DPR RI dan Presiden Koreksi Kembali RUU PDP dengan Melibatkan

Masyarakat Sipil dan Mempertimbangkan Masukannya

pembahasan RUU PDP saat ini serta di dalam proses implementasi kelak. Hal ini agar beragam pemangku kepentingan di Indonesia bisa saling bergotong royong di dalam membangun UU PDP dan ekosistem PDP fundamental lainnya yang kuat guna mendukung cita-cita transformasi digital di Indonesia.

Jakarta, 18 September 2022

Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP): ELSAM, AJI Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan Tifa, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-ActionAid, IGJ, Lakpesdam PBNU, ICEL, PSHK, CCHRS UPNVJ.

Untuk informasi lebih lanjut silakan menghubungi: Shevierra Damadiyah (KA-PDP), telp: 081236325337, Alia Yofira (PurpleCode Collective), telp: 081217015759, Sherly (KA-PDP), telp: 089677341192, Anton (SAFEnet), telp: 08119223375.

I. Catatan Prosedur Pembahasan RUU Pelindungan Data Pribadi

Catatan prosedur dalam proses pembahasan RUU PDP dapat diakses melalui Hasil Pemantauan Indonesian Parliamentary Center.

II. Catatan Substansi RUU Pelindungan Data Pribadi

A. Ruang Lingkup Data Pribadi Spesifik dan Mekanisme Pelindungannya

Kategorisasi data pribadi spesifik atau sensitif adalah ketentuan yang mengatur jenis

diskriminasi yang dimuat dalam instrumen hak asasi manusia dan ketentuan dasar

konstitusional masing-masing negara yang mengabadikan hak untuk non-diskriminasi.

Sebab seringkali sejumlah data (sensitif) tersebut menjadi basis atau dasar terjadinya

praktik diskriminasi dan eksklusivisme atau pengucilan terhadap seseorang atau

kelompok. Oleh karenanya terhadap data pribadi sensitif atau kategori data khusus,

perlu perlindungan untuk menjaga terhadap risiko yang mungkin timbul dari pemrosesan

data sensitif berkaitan dengan risiko kepentingan, hak, dan kebebasan mendasar dari

subjek data, terutama risiko diskriminasi.

Pengeluaran orientasi seksual dan pandangan politik dari kategorisasi data pribadi

spesifik dalam RUU PDP berpotensi menimbulkan diskriminasi bagi kelompok minoritas

gender di Indonesia dan penggunaan data untuk kepentingan politik menjelang

penyelenggaraan pemilihan umum pada 2024 mendatang. Hal lainnya yang perlu

digarisbawahi adalah meskipun RUU PDP saat ini telah mengatur mengenai

kategorisasi data pribadi spesifik, namun ruang lingkup data pribasi spesifik dan bentuk

pelindungan khusus bagi data pribadi sensitif masih luput untuk diatur lebih lanjut dalam

RUU Pelindungan Data Pribadi.

B. Data Pribadi Anak

RUU PDP menempatkan data anak sebagai data pribadi spesifik, padahal secara

prinsipil pemrosesan terhadap data spesifik (sensitif) adalah dilarang, kecuali memenuhi

persyaratan tertentu, salah satunya melalui persetujuan jelas (explicit consent) dari

subjek datanya. Problemnya, apakah mungkin mendapatkan explicit consent dari anak

yang statusnya masih dibawah pengampuan orang tua atau walinya? Padahal

pemrosesan data pribadi anak adalah suatu hal yang niscaya, misalnya untuk

kepentingan pendidikan, kesehatan, atau ketika anak tersebut akan menggunakan

aplikasi teknologi. Data anak dalam RUU PDP seharusnya ditempatkan sebagai

kualifikasi data umum, dengan memberikan pelindungan khusus karena anak

dimungkinkan kurang menyadari risiko, konsekuensi, dan pelindungan terhadap data

pribadi miliknya. Risiko inilah yang mendorong ada klausul khusus perlindungan data

pribadi anak (the protection of minors) dalam sebuah legislasi pelindungan data pribadi.

Pengaturan ini berpijak dari pertimbangan, anak mungkin kurang menyadari risiko,

konsekuensi, serta perlindungan dan hak-hak mereka sehubungan dengan pemrosesan

data pribadinya.

