform yang selama ini banyak mengelola data warga.
”Perlindungannya ini kita mulai dari data pribadinya dulu. Kalau datanya itu dimanfaatkan untuk hal yang positif oke saja, tetapi kalau untuk hal yang negatif, kan, bahaya,” ujarnya.
Dalam pembahasan DIM selanjutnya, menurut Kharis, Panja RUU PDP juga akan memperdalam kedudukan perusahaan platform media tersebut. Pasalnya, selama ini perusahaan-perusahaan itu menggunakan layanan over the top (OTT), yakni layanan berisikan data, informasi, dan konten multimedia melalui jaringan internet yang difasilitasi oleh perusahaan atau operator telekomunikasi.
Pada kenyataannya, karena bersifat ”menumpang” pada jaringan internet yang dibangun oleh operator telekomunikasi, maka layanan OTT itu belum dapat dikenai pajak. Kondisi ini di satu sisi dinilai kurang berkeadilan karena platform-platform itu menggunakan data warga yang sangat besar serta meraup keuntungan dari penggunaan data itu, antara lain melalui iklan dan sponsor berbayar lainnya. Di sisi lain, negara tidak mendapatkan pajak dari praktik tersebut.
Pendiri Indonesia Cyber Security Forum (ICSF), Ardi K Sutedja, mengatakan, selain mengatur data perseorangan warga dan kewajiban korporasi, termasuk perusahaan platform, pembentuk UU sebaiknya juga detail mengatur tentang pengendali data pribadi.
Sebab, sejak awal telah ada dorongan untuk membentuk badan independen yang bertugas mengawasi dan mengontrol tata laksana pengelolaan data pribadi warga oleh perusahaan atau badan hukum lainnya.
Baca juga: Lembaga Independen Optimalkan Pengawasan Data Pribadi
”Mereka nantinya yang menjadi anggota badan atau lembaga independen ini haruslah orang-orang yang berintegritas dan memiliki kompetensi di bidangnya. Sebab, tugas lembaga ini tidak mudah. Lembaga ini harus memastikan data pribadi warga tidak bocor dan ketika terjadi kebocoran harus diketahui oleh mereka. Selanjutnya, mereka dapat menjatuhkan sanksi berat kepada pengelola data yang lalai,” kata Ardi.
KOMPAS, JUM’AT 13 November 2020 Halaman 3.
