DPR RI dan Presiden Koreksi Kembali RUU PDP dengan Melibatkan Masyarakat Sipil dan Mempertimbangkan Masukannya

Image

Catatan ini dibuat oleh KA-PDP sebagai panggilan bagi DPR dan Presiden untuk menilik kembali pengaturan yang ada di dalam draf RUU PDP saat ini agar tidak menjadi backlash bagi hak-hak digital serta pertumbuhan inovasi dan ekonomi digital yang dapat dipercaya dan berkelanjutan di masa depan di Indonesia.

Situasi terbaru mengindikasikan bahwa Ketua DPR RI, Puan Maharani, memastikan bahwa RUU Pelindungan Data Pribadi (RUU PDP) akan disahkan besok, 19 September 2022, dalam Rapat Paripurna DPR RI. Disampaikannya bahwa naskah final RUU PDP terdiri dari 371 Daftar Inventarisasi malah (DIM) dan menghasilkan 16 BAB serta 76 Pasal.

Di satu sisi KA-PDP mendukung Indonesia untuk segera mengesahkan dan memiliki UU PDP, akan tetapi di sisi lain KA-PDP juga meletakkan perhatian khusus mengenai banyaknya celah terkait prosedur pembahasan dan substansi di dalam RUU PDP yang berpotensi menghambat transformasi digital di Indonesia, khususnya bagi para pemangku kepentingan yang belum sepenuhnya mengerti dan menguasai prinsip-prinsip PDP.

Beberapa celah yang dapat KA-PDP identifikasi dari draf RUU PDP adalah seperti di bawah ini. Penjelasan lebih lanjut mengenai celah-celah tersebut dapat ditemukan di beragam studi yang telah dilakukan terdahulu oleh KA-PDP dan terlebih lagi melalui dialog dengan KA-PDP (terlampir):

  1. Ruang Lingkup Data Pribadi Spesifik dan Mekanisme Pelindungannya
  2. Data Pribadi Anak
  3. Kewajiban Pengendali dan Pemroses Data
  4. Pengaturan Terkait Pengendali Data Gabungan
  5. Sanksi Pidana
  6. Sanksi Denda Administratif
  7. Hak-Hak Subjek Data serta Pengaturan Pengecualian Pemrosesan Data Pribadi yang Menjunjung Tinggi Pelindungan Hak-hak Subjek Data
  8. Pengecualian bagi Usaha Kecil dan Menengah
  9. Independensi Otoritas PDP
  10. Sinkronisasi RUU PDP dengan Undang-undang dan Peraturan Lain

Mengingat kompleksitas dan pentingnya isu PDP di era digital saat ini, KA-PDP yang telah melakukan beragam riset dan advokasi mengenai isu-isu PDP di Indonesia mendorong DPR dan Presiden untuk lebih melibatkan masyarakat sipil secara bermakna di dalam proses

pembahasan RUU PDP saat ini serta di dalam proses implementasi kelak. Hal ini agar beragam pemangku kepentingan di Indonesia bisa saling bergotong royong di dalam membangun UU PDP dan ekosistem PDP fundamental lainnya yang kuat guna mendukung cita-cita transformasi digital di Indonesia.

Jakarta, 18 September 2022

 

Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP): ELSAM, AJI Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan Tifa, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-ActionAid, IGJ, Lakpesdam PBNU, ICEL, PSHK, CCHRS UPNVJ.

 

Untuk informasi lebih lanjut silakan menghubungi: Shevierra Damadiyah (KA-PDP), telp: 081236325337, Alia Yofira (PurpleCode Collective), telp: 081217015759, Sherly (KA-PDP), telp: 089677341192, Anton (SAFEnet), telp: 08119223375.

 

 

 

I.      Catatan Prosedur Pembahasan RUU Pelindungan Data Pribadi

Catatan prosedur dalam proses pembahasan RUU PDP dapat diakses melalui Hasil Pemantauan Indonesian Parliamentary Center.

