Jakarta, Gatra.com – Peneliti Center for Indonesian Policy Studies (CIPS), Pingkan Audrine Kosijungan, menilai Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP) sangat mendesak untuk disahkan.

Menurut Pingkan, Indonesia harus mempunyai kerangka peraturan yang komprehensif tentang perlindungan data pribadi. Namun, penting juga dipastikan bahwa RUU ini perlu mengamanatkan badan pengawas pengelolaan data pribadi yang independen.

“Badan pengawas pengelolaan data pribadi yang bersifat independen dan terbebas dari pengaruh kementerian dan lembaga negara lainnya adalah hal yang krusial dan tidak dapat dikesampingkan hanya dengan ‘perampingan lembaga’ sebagaimana diutarakan oleh Kemenkominfo. Hal ini penting karena nantinya lembaga tersebut akan turut mengawasi pengelola data layanan publik yang notabene sesama lembaga pemerintahan dan juga pengelola data layanan privat atau swasta,” ujar Pingkan dalam keterangannya, Jumat (3/9).

Pembahasan RUU PDP sementara ini terganjal perbedaan pendapat antara Dewan Perwakilan Rakyat (DPR) dan Kementerian Komunikasi dan Informatika (Kemenkominfo) sebagai bagian dari satuan kerja pemerintah dalam pembahasan RUU PDP.

DPR telah menampung banyak masukan dari perwakilan kelompok masyarakat dan industri dan mengajukan agar badan pengawas sebaiknya bersifat independen dan bertanggung jawab langsung kepada Presiden. Sementara Kemenkominfo dalam beberapa kesempatan menyampaikan bahwa fungsi pengawasan seharusnya berada di bawah Direktorat Jenderal Aplikasi Informatika yang ada di dalam institusinya.

Pingkan memaparkan urgensi independensi badan pengawas data pribadi yang independen terletak pada upaya menjaga kepercayaan publik dan industri, serta menjamin proses penyelesaian sengketa atas data pribadi yang dapat dipertanggungjawabkan dan tidak memihak.

Selain itu, rujukan negara yang dipakai Kemenkominfo mendukung argumentasinya juga dirasa kurang tepat. Walaupun wewenang pengawasan pengelolaan data pribadi memang berada di bawah Pemerintah Singapura, tetapi pengaturan penggunaan data pribadi di Personal Data Protection Act 2012 menitikberatkan penggunaan data oleh pihak privat atau swasta, bukan publik.

Sedangkan untuk RUU PDP yang sedang dibahas, arah kebijakan pengaturannya akan mencakup penggunaan data oleh pihak publik, dalam hal ini pemerintah, dan juga pihak privat atau swasta. Jika pemerintah berniat untuk mengatur kedua jenis tersebut, maka akan relevan mengambil contoh negara-negara yang memang menerapkan aturannya bagi kedua jenis data tersebut, seperti Uni Eropa maupun Amerika Serikat.

“Contoh yang ada di Singapura tentunya berbeda dengan pengaturan di RUU PDP yang mengatur mengenai penggunaan data pribadi, baik oleh platforms maupun pemerintah. Sehingga, menempatkan fungsi pengawasan di bawah Kemenkominfo yang juga merupakan subjek dari RUU PDP berpotensi menimbulkan konsentrasi kekuasaan dan rawan akan konflik kepentingan dari sisi pemerintah,” tambah Pingkan.

Indonesia memang sudah memiliki regulasi yang mencakup perlindungan data pribadi, namun sifatnya belum cukup komprehensif serta secara umum belum menjamin hak-hak atas kerahasiaan dan keamanan data pribadi. Padahal, jika melihat pada perkembangan kasus kebocoran data yang terjadi di Indonesia setahun belakangan, data-data yang beredar berasal dari bocornya keamanan pada pengelola data publik, yaitu instansi pemerintah dan juga pihak swasta.

Regulasi yang menjadi acuan untuk perlindungan data pribadi saat ini masih tersebar dan tidak cukup komprehensif. Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 mengenai Penyelenggaraan Sistem dan Transaksi Elektronik, misalnya, masih terfokus pada sistem dan transaksi elektronik. Padahal, persoalan data pribadi masyarakat dalam konteks ekonomi digital tidak hanya sebatas kebutuhan transaksi ekonomi. Ekonomi digital juga membutuhkan terjaminnya hak-hak konsumen digital, termasuk menyangkut hak atas kerahasiaan dan keamanan data.

Penelitian CIPS memperlihatkan, secara gamblang PP 71 Tahun 2019 mewajibkan Penyelenggara Sistem Elektronik (PSE) lingkup publik yang mencakup instansi pemerintahan, seperti BPJS Kesehatan dan PSE lingkup privat untuk menjaga kerahasiaan dan keamanan data ini. Hanya saja, sanksi yang diberikan hanya sebatas administratif dan kewajiban PSE lingkup publik juga belum termaktub dengan rinci.