Written by Wendratama

Menunggu Lembaga PDP yang Berkualitas dan Berintegritas dari Presiden

Tulisan ini telah diterbitkan di The Conversation Indonesia pada 27 Oktober 2022.

Usai pemerintah menandatangani Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) pada 17 Oktober lalu, kini Presiden Joko “Jokowi” Widodo memiliki tugas besar, yakni membentuk lembaga Pelindungan Data Pribadi sebagai salah satu bentuk implementasi aturan ini.

UU PDP Pasal 58 menyatakan bahwa pembentukan Lembaga PDP akan diatur dengan Peraturan Presiden. Sementara, Pasal 61 menyatakan ketentuan mengenai pelaksanaan wewenangnya akan diatur dalam Peraturan Pemerintah.

Lembaga ini begitu penting karena akan mengemban empat otoritas utama:

  1. menetapkan kebijakan dan strategi PDP yang menjadi panduan bagi subjek data pribadi, pengendali data pribadi, dan prosesor data pribadi;
  2. mengawasi penyelenggaraan PDP;
  3. menegakkan hukum administratif terhadap pelanggaran UU PDP; dan
  4. memfasilitasi penyelesaian sengketa di luar pengadilan.

Selain berwenang menjatuhkan sanksi administratif terhadap individu, korporasi, badan publik, dan organisasi internasional, lembaga tersebut juga berwenang membantu aparat penegak hukum dalam penanganan dugaan tindak pidana data pribadi terkait individu dan korporasi. Ini karena UU PDP sendiri tidak mengatur adanya sanksi pidana terhadap badan publik dan organisasi internasional.

Lembaga pelindung data pribadi ini akan dibentuk oleh dan bertanggung jawab langsung kepada presiden, sehingga akan menjadi lembaga pemerintah non-kementerian (LPNK). Ini kurang lebih seperti Badan Siber dan Sandi Negara (BSSN), Badan Intelijen Negara (BIN), dan Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK).

Lalu, hal penting apa saja yang perlu pemerintah perhatikan dalam membentuk lembaga ini?

Harus seindependen mungkin

Peraturan Presiden dan Peraturan Pemerintah yang akan dibuat perlu mengupayakan lembaga tersebut punya independensi yang tinggi.

Menurut standar internasional, otoritas lembaga negara harus independen karena akan mengawasi individu, korporasi, dan badan publik dalam sektor yang sangat strategis, sehingga perlu bebas dari pengaruh eksternal dan tidak menerima instruksi dari siapa pun.

Namun kini, sebagai LPNK, Lembaga PDP tidak lagi sepenuhnya bisa disebut “lembaga independen” karena ia akan tunduk pada presiden dan pemilihan pimpinannya tidak melibatkan parlemen. 

Meski tidak lagi ideal, sifat independensi lembaga pelindung yang bebas dari pengaruh eksternal tetap harus diupayakan sebaik mungkin. Setidaknya, ini harus dituangkan setegas mungkin dalam Peraturan Presiden dan Peraturan Pemerintah yang akan dibuat.

Dalam praktik di lapangan, jika nantinya lembaga ini akan “diintervensi”, ia akhirnya hanya boleh menerima arahan dari Presiden, bukan dari menteri tertentu, Kapolri, maupun pejabat negara lainnya. Pimpinan lembaga ini juga harus bisa memilih dan memiliki pegawainya sendiri, yang hanya tunduk pada pimpinan lembaga.

Integritas dan infrastruktur yang kuat

Melihat tugas dan wewenangnya yang sangat signifikan di era digital, lembaga pelindung data pribadi perlu memiliki sumber daya manusia, aturan teknis, manajemen dan kemampuan keuangan, serta infrastruktur yang kuat.

Contoh kasus yang akan dihadapi oleh lembaga ini adalah pelanggaran pelindungan data pribadi oleh korporasi dan badan publik yang bisa menyebabkan bocornya data pribadi warga.