 

 

 
   

 

    1. Ruang Lingkup Data Pribadi Spesifik dan Mekanisme Pelindungannya

Kategorisasi data pribadi spesifik atau sensitif adalah ketentuan yang mengatur jenis diskriminasi yang dimuat dalam instrumen hak asasi manusia dan ketentuan dasar konstitusional masing-masing negara yang mengabadikan hak untuk non-diskriminasi. Sebab seringkali sejumlah data (sensitif) tersebut menjadi basis atau dasar terjadinya praktik diskriminasi dan eksklusivisme atau pengucilan terhadap seseorang atau kelompok. Oleh karenanya terhadap data pribadi sensitif atau kategori data khusus, perlu perlindungan untuk menjaga terhadap risiko yang mungkin timbul dari pemrosesan data sensitif berkaitan dengan risiko kepentingan, hak, dan kebebasan mendasar dari subjek data, terutama risiko diskriminasi.

 

Pengeluaran orientasi seksual dan pandangan politik dari kategorisasi data pribadi spesifik dalam RUU PDP berpotensi menimbulkan diskriminasi bagi kelompok minoritas gender di Indonesia dan penggunaan data untuk kepentingan politik menjelang penyelenggaraan pemilihan umum pada 2024 mendatang. Hal lainnya yang perlu digarisbawahi adalah meskipun RUU PDP saat ini telah mengatur mengenai kategorisasi data pribadi spesifik, namun ruang lingkup data pribasi spesifik dan bentuk pelindungan khusus bagi data pribadi sensitif masih luput untuk diatur lebih lanjut dalam RUU Pelindungan Data Pribadi.

 

    1. Data Pribadi Anak

RUU PDP menempatkan data anak sebagai data pribadi spesifik, padahal secara prinsipil pemrosesan terhadap data spesifik (sensitif) adalah dilarang, kecuali memenuhi persyaratan tertentu, salah satunya melalui persetujuan jelas (explicit consent) dari subjek datanya. Problemnya, apakah mungkin mendapatkan explicit consent dari anak yang statusnya masih dibawah pengampuan orang tua atau walinya? Padahal pemrosesan data pribadi anak adalah suatu hal yang niscaya, misalnya untuk kepentingan pendidikan, kesehatan, atau ketika anak tersebut akan menggunakan aplikasi teknologi. Data anak dalam RUU PDP seharusnya ditempatkan sebagai kualifikasi data umum, dengan memberikan pelindungan khusus karena anak dimungkinkan kurang menyadari risiko, konsekuensi, dan pelindungan terhadap data pribadi miliknya. Risiko inilah yang mendorong ada klausul khusus perlindungan data pribadi anak (the protection of minors) dalam sebuah legislasi pelindungan data pribadi. Pengaturan ini berpijak dari pertimbangan, anak mungkin kurang menyadari risiko,

 

konsekuensi, serta perlindungan dan hak-hak mereka sehubungan dengan pemrosesan data pribadinya.

 

RUU PDP juga tidak melakukan pendefinisian terhadap umur anak. Hal ini berbeda dengan praktik yang ada di berbagai negara lain. Dalam EU GDPR misalnya, usia anak didefinisikan minimal 16 tahun. Sehingga, pemrosesan data pribadi seorang anak dianggap sah menurut hukum jika anak tersebut setidaknya berusia 16 tahun. Jika anak di bawah usia 16 tahun, pemrosesan semacam itu hanya akan sah jika dan sejauh persetujuan itu diberikan atau disahkan oleh pemegang tanggung jawab orang tua atas anak tersebut. Lalu, pada Personal Information Protection Act (PIPA) Korea, persetujuan dari perwakilan hukumnya diperlukan oleh pengendali data pribadi, jika data yang diproses adalah data pribadi anak di bawah 14 tahun. Ketiadaan kejelasan mengenai pendefinisian usia anak dan hanya menyerahkan kepada peraturan perundang-undangan yang berlaku kurang tepat, mengingat ada beberapa kemungkinan peraturan perundang-undangan yang dirujuk. RUU PDP sebaiknya menggunakan batas usia yang telah diatur dalam Convention on the Rights of the Child (Konvensi Hak-Hak Anak) dan Undang-Undang Nomor 23 Tahun 2002 tentang Perlindungan Anak sebagaimana telah diubah dengan Undang-Undang Nomor 35 Tahun 2014 tentang Peruaan Atas ndang-Undang Nomor 23 Tahun 2002 tentang Perlindungan Anak, yakni “orang yang belum berusia 18 (delapan belas) tahun”.

