Sebuah studi baru yang membandingkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) Indonesia dengan dua regulasi perlindungan data pribadi di Eropa menemukan bahwa RUU PDP memiliki banyak kekurangan jika dibandingkan dengan standar perlindungan data pribadi internasional.
Perbedaan tingkat perlindungan ini terlihat jelas ketika penyedia jasa pesan singkat WhatsApp “memaksa” semua penggunanya, termasuk pengguna di Indonesia, untuk setuju membagikan data mereka ke perusahaan induk mereka, Facebook, jika ingin tetap menggunakan layanan ini.
Kebijakan penggunaan data ini tidak diberlakukan bagi pengguna di Eropa.
Ketidakjelasan RUU PDP
Dalam penelitiannya, Yayasan Tifa membandingkan RUU PDP dengan regulasi perlindungan data pribadi di Eropa, seperti Peraturan Pelindungan Data Umum Uni Eropa (GDPR) dan Konvensi Eropa 108+ – dua regulasi Eropa yang banyak dijadikan patokan oleh dunia terkait perlindungan data privasi.
Studi Yayasan Tifa menemukan bahwa RUU PDP masih memiliki banyak kekurangan, seperti ketidakjelasan definisi, ketidakjelasan dasar hukum, dan penempatan warga negara di posisi yang lemah.
Dalam RUU PDP, Kementerian Komunikasi dan Informatika (Kominfo), memegang otoritas perlindungan data pribadi atau data protection authority (DPA) di Indonesia.
Namun, RUU tersebut tidak menyebutkan secara jelas tugas dan tanggung jawab Kominfo dalam perannya sebagai otoritas pelindungan data pribadi.
Di Eropa, GDPR memastikan otoritas perlindungan data pribadi independen dan memiliki cakupan tanggung jawab yang jelas untuk memastikan badan tersebut bisa menegakkan hukum dan memberikan sanksi kepada pihak-pihak kepentingan seperti pemerintah dan perusahaan.
Sherly Haristya, salah satu peneliti Yayasan Tifa mempertanyakan indepedensi Kominfo sebagai pengadil perlindungan data pribadi kalau tidak ada detail yang mengatur.
“Sejauh mana dia berhak mengintervensi jika terjadi pelanggaran perlindungan data pribadi? Seberapa jauh dia bisa mengawal agar pengelola data bisa bertanggung jawab?” sebut Sherly.
Masalah utama berikutnya adalah ketidakjelasan RUU PDP dalam pembagian ruang lingkup hukum di antara perorangan dan lembaga.
Di dalam GDPR dan Konvensi Eropa 108+, definisi data pribadi ditetapkan berdasarkan karateristik seperti “informasi apa pun terkait orang perseorangan (pemilik data).” Namun di RUU PDP, orang diartikan sebagai perseorangan atau korporasi.
Hal ini berpotensi mengakibatkan penetapan kewajiban perlindungan data pribadi yang tidak sesuai dengan kapasitas pihak yang berbeda-beda. Ini karena penegak hukum dapat menafsirkan bahwa seorang individu memiliki kewajiban yang sama dengan suatu lembaga yang mengendalikan memproses data.
Menurut Sherly, RUU PDP harus memberikan kejelasan yang lebih mendetail untuk membedakan kegiatan pengolahan data rumah tangga dan aktivitas pemrosesan data komersial.
Dasar hukum kurang jelas
GDPR menjelaskan bahwa prinsip atau dasar proses data pribadi itu harus adil, sah, dan transparan. Pihak pengendali data dan entitas yang mengumpulkan data hanya bisa mengumpulkan data jika memiliki dasar hukum yang kuat.
GDPR juga menjelaskan secara detail kondisi-kondisi yang dianggap cukup sehingga pemrosesan data dianggap sah. Salah satu kondisi itu adalah consent atau persetujuan.
RUU PDP tidak menawarkan kejelasan tentang keabsahan dan dasar hukum pemrosesan data.
RUU PDP mengatur bahwa pengendali data bisa memproses data untuk memenuhi kewajiban hukum untuk kepentingan publik. Tetapi, tidak ada penjelasan lebih lanjut mengenai “kepentingan publik”.
Ada potensi pengendali data bisa menafsirkan sendiri apa yang dimaksud dengan “kepentingan publik” dan memproses data sesuai dengan kepentingan pengendali data belaka.
Beban pada warga
GDPR dan Konvensi Eropa 108+ memaparkan hak pemilik data secara detail.
Di dalam Konvensi Eropa 108+, setiap individu memiliki hak untuk tidak tunduk pada keputusan yang mempengaruhi diri mereka secara signifikan karena pemrosesan data otomatis.
Individu berhak mengetahui data mereka dipakai untuk apa, protes dengan pemrosesan data mereka, meminta data mereka diperbaiki atau dihapuskan, dan meminta pemulihan data jika ada haknya dilanggar.
GDPR menjelaskan hal-hal di atas dengan lebih detail. Aturan itu menjelaskan bahwa pengendali data harus memberikan informasi terkait pemrosesan data kepada pemilik data (hak untuk diberitahukan).
GDPR juga mengatur hak pemilik data untuk mengakses, hak perbaikan data, hak untuk dilupakan, hak membatasi pemrosesan data, dan banyak hak-hak pemilik data lainnya.
Kurang lebih, RUU PDP memaparkan hak-hak pemilik data yang serupa dengan hal-hal di atas, seperti hak untuk diberitahukan, hak untuk diperbaiki, hak untuk pemulihan, dan hak-hak lainnya.
Namun, RUU PDP menuntut pemilik data yang harus aktif menuntut hak-hak mereka sebagai pemilik data kepada pengendali data alih-alih membebankan pertanggungjawaban terkait hak-hak tersebut kepada pengendali data sedari awal.
Sederhananya, pemilik data harus menjadi pihak yang aktif menuntut hak mereka, sedangkan pengendali data tidak wajib memberitahukan hak-hak pemilik data sebelum memproses data.
Ini membuka kemungkinan pihak pemilik data di Indonesia baru mengetahui hak-hak mereka sebagai pemilik data sesudah data mereka diproses.
Read more: Analisis: dua ancaman utama yang perlu diatasi lewat UU perlindungan data pribadi
Penegakan hukum masih sulit
Rizky Banyualam Permana, peneliti dan dosen hukum internasional di Universitas Indonesia, mengatakan di dunia saat ini belum ada komitmen global – peraturan tingkat hukum global – yang mengatur hukum perlindungan data pribadi.
Sehingga ada pendekatan hukum yang berbeda dari satu negara dengan negara lainnya.
“Kalau kita ingin pembandingan yang komprehensif, kita tentu kita harus melihat pandangan yang berseberangan, misalnya pendekatan Amerika Serikat (AS) yang menekankan hak konsumen,” kata Rizky.
Rizky juga menilai bahwa ada beberapa hal dalam pendekatan di Eropa yang tidak realistis dari sisi penegakan hukum. Studi menunjukkan bahwa klaim yurisdiksi global GDPR nyatanya terbatas karena sulit ditegakkan di luar wilayah Uni Eropa.
Hambatan-hambatan ini dapat mengakibatkan aturan GDPR, termasuk pemberian denda administratif, menjadi tidak bisa ditegakkan dan dilupakan begitu saja.