RUU PDP, Proteksi Anak, dan Kebocoran Data

Jakarta, Cyberthreat.id - Pakar hukum siber University of Malaya, Prof Abu Bakar Munir, mengatakan, Indonesia harus segera memiliki regulasi perlindungan data pribadi (PDP) yang dinilai sangat krusial.

Pada Maret lalu, ia telah memberikan sejumlah rekomendasi yang dinilai sangat penting, terutama perlindungan data pribadi anak-anak yang sampai saat ini belum disinggung dalam Rancangan Undang-Undang PDP yang masih akan dibahas di DPR.

“Ada beberapa perkara yang saya tekankan, di antaranya adalah soal anak-anak dan data breach,” tutur dia saat ditemui Cyberthreat.id di sela-sela diskusi di Jakarta, Senin (2 Desember 2019).

Abu Bakar Munir termasuk salah satu anggota tim yang menyusun draf UU PDP Malaysia. Kementerian Komunikasi dan Informatika pun meminta dirinya untuk ikut memberikan masukan dalam penyusunan RUU PDP.

Ia juga memiliki pendapat terkait dengan lokalisasi data pribadi. Menurut dia, yang harus dipastikan adalah bagaimana pengamanan data tersebut, meski data tersebut berada di luar di wilayah Indonesia, seharusnya tetap bisa diakses.

“Karena belum tentu data disimpan di dalam pun bisa aman dan memiliki undang-undang yang ketat dan kuat,” tutur dia.

Berikut petikan wawancara Cyberthreat.id dengan Prof Abu Bakar Munir:

Seperti apa idealnya UU Perlindungan Data Pribadi?

Saya pikir, saat ini Indonesia harus segera memiliki UU Perlindungan Data Pribadi. Terlebih saat ini sudah 130 negara yang memiliki UU untuk melindungi data pribadi. Hadirnya RUU PDP di Indonesia merupakan suatu perkembangan yang baik. Namun, saya pikir kalau bisa dipercepat itu akan lebih bagus lagi, karena sudah begitu mendesak, dan terlebih sudah banyak terjadi kebocoran data, dapat disimpulkan kita perlu RUU tersebut.

Jangan melihat UU ini dari satu perspektif saja, tetapi harus juga melihat ini sebagai UU yang membuat suatu negara menjadi lebih aman dalam hal perlindungan data pribadi, menguntungkan dalam hal teknologi dan ekonomi digital.

Perlindungan pengguna sangat penting jika terkait dengan investasi. Perusahaan asing ingin masuk jika Indonesia memiliki perlindungan data yang kuat. UU ini harus dilihat dari berbagai aspek.

Adakah persamaan regulasi data pribadi di Indonesia dan negara lain?

Hampir semua negara di Asia hampir semua sama, mungkin hanya berbeda sedikit dari beberapa poin saja. Kemudian dari sisi longgar dan sangat ketat, tapi hampir keseluruhan RUU di berbagai negara sangat sama.

Untuk negara yang paling kuat sendiri dan ketat dalam hal perlindungan dan keamanan data di Asia adalah Korea Selatan. Tapi, ingat masih ada yang lebih tinggi lagi, yakni  GDPR (Regulasi Umum Perlindungan Data) yang dinilai paling kuat dan ideal di dunia.

Kita bisa mengatakan bahwa GDPR milik Uni Eropa merupakan yang terkuat, sedangkan yang di Amerika agak lemah. Meski demikian, di Amerika ada Privacy Shield yang menggantikan instrumen yang sebelumnya sudah ada. Dengan Privacy Shield ini, perusahaan-perusahaan di Amerika bisa mengadopsi Privacy Framework sebagai best practice dalam perusahaan di negara tersebut.

Saya juga sudah sempat membuat rekomendasi untuk Kominfo, saya melihat definisi data pribadi pada draf tersebut, tidak banyak perbedaan. Dan, kalau kita lihat di peringkat internasional, sudah ada command definition mengenai data pribadi ini, yang banyak diterima oleh negara-negara.

Bagaimana dengan lokalisasi data?

Ini menjadi perdebatan yang sangat hebat, ada yang menganggap baik, ada juga yang menganggap tidak baik. Menurut saya, yang harus kita lihat adalah, cross border data ini sangat penting, apalagi untuk perdagangan internesional.

Yang harus dipastikan adalah bagaimana pengamanan data tersebut, meski data tersebut berada di luar di wilayah Indonesia, dan bisa diakses. Karena belum tentu data disimpan di dalam pun bisa aman dan memiliki undang-undang yang ketat dan kuat.

Jadi, yang harus dilakukan sekarang adalah UU (PDP) ini harus dimiliki oleh Indonesia. Karena yang memastikan aman atau tidaknya data adalah implementasi data itu sendiri.

Apa rekomendasi Anda kepada Kementerian Kominfo soal  RUU PDP?

Saya sudah berikan rekomendasi berdasarkan yang draf yang diberikan kepada saya, ada beberapa perkara yang saya tekankan, di antaranya adalah soal anak-anak dan data breach.

Soal anak-anak, dalam draf yang saya baca tidak ada pengecualian terkait dengan data mereka. Sehingga saya rekomendasikan dan sangat penting, yang mana data anak-anak itu harus dilindungi dan mendapatkan konsen dan pengawasan penuh dari orangtua.

Yang kedua, soal data breach, saya menyebutkan jika definisi soal kebocoran data perlu dikaji. Tak hanya itu, pengaturan soal notifikasi kebocoran data harus diperbaiki lagi. Kalau kita lihat, yang ada draf itu jangka waktu yang diberikan kepada perusahaan itu harus dikaji ulang.

Bagaimana terkait RUU Keamanan dan Ketahanan siber?

Memang idealnya, kedua RUU tersebut harus dikaji, karena keduanya saling melengkapi. Hanya saja, jika memang tidak bisa bersamaan dibahas, kedua RUU ini tetap harus dibahas hingga tuntas. Dan, yang terpenting, adalah setelah RUU disahkan, bisa diimplementasikan secara baik oleh semua pihak terkait.

Bagaimana dengan pendekatan hukum untuk platform besar seperti Facebook, Instagram, atau Twitter?

Di dalam UU PDP selalu ada pengecualian, misal terkait dengan penegakan hukum. Harus diberikan akses kepada aparat penegak hukum agar mereka dapat mengakses data yang berkaitan dengan tindak pidana kejahatan. Karena mereka memiliki tugas soal keamanan dibandingkan hanya persepsi data itu sendiri. Ini dilakukan untuk tujuan  investigasi dan keamanan nasional, ya.

Redaktur: Andi Nugroho