Usai pemerintah menandatangani Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) pada 17 Oktober lalu, kini Presiden Joko “Jokowi” Widodo memiliki tugas besar, yakni membentuk lembaga Pelindung Data Pribadi sebagai salah satu bentuk implementasi aturan ini.
Lembaga ini begitu penting karena akan mengemban empat otoritas utama:
- menetapkan kebijakan dan strategi PDP yang menjadi panduan bagi subjek data pribadi, pengendali data pribadi, dan prosesor data pribadi;
- mengawasi penyelenggaraan PDP;
- menegakkan hukum administratif terhadap pelanggaran UU PDP; dan
- memfasilitasi penyelesaian sengketa di luar pengadilan.
Selain berwenang menjatuhkan sanksi administratif terhadap individu, korporasi, badan publik, dan organisasi internasional, lembaga tersebut juga berwenang membantu aparat penegak hukum dalam penanganan dugaan tindak pidana data pribadi terkait individu dan korporasi. Ini karena UU PDP sendiri tidak mengatur adanya sanksi pidana terhadap badan publik dan organisasi internasional.
UU PDP Pasal 58 menyatakan bahwa pembentukan lembaga tersebut akan diatur dengan Peraturan Presiden. Sementara, Pasal 61 menyatakan ketentuan mengenai pelaksanaan wewenangnya akan diatur dalam Peraturan Pemerintah.
Lembaga pelindung data pribadi ini akan dibentuk oleh dan bertanggung jawab langsung kepada presiden, sehingga akan menjadi lembaga pemerintah non-kementerian (LPNK). Ini kurang lebih seperti Badan Siber dan Sandi Negara (BSSN), Badan Intelijen Negara (BIN), dan Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK).
Lalu, hal penting apa saja yang perlu pemerintah perhatikan dalam membentuk lembaga ini?
Harus seindependen mungkin
Pemerintah harus menjamin bahwa lembaga tersebut nantinya punya independensi yang tinggi.
Menurut standar internasional, otoritas lembaga negara harus independen karena akan mengawasi individu, korporasi, dan badan publik dalam sektor yang sangat strategis, sehingga perlu bebas dari pengaruh eksternal dan tidak menerima instruksi dari siapa pun.
Memang, sulit untuk bisa benar-benar menjamin lembaga pelindung data pribadi tersebut sepenuhnya independen karena akan tunduk pada Presiden.
Namun, meski tidak bisa ideal, sifat independensi lembaga pelindung yang bebas dari pengaruh eksternal tetap harus diupayakan sebaik mungkin. Setidaknya, ini harus dituangkan setegas mungkin dalam Peraturan Presiden dan Peraturan Pemerintah yang akan dibuat.
Dalam praktik di lapangan, jika nantinya lembaga ini akan “diintervensi”, ia akhirnya hanya boleh menerima arahan dari Presiden, bukan dari menteri tertentu, Kapolri, maupun pejabat negara lainnya. Pimpinan lembaga ini juga harus bisa memilih dan memiliki pegawainya sendiri, yang hanya tunduk pada pimpinan lembaga.
Integritas dan infrastruktur yang kuat
Melihat tugas dan wewenangnya yang sangat signifikan di era digital, lembaga pelindung data pribadi perlu memiliki sumber daya manusia, aturan teknis, manajemen dan kemampuan keuangan, serta infrastruktur yang kuat.
Contoh kasus yang akan dihadapi oleh lembaga ini adalah pelanggaran pelindungan data pribadi oleh korporasi dan badan publik yang bisa menyebabkan bocornya data pribadi warga.
Artinya, lembaga ini akan menyelidiki dugaan terjadinya pelanggaran tersebut dan menjatuhkan sanksi terhadap korporasi (nasional maupun internasional) ataupun badan publik yang melanggar. Di sini, pemimpin lembaga harus merupakan orang-orang yang kompeten dan berintegritas, serta memahami filosofi pelindungan data pribadi.
Lembaga ini juga butuh anggaran yang memadai untuk dapat mengemban tugas sebesar itu. Jangan sampai muncul alasan penegakan UU PDP tidak maksimal karena keterbatasan anggaran dan jumlah pegawai.
Banyak negara mengalokasikan anggaran yang relatif besar untuk otoritas ini karena mereka tahu bahwa harga yang harus dibayar untuk kebocoran data pribadi sangat mahal.
Kerjasama yang baik dengan pemangku kepentingan
Sebagai lembaga non-kementerian, sumber daya manusia dan keuangan yang akan dimiliki lembaga pelindung data pribadi ini tidak akan sebesar kementerian.
Lembaga tersebut, karena baru lahir, juga akan butuh waktu untuk menyiapkan dirinya sendiri. UU PDP Pasal 75 menetapkan masa transisi, waktu bagi prosesor dan pengendali data – dari instansi pemerintah sampai perusahaan platform teknologi – untuk mempersiapkan diri supaya bisa tunduk dengan UU PDP, yakni selama dua tahun. Jangka waktu tersebut tergolong sangat singkat bagi lembaga pelindung untuk menyiapkan diri, termasuk menyusun aturan teknis bagi prosesor dan pengendali data.
Karena itu, lembaga ini harus bisa bekerja sama sebaik mungkin dengan dan mendapat dukungan dari otoritas lain, termasuk Kementerian Komunikasi dan Informatika (Kominfo), BSSN, Kepolisian, dan Kejaksaan.
Koordinasi bisa dimulai sejak tahap penyusunan kebijakan dan strategi perlindungan data pribadi hingga implementasi aturan teknisnya. Dalam koordinasi itu, mereka harus juga menyesuaikan semua regulasi turunan di tingkat kementerian dan lembaga yang selama ini mengatur pelindungan data pribadi agar tercipta aturan yang selaras dengan UU PDP.
Saat menyusun kebijakan dan aturan teknis, lembaga ini juga perlu diberi mandat untuk mengakomodasi aspirasi pihak non-otoritas, seperti organisasi masyarakat sipil, peneliti, praktisi, dan korporasi, supaya regulasinya bisa efektif dan merangkul kepentingan seluruh pihak.
Ini karena melindungi data pribadi adalah persoalan melindungi hak asasi warga, bukan birokrasi yang melayani penguasa.
Sesuai amanat UU PDP Pasal 63 tentang partisipasi masyarakat untuk mendukung pelindungan data pribadi, yang “dapat dilakukan melalui pendidikan, pelatihan, advokasi, sosialisasi, dan/atau pengawasan”, lembaga pelindung juga harus mendorong partisipasi aktif publik. Jika semakin banyak warga yang memahami hak mereka dan mampu melindungi data pribadi, ini akan sangat membantu tugas lembaga pelindung.
Dua tahun masa transisi
Dengan tiga karakteristik utama di atas, harapannya pemerintah bisa membangun lembaga yang berkualitas dan berintegritas dalam memimpin kerja besar pelindungan data pribadi.
Menjamin bahwa lembaga ini berkualitas adalah harga mutlak jika Indonesia ingin dunia internasional menilainya serius melindungi data pribadi dan menganggapnya mampu melakukan kerja sama transfer data lintas negara. Penilaian ini sangat penting bila pemerintah Indonesia berkomitmen menyukseskan agenda-agenda transformasi digital saat ini.