RUU PDP Jamin Perlindungan Data Pribadi yang Progresif dan Komprehensif

Jakarta, Kominfo - Indonesia memiliki beberapa regulasi sektoral yang berkaitan dengan perlindungan data pribadi. Mulai dari  Undang-Undang Perbankan, Telekomunikasi, Administrasi Kependudukan, Kesehatan dan peraturan sektor lainnya.

Koordinator Hukum dan Kerjasama Direktorat Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika, Josua Sitompul menyatakan, regulasi sektoral pada dasarnya memiliki karakteristik tersendiri. Namun, dalam cakupan nasional diperlukan suatu peraturan yang komprehensif.  

“Hal ini mungkin di satu sisi relevan, mengingat di masing-masing sektor dinilai memiliki karakteristiknya masing-masing. Tetapi kalau kita berbicara secara nasional dan ke depan, maka tentunya diperlukan suatu usaha yang lebih komprehensif dalam rangka membangun sistem perlindungan data pribadi,” ujarnya dalam Webinar Kebocoran Data, Siapkan Proteksi, diselenggarakan Institute for Social Economic Digital Indonesia, dari Jakarta, Rabu (16/06/2021).

Mewakili Dirjen Aptika Semuel Abrijani Pangerapan, Josua Sitompul menjelaskan upaya perlindungan terhadap data pribadi juga telah diatur dalam beberapa Peraturan Pemerintah (PP), antara lain PP Nomor 82 Tahun 2012 yang kemudian diturunkan di dalam Peraturan Menteri Kominfo Nomor 20 tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

“Lalu ada juga sekarang PP 71/2019 dan RUU PDP (Rancangan Undang-Undang Perlindungan Data Pribadi). Maka bisa kita lihat usaha secara nasional untuk membangun suatu sistem perlindungan data pribadi yang lebih progresif dan komprehensif,” paparnya.

Menurut Koordinator Hukum dan Kerjasama Ditjen Aptika, ada beberapa perbedaan yang menonjol antara Peraturan Pemerintah dan Peraturan Menteri dengan RUU PDP, seperti dalam landasan filosofis ketika sebuah peraturan tersebut dibuat.

“Mungkin di dalam Undang-Undang ITE (Informasi dan Transaksi Elektronik) tidak terlalu jelas mengapa data pribadi itu perlu dilindungi, tetapi belum terlalu tegas disebutkan. Sedangkan di RUU PDP yang sedang dibahas bersama dengan DPR, secara lebih eksplisit dan juga tegas disebutkan bahwa perlindungan terhadap data pribadi merupakan perlindungan dari hak konstitusional warga negara Indonesia,” ujarnya.

Landasan filosofis pada sebuah regulasi pada dasarnya dalam berbagai literatur telah ditekankan mengenai peranan perlindungan pribadi berkaitan berkaitan dengan hak asasi manusia. Hal tersebut yang kemudian dinilai RUU PDP memiliki landasan yang komprehensif.

Dari aspek lainnya, legal basis, misalnya. Koordinator Hukum dan Kerjasama Aptika menjelaskan adanya upaya yang progresif di PP 82/2012. Namun, secara legal basis hanya fokus pada persetujuan. 

“Sedangkan di PP 71, meskipun persetujuan adalah yang utama, tetapi memperkenalkan adanya legal basis-legal basis yang lain termasuk performance of contract atau kepentingan yang sah dari data pengendali. Di RUU PDP, semua legal basis yang dikenal di dalam GDPR (General Data Protection Regulation) dianggap sebagai sama dan memiliki nilai yang sama juga,” jelas Josua Sitompul.

Sedangkan secara prinsip perlindungan data pribadi, dari PP 82/2012 hingga RUU PDP memang ada usaha yang lebih progresif. Hal tersebut seperti digambarkan dalam PP 71/2019 yang mengadopsi beberapa norma atau nilai-nilai di dalam GDPR, tetapi di RUU PDP justru diatur lebih spesifik dan dibuat lebih eksplisit. Demikian halnya dengan konsep data controller dan konsep data processor yang tidak dikenal di dalam PP 82/2012. 

“Di dalam PP 82 dikenal dengan konsep penyelenggara sistem elektronik, di PP 71 juga demikian. Tetapi di RUU PDP itu sudah dibuat lebih eksplisit,” tandas Koordinator Hukum dan Kerjasama Ditjen Aptika.

Di sisi lain, aspek hak subjek data pribadi juga lebih komprehensif di RUU PDP dibandingkan dengan peraturan turunan di atas. Bahkan di RUU PDP secara eksplisit mencakup kewajiban data controller dan data processor. 

“Kalau di PP 71 kita berbicara mengenai governance atau tata kelola dalam sistem elektronik, sehingga kewajiban dan tanggung jawab dari penyelenggara sistem elektronik berada di dalam konteks itu. Akan tetapi di dalam RUU PDP, yang dibahas atau ditekankan kewajiban data controller yang secara khusus melindungi data pribadi,” jelas Josua Sitompul.