RUU PDP juga tidak melakukan pendefinisian terhadap umur anak. Hal ini berbeda

dengan praktik yang ada di berbagai negara lain. Dalam EU GDPR misalnya, usia anak

didefinisikan minimal 16 tahun. Sehingga, pemrosesan data pribadi seorang anak

dianggap sah menurut hukum jika anak tersebut setidaknya berusia 16 tahun. Jika anak

di bawah usia 16 tahun, pemrosesan semacam itu hanya akan sah jika dan sejauh

persetujuan itu diberikan atau disahkan oleh pemegang tanggung jawab orang tua atas

anak tersebut. Lalu, pada Personal Information Protection Act (PIPA) Korea, persetujuan

dari perwakilan hukumnya diperlukan oleh pengendali data pribadi, jika data yang

diproses adalah data pribadi anak di bawah 14 tahun. Ketiadaan kejelasan mengenai

pendefinisian usia anak dan hanya menyerahkan kepada peraturan

perundang-undangan yang berlaku kurang tepat, mengingat ada beberapa

kemungkinan peraturan perundang-undangan yang dirujuk. RUU PDP sebaiknya

menggunakan batas usia yang telah diatur dalam Convention on the Rights of the Child

(Konvensi Hak-Hak Anak) dan Undang-Undang Nomor 23 Tahun 2002 tentang

Perlindungan Anak sebagaimana telah diubah dengan Undang-Undang Nomor 35

Tahun 2014 tentang Peruaan Atas ndang-Undang Nomor 23 Tahun 2002 tentang

Perlindungan Anak, yakni “orang yang belum berusia 18 (delapan belas) tahun”.

C. Kewajiban Pengendali dan Pemroses Data

Baik pengendali dan pemroses data memiliki tanggung jawab yang berbeda. Oleh

karenanya, penting untuk dapat membedakan keduanya. Pada praktiknya, perbedaan

mendasar di antara keduanya ditandai dari kuasa untuk pengambilan keputusan

(decision-making power) terkait pemrosesan data pribadi subjek data (Paul Voigt dan

Axel Von Dem Bussche, 2017). Pihak yang menentukan tujuan dan cara pemrosesan

data pribadi merupakan pengendali data, sedangkan pihak yang melakukan

pemrosesan atas nama pengendali data merupakan pemroses data.

Jangka waktu pemenuhan hak-hak subjek data oleh pengendali data atau pun

pelaksanaan kewajiban pengendali data, termasuk pemberitahuan ketika terjadi

kegagalan dalam perlindungan data pribadi dilakukan tanpa penundaan atau dalam

kesempatan pertama. Hal ini mengacu pada prinsip tanpa penundaan yang tidak

semestinya (without undue delay), yang memerlukan analisis kasus per kasus, dengan

mempertimbangkan keadaan dan kondisi dari setiap kasusnya, dan tidak tunduk pada

definisi konseptual yang ketat dalam menentukan periode waktu absolut di mana suatu

tindakan harus dilakukan (misal harus 3x24 jam). Sebagai contoh, pemenuhan hak atas

informasi dilakukan setidaknya 1 bulan setelah permohonan hak atas informasi diterima

oleh Pengendali Data. Jangka waktu tersebut dapat diperpanjang jika diperlukan dengan

mempertimbangkan tingkat kompleksitas dan jumlah permohonan hak atas informasi

yang diterima oleh Pengendali Data.

D. Pengaturan Terkait Pengendali Data Gabungan

Lebih lanjut lagi, dikenal juga konsep pengendali data bersama (joint controllers) dimana

beberapa pengendali data secara bersama-sama menentukan tujuan pemrosesan data

pribadi. Dalam situasi ini, harus ada pembagian alokasi tanggung jawab di antara

pengendali data bersama. Ketiadaan pengaturan terkait pengendali data bersama di

RUU PDP berdampak pada ketidakjelasan alokasi tanggung jawab di antara pihak-pihak

yang terlibat, sehingga berpotensi adanya ping-pong tanggung jawab dalam hal

terjadinya pelanggaran data pribadi.

