Ini 8 Perbedaan Antara RUU Perlindungan Data Pribadi dan GDPR Uni Eropa
Direktur Jenderal Aplikasi Informatika, Semuel Abrijani Pangerapan
Cyberthreat.id - Direktur Jenderal Aplikasi Informatika, Semuel Abrijani Pangerapan, mengungkapkan setidaknya ada delapan perbedaan komponen dalam perlindungan data pribadi antara Rancangan Undang-Undang Pelindungan Data pribadi (PDP) dengan General Data Protection Regulation (GDPR) milik Uni Eropa.
Hal ini disampaikannya dalam webinar bertajuk “Urgensi General Data Protection Regulation (GDPR) di Indonesia”, Selasa (3 November 2020).
Delapan hal yang membedakan RUU PDP dengan aturan PDP di Uni Eropa atau GDPR itu salah satunya terkait dengan sanksi.
Untuk lebih lengkapnya, berikut delapan perbedaan komponen yang diatur dalam RUU PDP dengan GDPR.
1. Pengecualian terhadap hak pemilik data
Dalam RUU PDP, pengecualian terhadap hak pemilik data berlaku secara penuh, berdasarkan area kepentingan yang diatur dalam RUU PDP. Sedangkan di GDPR, berlaku secara parsial, berdasarkan prinsip kebutuhan dan proporsionalitas.
"Perbedaannya disitu, parsial dan proporsional, kalau kita menetapkan kepentingan yang diatur secara penuh berdasarkan beberapa area kepentingan yang diatur dalam RUU-nya. Jadi sudah ada aturannya, yang apa saja yang bisa dikecualikan,” kata Semuel.
2. Pembatasan penyimpanan data pribadi.
Dalam RUU PDP, membuka ruang perpanjangan periode penyimpanan data pribadi selama mekanisme dan tujuannya diatur dalam peraturan perundang-undangan. Sedangkan di Uni Eropa periode penyimpanan data pribadi dapat diperpanjang untuk beberapa tujuan spesifik yang terdapat dalam GDPR.
"Kalau kita, langsung mengikuti UU yang sudah berlaku tentang retensi atau periode penyimpanan data, kalau di GDPR ada lagi aturan. Dia diperbolehkan memperpanjang, tapi tidak boleh memperpendek masa retensi,” kata Semuel.
3. Kewajiban pengendali data pribadi
Dalam RUU PDP, kewajiban pengendali data pribadi diatur secara umum, tanpa melihat tinggi rendahnya risiko pemrosesan dataa pribadi yang dilakukan. Sedangkan GDPR memberlakukan Data Protection Impact Assessment (DPIA) untuk pemrosesan data pribadi berisiko tinggi.
“Kalau kewajiban untuk data-data yang resikonya tinggi dan juga sensitif, itu mereka harus mematuhi beberapa ketentuannya. Kalau di kita, menyamakan. Enggak tahu bagaimana nanti dalam pembahasannya di DPR mungkin ada juga penyempurnaan juga, kami sih dari pemerintah terbuka,” ujar Semuel.
4. Pengaturan kewajiban prosesor data pribadi
Terkait ini, di RUU PDP mengisyaratkan beberapa kewajiban pengendali data pribadi yang juga menjadi kewajiban prosesor data pribadi. Sementara di GDPR mengatur beberapa kewajiban prosesor data pribadi yang berbeda dari kewajiban pengendali data pribadi.
5. Kebutuhan pengamanan data pribadi
Semuel mengatakan di RUU PDP sudah diatur terkait pengamanan ini secara umum berdasarkan kapasitas pengendali, dan pengendali atau pemroses data diatur di aturan turunannya. Berbeda dengan di GDPR, di aturan Uni Eropa itu sudah detil terkait pengamanan ini.
"Kalau di GDPR hampir semua ada di sana, cuma kalau kita bahas enggak selesai-selesai karena sangat detail, dan bedanya dengan Indonesia mereka itu revisi UU itu tiap tahun, tiap saat bisa dilakukan. Nah itu berbeda dengan kita, yang harus masuk Prolegnas, harus daftar, dan harus menunggu giliran membahasnya,” katanya.
6. Mekanisme cross-border data transfer
Terkait dengan mekanisme crossborder data, Semuel mengatakan ada perbedaan dan persamaan antara RUU PDP dan GDPR.
Semuel mengatakan persamaannya dengan GDPR pada aspek pertimbangan yang sama. Namun, itu tidak harus diikuti secara bertahap, melainkan berfungsi sebagai opsi pertimbangan.
"Kalau di GDPR itu ada 3 aspek tapi itu bertahap, ada tahapannya. Kalau kita tidak ada tahapnya, 3 aspek ini dipenuhi sekaligus, kalau GDPR itu bertahap,“ ungkapnya.
Tiga aspek itu adalah tingkat kelayakanan perlindungan data pribadi, adanya perjanjian internasional/kontrak, dan persetujuan pemilik data pribadi.
7. Mekanisme sanksi
Semuel mengatakan terkait sanksi inilah yang paling membedakan RUU PDP dan GDPR.
“Ini yang membedakan kalau di GDPR itu tidak ada pidana, semuanya denda. Di kita masih ada yang namanya sanksi pidana, selain sanksi denda. “ ujarnya.
Semuel pun menambahkan ini, yang sedang dibahas dengan DPR terkait sanksi ini. Namun, ia mengatakan kemungkinan sanksi akan diselaraskan dengan aturan GDPR.
“Saya dengar dari DPR ingin meningkatkan sanksinya itu sama seperti GDPR, which is cukup gede, ratusan miliar atau dua persen dari pendapatan apabila terjadi penyalahgunaan ataupun pelanggaran terhadap UU PDP,” kata Semuel.
8. Otoritas perlindungan data pribadi
Semuel mengatakan di Eropa, otoritas perlindungan data pribadi bersifat independen. Sedangkan di RUU PDP otoritas perlindungan data pribadi akan di bawah pemerintah.
"Otoritas ini,karena kita ini adalah sistem presidensial, jadi kalau kita membentuk badan baru dan badan baru ini eksekutif kah, legislatif kah, atau yudikatif, ini yang jadi akhirnya pemerintah berpandangan bahwa ini harus di bawah pemerintah, nanti pemerintah yang membentuk badan baru itu tapi di bawah pemerintah. Itu membedakan dengan yang di Eropa,” ujarnya.[]
Editor: Yuswardi A. Suud