 

    1. Kewajiban Pengendali dan Pemroses Data

Baik pengendali dan pemroses data memiliki tanggung jawab yang berbeda. Oleh karenanya, penting untuk dapat membedakan keduanya. Pada praktiknya, perbedaan mendasar di antara keduanya ditandai dari kuasa untuk pengambilan keputusan (decision-making power) terkait pemrosesan data pribadi subjek data (Paul Voigt dan Axel Von Dem Bussche, 2017). Pihak yang menentukan tujuan dan cara pemrosesan data pribadi merupakan pengendali data, sedangkan pihak yang melakukan pemrosesan atas nama pengendali data merupakan pemroses data.

 

Jangka waktu pemenuhan hak-hak subjek data oleh pengendali data atau pun pelaksanaan kewajiban pengendali data, termasuk pemberitahuan ketika terjadi kegagalan dalam perlindungan data pribadi dilakukan tanpa penundaan atau dalam kesempatan pertama. Hal ini mengacu pada prinsip tanpa penundaan yang tidak semestinya (without undue delay), yang memerlukan analisis kasus per kasus, dengan mempertimbangkan keadaan dan kondisi dari setiap kasusnya, dan tidak tunduk pada definisi konseptual yang ketat dalam menentukan periode waktu absolut di mana suatu tindakan harus dilakukan (misal harus 3x24 jam). Sebagai contoh, pemenuhan hak atas informasi dilakukan setidaknya 1 bulan setelah permohonan hak atas informasi diterima oleh Pengendali Data. Jangka waktu tersebut dapat diperpanjang jika diperlukan dengan mempertimbangkan tingkat kompleksitas dan jumlah permohonan hak atas informasi yang diterima oleh Pengendali Data.

 

    1. Pengaturan Terkait Pengendali Data Gabungan

 

Lebih lanjut lagi, dikenal juga konsep pengendali data bersama (joint controllers) dimana beberapa pengendali data secara bersama-sama menentukan tujuan pemrosesan data pribadi. Dalam situasi ini, harus ada pembagian alokasi tanggung jawab di antara pengendali data bersama. Ketiadaan pengaturan terkait pengendali data bersama di RUU PDP berdampak pada ketidakjelasan alokasi tanggung jawab di antara pihak-pihak yang terlibat, sehingga berpotensi adanya ping-pong tanggung jawab dalam hal terjadinya pelanggaran data pribadi.

 

    1. Sanksi Pidana

Secara garis besar, studi Tifa “Pelindungan Data Pribadi yang Sederhana dan Bermakna bagi Indonesia” menunjukkan gap di mana pendekatan dan pengaturan mekanisme penegakan di RUU PDP yang berorientasikan hanya kepada sanksi. Padahal, terdapat beragam level kesadaran dan kesiapan pengendali dan prosesor data di sektor publik dan privat. Pengaturan mekanisme penegakan berbasiskan sanksi semata tidak akan efektif untuk menumbuhkan kesadaran masyarakat Indonesia mengenai pentingnya PDP. Mengingat keberagaman kapasitas pelaku pemrosesan data, hasil riset Tifa menemukan bahwa RUU PDP seharusnya juga mempertimbangkan pendekatan yang bersifat edukatif, misal melalui konten-konten kreatif di iklan televisi, radio, dan media sosial guna meningkatkan kesadaran mengenai pelindungan data pribadi.

