ELSAM: UU PDP Berpotensi Lemah Dalam Penegakannya

illustrasi

Cyberthreat.id – Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Fajar, mengungkapkan bahwa Undang-Undang Perlindungan Data Pribadi berpotensi problematis dan lemah dalam penegakannya.

“Meski telah mengakomodasi berbagai standar, implementasi dari undang-undang ini berpotensi hanya menjadi macan kertas hanya menjadi macan kertas,” ungkap Wahyudi dalam keterangan pers yang diterima, Selasa (20 September 2022).

Menurutnya, hal tersebut terjadi akibat ketidaksolidan dalam perumusan pasal-pasal terkait dengan prosedur penegakan hukum, sebagai imbas kuatnya kompromi politik. Khususnya berkaitan dengan Lembaga Pengawas Pelindungan Data Pribadi.

Pada dasarnya, belajar dari praktik di banyak negara, kunci efektivitas implementasi UU PDP berada pada otoritas perlindungan data, sebagai lembaga pengawas, yang akan memastikan kepatuhan pengendali dan pemroses data, serta menjamin pemenuhan hak-hak subjek data. Apalagi ketika UU PDP berlaku mengikat tidak hanya bagi sektor privat, tetapi juga badan publik (kementerian/lembaga).

“Maka independensi dari otoritas ini menjadi mutlak adanya, untuk memastikan ketegasan dan fairness dalam penegakan hukum PDP,” kata Wahyudi.

Sehingga, meski UU PDP ditegaskan berlaku mengingat baik bagi korporasi maupun pemerintah, undang-undang ini justru mendelegasikan kepada Presiden untuk membentuk Lembaga Pemerintah Non- Kementerian (LPNK), yang bertanggung jawab kepada Presiden. Artinya otoritas ini pada akhirnya tak- ubahnya dengan lembaga pemerintah (eksekutif) lainnya, padahal salah satu mandat utamanya adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran.

“Pertanyaan besarnya, apakah mungkin satu institusi pemerintah memberikan sanksi pada institusi pemerintah yang lain? Belum lagi UU PDP juga seperti memberikan cek kosong pada Presiden, tidak secara detail mengatur perihal kedudukan dan struktur kelembagaan otoritas ini,” kata dia.

Wahyudi menyebutkan, kondisi tersebut makin problematis dengan ‘ketidaksetaraan’ rumusan sanksi yang dapat diterapkan terhadap sektor publik dan sektor privat, ketika melakukan pelanggaran. Bila melakukan pelanggaran, sektor publik hanya mungkin dikenakan sanksi administrasi (Pasal 57 ayat (2)), sedangkan sektor privat selain dapat dikenakan sanksi administrasi, juga dapat diancam denda administrasi sampai dengan 2 persen dari total pendapatan tahunan (Pasal 57 ayat (3)), bahkan dapat dikenakan hukuman pidana denda mengacu pada Pasal 67, 68, 69, 70.

Dengan rumusan demikian, meski disebutkan undang-undang ini berlaku mengikat bagi sektor publik dan privat, dalam kapasitas yang sama sebagai pengendali/pemroses data, namun dalam penerapannya, akan lebih bertaji pada korporasi, tumpul terhadap badan publik. Sehingga akan muncul risiko over-criminalisation juga mengemuka dari berlakunya undang-undang ini.

Ia menambahkan, dalam hukum PDP, pemrosesan data pribadi, termasuk pengungkapan, sepanjang tidak memenuhi dasar hukum pemrosesan (persetujuan/konsen, kewajiban hukum, kewajiban kontrak, kepentingan publik, kepentingan vital, dan kepentingan yang sah), maka dapat dikatakan telah melawan hukum. Ketidakjelasan batasan frasa ‘melawan hukum’ dalam pasal tersebut akan berdampak karet dan multi-tafsir dalam penerapannya, yang berisiko disalahgunakan, untuk tujuan mengkriminalkan orang lain.

“Lebih jauh, selain ragam catatan permasalahan di atas, tantangan besar implementasi UU PDP adalah pada penyiapan dan pembentukan berbagai regulasi pelaksana, mulai dari Peraturan Pemerintah, Peraturan Presiden, peraturan lembaga, hingga berbagai panduan teknis lainnya,” kata dia.

Menurutnya, detail dan kedalaman dari berbagai peraturan teknis yang dirumuskan, akan sangat menentukan dapat berlaku tidaknya undang-undang ini. Belum lagi problem batasan waktu (timeline) dalam pemenuhan hak subjek data oleh pengendali data, yang diatur secara rigid dan berlaku untuk semua sektor (keseluruhannya dirumuskan 3x24 jam).

“Ketentuan tersebut tentunya akan menjadi kendala bagi pengendali data dari beragam sektor, dengan corak dan model bisnis yang berbeda-beda, termasuk juga sektor publik, untuk dapat memastikan kepatuhan pada UU PDP,” kata dia.