E. Sanksi Pidana

Secara garis besar, studi Tifa “Pelindungan Data Pribadi yang Sederhana dan Bermakna

bagi Indonesia” menunjukkan gap di mana pendekatan dan pengaturan mekanisme

penegakan di RUU PDP yang berorientasikan hanya kepada sanksi. Padahal, terdapat

beragam level kesadaran dan kesiapan pengendali dan prosesor data di sektor publik

dan privat. Pengaturan mekanisme penegakan berbasiskan sanksi semata tidak akan

efektif untuk menumbuhkan kesadaran masyarakat Indonesia mengenai pentingnya

PDP. Mengingat keberagaman kapasitas pelaku pemrosesan data, hasil riset Tifa

menemukan bahwa RUU PDP seharusnya juga mempertimbangkan pendekatan yang

bersifat edukatif, misal melalui konten-konten kreatif di iklan televisi, radio, dan media

sosial guna meningkatkan kesadaran mengenai pelindungan data pribadi.

Selain itu, secara khusus, hasil riset Tifa juga mengangkat kebutuhan dari beragam

pemangku kepentingan terkait PDP yang mendorong penghapusan secara menyeluruh

pasal-pasal pemidanaan dari RUU PDP, yang adalah tidak selaras dengan

praktik-praktik terbaik internasional. Ketentuan pidana dalam RUU PDP mengatur tidak

hanya kejahatan yang masuk kualifikasi cyber dependent crime, namun juga mencakup

cyber enabled crime. Pada dasarnya sejumlah larangan dalam RUU PDP sudah diatur

dalam UU Informasi dan Transaksi dan Elektronik, juga peraturan perundang-undangan

lainnya, termasuk Kitab Undang-Undang Hukum Pidana (KUHP). Oleh karenanya untuk

tidak menambah daftar atau jenis tindak pidana baru dalam hukum pidana Indonesia,

ketentuan larangan dalam undang-undang sebaiknya dihapuskan dan merujuk pada

ketentuan peraturan perundang-undangan yang sudah ada.

Lebih lanjut, Pasal 4 ayat (2) huruf d RUU PDP yang pada pokoknya menyatakan

bahwa data pribadi yang dilindungi salah satunya berupa catatan kejahatan, kemudian

Pasal Pasal 65 ayat (2) maupun Pasal 67 ayat (2) RUU PDP yang mengatur mengenai

sanksi pidana diatur secara umum tanpa memberikan batasan yang pasti serta

pengertian setiap unsur yang tidak dijelaskan secara rinci, menyebabkan pasal tersebut

menjadi rentan digunakan secara tidak terukur. Hal tersebut mengancam kerja-kerja

jurnalistik dalam meliput, salah satunya mengenai catatan kejahatan tokoh/pejabat

publik. Hal tersebut bertentangan dengan Pasal 1 Angka 1 Undang-Undang Nomor 40

Tahun 1999 Tentang Pers yang pada pokoknya menyebutkan bahwa “pers

melaksanakan kegiatan jurnalistik meliputi mencari, memperoleh, memiliki, menyimpan,

mengolah, dan menyampaikan informasi baik dalam bentuk tulisan, suara, gambar

maupun sarana lainnya”. Maka dengan pasal dalam RUU PDP tersebut, jurnalis yang

melaksanakan kerja jurnalistiknya akan dengan mudah dibatasi serta dikriminalisasi.

F. Sanksi Denda Administratif

Pemrosesan Data Pribadi yang dilakukan dengan tidak mematuhi kewajiban

pemrosesan akan menempatkan Subjek Data pada kondisi yang sangat rentan tanpa

memperhatikan apakah ketidakpatuhan tersebut telah mengakibatkan kerugian atau

belum mengakibatkan kerugian. Data Pribadi yang diproses tidak sesuai dengan standar

minimum kewajiban pemrosesan akan menimbulkan kerugian langsung (mis.

penyalahgunaan data pribadi, dll.) maupun kerugian tidak langsung (mis. biaya

investigasi, mistrust, dll. tidak hanya bagi Subjek Data namun juga pada pembangunan

nasional yang bertumpu pada penggunaan data untuk memperkuat pertumbuhan

ekonomi, meningkatkan pelayanan publik, mendukung kebijakan kesejahteraan sosial,

dan lain sebagainya. Bagi Subjek Data, pelanggaran terhadap Data Pribadi juga

mengakibatkan emotional distress kerentanan yang dialaminya yang berpotensi

menimbulkan diskriminasi, stigma sosial, dan lainnya (Romanosky dan Acquisti, 2009).

