Delapan Poin Celah RUU PDP Menurut ICT Institute

Cyberthreat.id - Sejumlah pakar siber dan pengamat IT tengah mendalami isu Rancangan UU Perlindungan Data Pribadi  (RUU PDP) yang drafnya sudah dikirimkan pemerintah ke DPR pada 24 Januari 2020. Terdapat sejumlah poin penting dari RUU yang menjadi hajat hidup orang banyak ini.

Menteri Komunikasi dan Informatika (Menkominfo), Johnny G. Plate, mengatakan RUU PDP masih akan menjalani dinamika politik dalam pembahasan di DPR. Artinya, mungkin saja ada perubahan dan masukan baru yang bertujuan untuk kepentingan publik. Ia menjamin RUU ini akan disahkan secepatnya karena urgensinya sudah sangat tinggi.

"Kami meminta kepada masyarakat untuk turut berpartisipasi memberikan masukan saat pembahasan RUU PDP di DPR," ujar Mentri Johnny saat konferensi pers di Kominfo, Selasa (28 Januari 2020).

Executive Director Indonesia ICT Institute, Heru Sutadi, menilai draf RUU PDP masih memiliki sejumlah lubang atau celah. Menurutnya, terdapat delapan poin penting yang harus segera dibenahi.

Berita terkait:

• Pakai Data Pribadi Orang Lain Bisa Dipenjara Tujuh Tahun
• Orientasi Seksual Termasuk Data Pribadi yang Dilindungi Lho
• ICSF: Belum Ada Perlindungan Data Anak di RUU PDP
• Menteri Johnny: RUU PDP Sudah Dikirim ke DPR

Kepada cyberthreat.id, Heru menuturkan beberapa poin terkait RUU PDP:

1. Draft RUU ini masih kebingungan untuk menentukan data mana yang dilindungi. Apakah itu data spesifik atau data umum.

"Soal tanggal lahir saja tidak bisa ditentukan apakah itu data umum atau data spesifik," ujar Heru.

2. Draft RUU PDP ini banyak mengadopsi atau mencontek dari General Data Protection Regulation (GDPR) milik Uni Eropa.

"Dan memang masih banyak ketidakjelasan, lubang, dan pekerjaan rumah bilamana RUU ini disahkan jadi Undang-Undang. Apalagi, semua penyelenggaraan ada di Menteri. Menteri yang mana juga tidak jelas."

3. Pengecualiannya juga terlampau banyak. Apakah data itu boleh digunakan, tanpa dilindungi untuk beberapa kepentingan. Itu, lanjut Heru, terdapat di pasal 16 dan pasal 42.

Pasal 16 berbunyi, Hak-hak Pemilik Data Pribadi sebagaimana dimaksud dalam Pasal 8, Pasal 9, Pasal 10, Pasal 11, Pasal 12, dan Pasal 14 tidak berlaku untuk:

a. kepentingan pertahanan dan keamanan nasional; b. kepentingan proses penegakan hukum; c. kepentingan umum dalam rangka penyelenggaraan negara; d. kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan; atau e. agregat data yang pemrosesannya ditujukan guna kepentingan
statistik dan penelitian ilmiah dalam rangka penyelenggaraan
negara.

Pasal 42 berbunyi, (1)Kewajiban Pengendali Data Pribadi sebagaimana dimaksud dalam Pasal 32, Pasal 34, Pasal 37, Pasal 38 ayat (1) huruf a, huruf b, dan huruf c, Pasal 39 ayat (1) huruf c, dan Pasal 40 ayat (1) huruf a, tidak
berlaku untuk: (lima hal di atas).

4. Sanksi-sanksinya terutama terkait pidana sangat berat. Apalagi jika dilihat ancaman kurungan dan ancaman denda hingga puluhan miliar.

"Itu harus dibuka dasar menghitungnya dari mana," tegas Heru.

Dalam aturan GDPR, kata dia, yang kena denda lebih kepada lembaga atau organisasi yang besarnya 4 persen dari turnover (pergantian).

"Itu masuk ke pribadi juga. Misalnya menggunakan seolah data milik orang, Nama Asep, Asal Bandung, Jenis Kelamin Laki-laki. Nah, kan banyak yang namanya Asep. Bagaimana jika itu dianggap melanggar. Ini berbahaya."

5. Data-data ini juga bisa dipindah-pindahkan dari satu 'Pengendali Data Pribadi ke lainnya dalam satu wilayah Republik Indonesia tanpa persetujuan Pemilik Data Pribadi'.

"Ini juga sangat-sangat berbahaya."

6. Tidak ada suatu Lembaga Pengawas atau Pemberi Perlindungan Data Pribadi. Menurut Heru, beberapa negara memiliki lembaga yang dimaksudkan.

"Kalau semua di bawah Menteri, tapi tidak jelas Menteri yang mana."

"Saya khawatir kita punya Undang-Undang nantinya, tapi yang mengatur, mengawasi dan mengendalikannya tidak ada. Bisa seperti Macan Ompong."

7. Saya juga tidak melihat (dalam RUU PDP) adanya kewajiban penempatan Data Pribadi orang Indonesia di wilayah hukum Indonesia. Ini perlu diperjuangkan.

8. RUU PDP terlihat terlalu memisahkan Pengendali Data Pribadi dan Pemroses Data Pribadi. Padahal, perusahaan seperti Facebook, Twitter, WhatsApp dan OTT lainnya mereka merupakan Pengendali Data Pribadi, tapi juga Pemroses Data Pribadi.

"Itu yang belum terlihat secara tegas mengaturnya, karena seperti dua sisi mata uang. Dan bagaimana menjatuhkan sanksi apabila mereka melanggar juga jelas nantinya."

Redaktur: Arif Rahman