 

Selain itu, secara khusus, hasil riset Tifa juga mengangkat kebutuhan dari beragam pemangku kepentingan terkait PDP yang mendorong penghapusan secara menyeluruh pasal-pasal pemidanaan dari RUU PDP, yang adalah tidak selaras dengan praktik-praktik terbaik internasional. Ketentuan pidana dalam RUU PDP mengatur tidak hanya kejahatan yang masuk kualifikasi cyber dependent crime, namun juga mencakup cyber enabled crime. Pada dasarnya sejumlah larangan dalam RUU PDP sudah diatur dalam UU Informasi dan Transaksi dan Elektronik, juga peraturan perundang-undangan lainnya, termasuk Kitab Undang-Undang Hukum Pidana (KUHP). Oleh karenanya untuk tidak menambah daftar atau jenis tindak pidana baru dalam hukum pidana Indonesia, ketentuan larangan dalam undang-undang sebaiknya dihapuskan dan merujuk pada ketentuan peraturan perundang-undangan yang sudah ada.

 

Lebih lanjut, Pasal 4 ayat (2) huruf d RUU PDP yang pada pokoknya menyatakan bahwa data pribadi yang dilindungi salah satunya berupa catatan kejahatan, kemudian Pasal Pasal 65 ayat (2) maupun Pasal 67 ayat (2) RUU PDP yang mengatur mengenai sanksi pidana diatur secara umum tanpa memberikan batasan yang pasti serta pengertian setiap unsur yang tidak dijelaskan secara rinci, menyebabkan pasal tersebut menjadi rentan digunakan secara tidak terukur. Hal tersebut mengancam kerja-kerja jurnalistik dalam meliput, salah satunya mengenai catatan kejahatan tokoh/pejabat publik. Hal tersebut bertentangan dengan Pasal 1 Angka 1 Undang-Undang Nomor 40 Tahun 1999 Tentang Pers yang pada pokoknya menyebutkan bahwa “pers melaksanakan kegiatan jurnalistik meliputi mencari, memperoleh, memiliki, menyimpan, mengolah, dan menyampaikan informasi baik dalam bentuk tulisan, suara, gambar

 

maupun sarana lainnya”. Maka dengan pasal dalam RUU PDP tersebut, jurnalis yang melaksanakan kerja jurnalistiknya akan dengan mudah dibatasi serta dikriminalisasi.

 

    1. Sanksi Denda Administratif

Pemrosesan Data Pribadi yang dilakukan dengan tidak mematuhi kewajiban pemrosesan akan menempatkan Subjek Data pada kondisi yang sangat rentan tanpa memperhatikan apakah ketidakpatuhan tersebut telah mengakibatkan kerugian atau belum mengakibatkan kerugian. Data Pribadi yang diproses tidak sesuai dengan standar minimum kewajiban pemrosesan akan menimbulkan kerugian langsung (mis. penyalahgunaan data pribadi, dll.) maupun kerugian tidak langsung (mis. biaya investigasi, mistrust, dll. tidak hanya bagi Subjek Data namun juga pada pembangunan nasional yang bertumpu pada penggunaan data untuk memperkuat pertumbuhan ekonomi, meningkatkan pelayanan publik, mendukung kebijakan kesejahteraan sosial, dan lain sebagainya. Bagi Subjek Data, pelanggaran terhadap Data Pribadi juga mengakibatkan emotional distress kerentanan yang dialaminya yang berpotensi menimbulkan diskriminasi, stigma sosial, dan lainnya (Romanosky dan Acquisti, 2009). Oleh karena itu, pengenaan sanksi terhadap ketidakpatuhan pemrosesan Data Pribadi harus juga meliputi biaya-biaya yang bersifat tangible dan intangible, serta potensi kerugian yang akan muncul di kemudian hari.

