#UUPDP101
Usai Panja RUU Pelindungan Data Pribadi DPR RI dan pemerintah menyepakati RUU PDP sebagai Undang-Undang PDP pada 20 September 2022, apa yang kini terjadi?
Pertama, perlu diketahui bahwa masa transisi untuk UU PDP adalah dua tahun sejak ia diundangkan. Yang dimaksud dengan “diundangkan” adalah pengesahan atau penetapan oleh Presiden RI melalui tanda tangan Presiden RI. Jadi, 20 September kemarin UU PDP belum resmi disahkan atau ditetapkan. Kita saat ini masih menunggu tanda tangan Bapak Presiden Joko Widodo.
Apa itu masa transisi?
UU butuh masa transisi untuk menjamin kepastian hukum, supaya aturan-aturannya bisa dijalankan oleh pihak-pihak yang diatur. Ketentuan transisional ini juga disebut dengan Ketentuan Peralihan, yang mengatur “penyesuaian atau hubungan-hubungan hukum”.
Dalam UU PDP, masa transisi diatur dalam Pasal 74:
“Pada saat Undang-Undang ini mulai berlaku, Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan Undang-Undang ini paling lama 2 (dua) tahun sejak Undang-Undang ini diundangkan.”
- Prosesor data pribadi adalah pihak yang memproses data pribadi atas nama pengendali data pribadi. Pemrosesan ini mulai dari pengumpulan, analisis, penyimpanan, penyebarluasan, transfer, sampai penghapusan.
- Pengendali data pribadi adalah pihak yang mengendalikan data pribadi, lebih berkuasa daripada prosesor. Bisa juga pengendali data merangkap prosesor data.
- Prosesor dan pengendali data bisa merupakan orang perseorangan, korporasi, badan publik, dan organisasi internasional. Empat pihak itu adalah subjek dalam UU PDP.
Menurut Pasal 74 di atas, prosesor dan pengendali data punya waktu dua tahun untuk mempersiapkan diri (finansial, teknis, SDM) supaya bisa tunduk atau menyesuaikan diri dengan aturan UU PDP. Aturan-aturan teknis bagi prosesor dan pengendali data akan dibuat oleh Lembaga PDP. Apa lagi ini? Lembaga PDP akan ditetapkan oleh Peraturan Presiden, dijelaskan di bawah ini.
Kedua, setelah UU PDP disahkan Presiden, kita juga menunggu Peraturan Presiden, yang akan menetapkan Lembaga PDP (Pasal 58 UU PDP). Lembaga PDP akan bertanggung jawab kepada Presiden dan menjadi otoritas yang perannya sangat penting dalam pelindungan data pribadi di Indonesia.
Lembaga PDP sangat strategis karena wewenangnya antara lain:
- Menetapkan kebijakan dan strategi PDP yang menjadi panduan bagi subjek data pribadi, pengendali data pribadi, dan prosesor data pribadi.
- Mengawasi penyelenggaraan PDP
- Menjatuhkan sanksi administratif kepada pengendali/prosesor data pribadi.
- Membantu penegak hukum dalam penanganan dugaan tindak pidana data pribadi.
- Menerima aduan/laporan tentang dugaan pelanggaran PDP.
Selanjutnya, ketentuan mengenai tata cara pelaksanaan wewenang Lembaga PDP diatur dalam Peraturan Pemerintah (Pasal 61). Lalu, Lembaga PDP masih akan membuat aturan-aturan teknis bagi prosesor dan pengendali data.
Jadi, sebelum UU PDP ini memiliki “kekuatan konkret” dalam melindungi data pribadi warga, kita masih menunggu tiga komponen pokok: Peraturan Presiden, Lembaga PDP, dan Peraturan Pemerintah.
Jalan masih panjang, semoga tiga komponen itu bisa terbangun secara maksimal sesuai praktik baik internasional. Inilah gunanya masa transisi, supaya pihak-pihak terkait bisa menyiapkan diri.
Sejumlah hal penting tentang masa transisi ini saya sampaikan dalam talk show Siberkreasi pada akhir September kemarin:
Engelbertus Wendratama 