Oleh karena itu, pengenaan sanksi terhadap ketidakpatuhan pemrosesan Data Pribadi

harus juga meliputi biaya-biaya yang bersifat tangible dan intangible, serta potensi

kerugian yang akan muncul di kemudian hari.

Selain itu, ketentuan mengenai sanksi denda atas pelanggaran pemrosesan Data

Pribadi perlu diukur dengan memperhatikan keluasan spektrum valuasi dan omset

industri di Indonesia sehingga penetapan berdasarkan angka yang bersifat

menggeneralisir akan menimbulkan ketidakpastian dan ketimpangan dalam penegakan

hukum. Adapun salah satu peraturan per-UU yang bisa dirujuk dalam situasi ini adalah

UU UMKM. UU UMKM sendiri menetapkan batas kriteria terhadap empat jenis usaha

yang terbagi atas usaha mikro (omset maksimal Rp 300 juta), usaha kecil (omset

maksimal Rp 2,5 milyar), usaha menengah (omset maksimal Rp. 50 milyar), dan usaha

besar (omset di atas Rp. 50 milyar). Sedangkan bagi badan publik, denda administrasi

dapat dihitung dengan mempertimbangkan berdasarkan besaran pengelolaan keuangan

negara.

G. Hak-Hak Subjek Data serta Pengaturan Pengecualian Pemrosesan Data Pribadi

yang Menjunjung Tinggi Pelindungan Hak-hak Subjek Data

Pasal 15 ayat 1 RUU PDP mengatur pengecualian pelaksanaan hak-hak subjek data

untuk kepentingan pertahanan dan keamanan nasional; kepentingan proses penegakan

hukum; kepentingan umum dalam rangka penyelenggaraan negara; kepentingan

pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem

keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau kepentingan

statistik dan penelitian ilmiah. Kemudian pasal 15 ayat 2 mengatur bahwa pengecualian

sebagaimana dimaksud pada ayat (1) dilaksanakan hanya dalam rangka pelaksanaan

ketentuan Undang-Undang.

Berdasarkan studi yang dilakukan TIfa (2020) “Perbandingan Rancangan

Undang-undang Perlindungan Data Pribadi dengan Konvensi Eropa 108+ dan GDPR”,

KA-PDP mempertanyakan pengaturan pengecualian pemrosesan data pribadi di RUU

PDP seperti di atas yang tidak menjunjung tinggi pelindungan hak-hak subjek data. Hal

ini bertentangan dengan standar internasional PDP yang mengizinkan data pribadi untuk

diproses demi tujuan valid tertentu, akan tetapi pengecualian ini berlaku dengan skema

pengamanan untuk tetap memastikan subjek data terlindungi. Lebih lanjut lagi, baik

Pasal 23 GDPR maupun Pasal 11 (1) dan 11 (2) Konvensi 108+ menyatakan bahwa

pengecualian harus dilakukan berdasarkan prinsip kebutuhan dan proporsionalitas,

harus direkonsiliasi dengan hak subjek data, dan dilakukan untuk tujuan yang sah.

H. Pengecualian

Berdasarkan studi yang dilakukan Tifa (2020), ditemukan bahwa RUU PDP belum

memiliki pengaturan khusus bagi usaha berskala kecil. Pasal 2 menyatakan bahwa

“Undang-Undang ini berlaku untuk Setiap Orang, Badan Publik, dan Organisasi

Internasional …” Pengaturan generik seperti ini mengabaikan tingkat kapasitas yang

berbeda dari skala usaha yang beragam, juga tingkat kematangan industri terkait dalam

menjalankan kepatuhan hukum.

Sementara itu, baik Konvensi 108+ maupun GDPR memberlakukan pengecualian untuk

organisasi atau perusahaan kecil dan menengah. Konvensi 108+ mengaturnya dalam

Pasal 10 tentang kewajiban tambahan untuk pengendali dan prosesor data (lihat Bagian

4.4.). Pasal ini memungkinkan para pihak untuk beradaptasi dengan kewajiban

tambahan dengan mempertimbangkan sifat dan volume data yang diproses, sifat, ruang

lingkup, dan tujuan pemrosesan data, dan ukuran entitas pemrosesan.