 

Selain itu, ketentuan mengenai sanksi denda atas pelanggaran pemrosesan Data Pribadi perlu diukur dengan memperhatikan keluasan spektrum valuasi dan omset industri di Indonesia sehingga penetapan berdasarkan angka yang bersifat menggeneralisir akan menimbulkan ketidakpastian dan ketimpangan dalam penegakan hukum. Adapun salah satu peraturan per-UU yang bisa dirujuk dalam situasi ini adalah UU UMKM. UU UMKM sendiri menetapkan batas kriteria terhadap empat jenis usaha yang terbagi atas usaha mikro (omset maksimal Rp 300 juta), usaha kecil (omset maksimal Rp 2,5 milyar), usaha menengah (omset maksimal Rp. 50 milyar), dan usaha besar (omset di atas Rp. 50 milyar). Sedangkan bagi badan publik, denda administrasi dapat dihitung dengan mempertimbangkan berdasarkan besaran pengelolaan keuangan negara.

 

    1. Hak-Hak Subjek Data serta Pengaturan Pengecualian Pemrosesan Data Pribadi yang Menjunjung Tinggi Pelindungan Hak-hak Subjek Data

Pasal 15 ayat 1 RUU PDP mengatur pengecualian pelaksanaan hak-hak subjek data untuk kepentingan pertahanan dan keamanan nasional; kepentingan proses penegakan hukum; kepentingan umum dalam rangka penyelenggaraan negara; kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau kepentingan statistik dan penelitian ilmiah. Kemudian pasal 15 ayat 2 mengatur bahwa pengecualian sebagaimana dimaksud pada ayat (1) dilaksanakan hanya dalam rangka pelaksanaan ketentuan Undang-Undang.

 

Berdasarkan studi yang dilakukan TIfa (2020) “Perbandingan Rancangan Undang-undang Perlindungan Data Pribadi dengan Konvensi Eropa 108+ dan GDPR”, KA-PDP mempertanyakan pengaturan pengecualian pemrosesan data pribadi di RUU PDP seperti di atas yang tidak menjunjung tinggi pelindungan hak-hak subjek data. Hal ini bertentangan dengan standar internasional PDP yang mengizinkan data pribadi untuk diproses demi tujuan valid tertentu, akan tetapi pengecualian ini berlaku dengan skema pengamanan untuk tetap memastikan subjek data terlindungi. Lebih lanjut lagi, baik Pasal 23 GDPR maupun Pasal 11 (1) dan 11 (2) Konvensi 108+ menyatakan bahwa pengecualian harus dilakukan berdasarkan prinsip kebutuhan dan proporsionalitas, harus direkonsiliasi dengan hak subjek data, dan dilakukan untuk tujuan yang sah.

 

    1. Pengecualian

Berdasarkan studi yang dilakukan Tifa (2020), ditemukan bahwa RUU PDP belum memiliki pengaturan khusus bagi usaha berskala kecil. Pasal 2 menyatakan bahwa “Undang-Undang ini berlaku untuk Setiap Orang, Badan Publik, dan Organisasi Internasional …” Pengaturan generik seperti ini mengabaikan tingkat kapasitas yang berbeda dari skala usaha yang beragam, juga tingkat kematangan industri terkait dalam menjalankan kepatuhan hukum.

 

Sementara itu, baik Konvensi 108+ maupun GDPR memberlakukan pengecualian untuk organisasi atau perusahaan kecil dan menengah. Konvensi 108+ mengaturnya dalam Pasal 10 tentang kewajiban tambahan untuk pengendali dan prosesor data (lihat Bagian 4.4.). Pasal ini memungkinkan para pihak untuk beradaptasi dengan kewajiban tambahan dengan mempertimbangkan sifat dan volume data yang diproses, sifat, ruang lingkup, dan tujuan pemrosesan data, dan ukuran entitas pemrosesan.

 

Kemudian, pasal 30 GDPR memberikan kriteria yang lebih mendetail tentang pengecualian bisnis berskala kecil. GDPR mengatur bahwa organisasi atau perusahaan dengan karyawan kurang dari 250 orang dibebaskan dari kewajiban pengendali data untuk menyimpan rekaman aktivitas pemrosesan, dengan batasan “kecuali ada risiko terhadap hak dan kebebasan subjek data, pemrosesan tidak sesekali, atau termasuk dalam kategori data khusus atau yang berkaitan dengan hukuman/ pelanggaran pidana.”