Artinya, lembaga ini akan menyelidiki dugaan terjadinya pelanggaran tersebut dan menjatuhkan sanksi terhadap korporasi (nasional maupun internasional) ataupun badan publik yang melanggar. Di sini, pemimpin lembaga harus merupakan orang-orang yang kompeten dan berintegritas, serta memahami filosofi pelindungan data pribadi.

Lembaga ini juga butuh anggaran yang memadai untuk dapat mengemban tugas sebesar itu. Jangan sampai muncul alasan penegakan UU PDP tidak maksimal karena keterbatasan anggaran dan jumlah pegawai.

Banyak negara mengalokasikan anggaran yang relatif besar untuk otoritas ini karena mereka tahu bahwa harga yang harus dibayar untuk kebocoran data pribadi sangat mahal.

Kerjasama yang baik dengan pemangku kepentingan

Sebagai lembaga non-kementerian, sumber daya manusia dan keuangan yang akan dimiliki lembaga pelindung data pribadi ini tidak akan sebesar kementerian.

Lembaga tersebut, karena baru lahir, juga akan butuh waktu untuk menyiapkan dirinya sendiri. UU PDP Pasal 75 menetapkan masa transisi, waktu bagi prosesor dan pengendali data – dari instansi pemerintah sampai perusahaan platform teknologi – untuk mempersiapkan diri supaya bisa tunduk dengan UU PDP, yakni selama dua tahun. Jangka waktu tersebut tergolong sangat singkat bagi lembaga pelindung untuk menyiapkan diri, termasuk menyusun aturan teknis bagi prosesor dan pengendali data.

Karena itu, lembaga ini harus bisa bekerja sama sebaik mungkin dengan dan mendapat dukungan dari otoritas lain, termasuk Kementerian Komunikasi dan Informatika (Kominfo), BSSN, Kepolisian, dan Kejaksaan.

Koordinasi bisa dimulai sejak tahap penyusunan kebijakan dan strategi perlindungan data pribadi hingga implementasi aturan teknisnya. Dalam koordinasi itu, mereka harus juga menyesuaikan semua regulasi turunan di tingkat kementerian dan lembaga yang selama ini mengatur pelindungan data pribadi agar tercipta aturan yang selaras dengan UU PDP.

Saat menyusun kebijakan dan aturan teknis, lembaga ini juga perlu diberi mandat untuk mengakomodasi aspirasi pihak non-otoritas, seperti organisasi masyarakat sipil, peneliti, praktisi, dan korporasi, supaya regulasinya bisa efektif dan merangkul kepentingan seluruh pihak.

Ini karena melindungi data pribadi adalah persoalan melindungi hak asasi warga, bukan birokrasi yang melayani penguasa.

UU PDP juga mengatur tentang partisipasi masyarakat untuk mendukung pelindungan data pribadi, yang “dapat dilakukan melalui pendidikan, pelatihan, advokasi, sosialisasi, dan/atau pengawasan” (Pasal 63). Supaya ini tidak sekadar pasal pemanis, Lembaga PDP perlu dimandatkan untuk mendorong partisipasi aktif itu karena semakin banyak warga yang paham hak mereka  dan mampu melindungi data pribadi mereka akan sangat membantu tugas Lembaga PDP.

Dua tahun masa transisi

Dengan tiga karakteristik utama di atas, harapannya pemerintah bisa membangun lembaga yang berkualitas dan berintegritas dalam memimpin kerja besar pelindungan data pribadi.

Menjamin bahwa lembaga ini berkualitas adalah harga mutlak jika Indonesia ingin dunia internasional menilainya serius melindungi data pribadi dan menganggapnya mampu melakukan kerja sama transfer data lintas negara. Penilaian ini sangat penting bila pemerintah Indonesia berkomitmen menyukseskan agenda-agenda Digital Economy Working Group G20 dalam transformasi digital saat ini.

Advertisement

Leave a Reply

Fill in your details below or click an icon to log in:

Gravatar
WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Cancel

Connecting to %s