Kemudian, pasal 30 GDPR memberikan kriteria yang lebih mendetail tentang

pengecualian bisnis berskala kecil. GDPR mengatur bahwa organisasi atau perusahaan

dengan karyawan kurang dari 250 orang dibebaskan dari kewajiban pengendali data

untuk menyimpan rekaman aktivitas pemrosesan, dengan batasan “kecuali ada risiko

terhadap hak dan kebebasan subjek data, pemrosesan tidak sesekali, atau termasuk

dalam kategori data khusus atau yang berkaitan dengan hukuman/ pelanggaran

pidana.”

I. Independensi Otoritas PDP

Berbagai insiden kebocoran data pribadi yang dialami oleh sektor publik menunjukkan

bahwa Kementerian dan Lembaga di Indonesia menjalani dua peranan, yaitu sebagai

entitas yang turut mengatur dan mengimplementasikan isu PDP sekaligus sebagai

pengendali dan pemrosesan data pribadi. Hal ini berarti Indonesia memerlukan Otoritas

Pengawas Pelindungan Data Pribadi (Otoritas PDP) yang memiliki kompetensi sekaligus

bisa secara adil melaksanakan tugas dan kekuasaannya untuk mengawasi kegiatan

pemrosesan data yang dilakukan termasuk oleh atau untuk sektor publik. Oleh karena

itu, keberadaan RUU PDP harus memastikan kehadiran Otoritas PDP yang independen.

Tanpa otoritas PDP yang independen, Indonesia akan mengalami kesulitan di dalam

membangun kepercayaan masyarakat dan mendorong akselerasi transformasi digital

yang berkesinambungan di negara ini.

Sementara itu, KA-PDP mendapatkan informasi bahwa RUU PDP terbaru belum

mengatur kelembagaan Otoritas PDP yang independen. Kewenangan utama

penyelenggaraan pelindungan data pribadi dan pengawasannya ada pada pemerintah

(Pasal 58 ayat (1) RUU PDP). Kemudian, pemerintah akan menurunkannya pada

sebuah “lembaga” yang nantinya akan ditetapkan oleh presiden (Pasal 58 ayat (2) dan

(3) RUU PDP) dan lembaga tersebut juga akan bertanggung jawab kepada presiden

(Pasal 58 ayat (4) RUU PDP). Nampak bahwa bakal Otoritas PDP di Indonesia adalah

sebuah lembaga yang berada pada kaki pemerintah. Sementara itu, pemerintah akan

memiliki 2 (dua) persona, yaitu sebagai pengawas sekaligus yang diawasi.

J. Sinkronisasi RUU PDP dengan Undang-undang dan Peraturan Lain

Mengingat banyak pasal di RUU PDP yang menyatakan bahwa pengaturan lebih lanjut

“sesuai dengan peraturan perundang-undangan” maka KA-PDP mempertanyakan

apakah beragam peraturan perundang-undangan terkait PDP di Indonesia sudah

selaras dengan standar pengaturan di RUU PDP dan terlebih lagi dengan standar

internasional PDP?

Sementara itu, hasil riset “Indonesia Menuju Pelindungan Data Pribadi yang Sederhana

dan Bermakna” yang dilakukan oleh Yayasan Tifa (2021) menunjukkan bahwa karena

RUU PDP diharapkan menjadi payung regulasi yang mengatur isu-isu PDP maka

otoritas PDP diharapkan kelak dapat berkoordinasi dengan beragam K/L yang

mengatur isu PDP di bidang masing-masing. Hal ini agar pengendali, pemroses

data, dan masyarakat tahu tempat acuan mereka, yaitu satu otoritas yang tunggal,

bukan dengan beragam K/L lain terkait PDP, untuk mengurus isu PDP.

Berdasarkan hasil diskusi dan dengan merujuk kepada “Peta Jalan Tata Kelola

Pelindungan Data Pribadi” maka rekomendasinya adalah:

1. Otoritas bersama dengan K/L melakukan tindakan persiapan memetakan,

melakukan harmonisasi, dan penyesuaian semua UU dan peraturan teknis di

tingkat K/L yang selama ini ikut mengatur isu-isu PDP agar memenuhi

standar dalam UU PDP.

2. Otoritas bersama dengan K/L melakukan pemetaan, sinkronisasi dan

koordinasi tugas dan tanggung jawab K/L yang bersinggungan dengan isu

PDP dengan tugas dan tanggung jawab otoritas PDP.

3. Otoritas bersama dengan K/L melakukan penyusunan skenario struktur

otoritas PDP dan model koordinasi antarsektor terkait isu PDP