 

    1. Independensi Otoritas PDP

Berbagai insiden kebocoran data pribadi yang dialami oleh sektor publik menunjukkan bahwa Kementerian dan Lembaga di Indonesia menjalani dua peranan, yaitu sebagai entitas yang turut mengatur dan mengimplementasikan isu PDP sekaligus sebagai pengendali dan pemrosesan data pribadi. Hal ini berarti Indonesia memerlukan Otoritas Pengawas Pelindungan Data Pribadi (Otoritas PDP) yang memiliki kompetensi sekaligus bisa secara adil melaksanakan tugas dan kekuasaannya untuk mengawasi kegiatan pemrosesan data yang dilakukan termasuk oleh atau untuk sektor publik. Oleh karena itu, keberadaan RUU PDP harus memastikan kehadiran Otoritas PDP yang independen. Tanpa otoritas PDP yang independen, Indonesia akan mengalami kesulitan di dalam

 

membangun kepercayaan masyarakat dan mendorong akselerasi transformasi digital yang berkesinambungan di negara ini.

 

Sementara itu, KA-PDP mendapatkan informasi bahwa RUU PDP terbaru belum mengatur kelembagaan Otoritas PDP yang independen. Kewenangan utama penyelenggaraan pelindungan data pribadi dan pengawasannya ada pada pemerintah (Pasal 58 ayat (1) RUU PDP). Kemudian, pemerintah akan menurunkannya pada sebuah “lembaga” yang nantinya akan ditetapkan oleh presiden (Pasal 58 ayat (2) dan

(3) RUU PDP) dan lembaga tersebut juga akan bertanggung jawab kepada presiden (Pasal 58 ayat (4) RUU PDP). Nampak bahwa bakal Otoritas PDP di Indonesia adalah sebuah lembaga yang berada pada kaki pemerintah. Sementara itu, pemerintah akan memiliki 2 (dua) persona, yaitu sebagai pengawas sekaligus yang diawasi.

 

    1. Sinkronisasi RUU PDP dengan Undang-undang dan Peraturan Lain

Mengingat banyak pasal di RUU PDP yang menyatakan bahwa pengaturan lebih lanjut “sesuai dengan peraturan perundang-undangan” maka KA-PDP mempertanyakan apakah beragam peraturan perundang-undangan terkait PDP di Indonesia sudah selaras dengan standar pengaturan di RUU PDP dan terlebih lagi dengan standar internasional PDP?

 

Sementara itu, hasil riset “Indonesia Menuju Pelindungan Data Pribadi yang Sederhana dan Bermakna” yang dilakukan oleh Yayasan Tifa (2021) menunjukkan bahwa karena RUU PDP diharapkan menjadi payung regulasi yang mengatur isu-isu PDP maka otoritas PDP diharapkan kelak dapat berkoordinasi dengan beragam K/L yang mengatur isu PDP di bidang masing-masing. Hal ini agar pengendali, pemroses data, dan masyarakat tahu tempat acuan mereka, yaitu satu otoritas yang tunggal, bukan dengan beragam K/L lain terkait PDP, untuk mengurus isu PDP.

 

Berdasarkan hasil diskusi dan dengan merujuk kepada “Peta Jalan Tata Kelola Pelindungan Data Pribadi” maka rekomendasinya adalah:

      1. Otoritas bersama dengan K/L melakukan tindakan persiapan memetakan, melakukan harmonisasi, dan penyesuaian semua UU dan peraturan teknis di tingkat K/L yang selama ini ikut mengatur isu-isu PDP agar memenuhi standar dalam UU PDP.
      2. Otoritas bersama dengan K/L melakukan pemetaan, sinkronisasi dan koordinasi tugas dan   tanggung jawab K/L yang bersinggungan dengan isu PDP dengan tugas dan tanggung jawab otoritas PDP.
      3. Otoritas bersama dengan K/L melakukan penyusunan skenario struktur otoritas PDP dan model koordinasi antarsektor terkait isu PDP.