Prabowo-Gibran yang pencalonannya sebagai Presiden dan Wakil Presiden menuai kontroversi, akan bekerja mulai 20 Oktober 2024.
Untuk mengawal pemerintahannya, kami menerbitkan #PantauPrabowo edisi khusus yang berisi isu-isu penting hasil pemetaan kami dengan TCID Author Network. Edisi kali ini juga mengulas 10 tahun pemerintahan Joko Widodo, serta memberikan persiapan bagi Prabowo-Gibran dalam menjalankan tugasnya.
Era Presiden Joko “Jokowi” Widodo telah banyak menghadirkan kejadian kebocoran data pribadi kepada masyarakat. Pada Mei 2020, Tokopedia, salah satu aplikasi jual beli online terbesar di Indonesia, mengalami kebocoran data pribadi pengguna sebanyak 91 juta orang. Pada November 2022, MyPertamina, aplikasi milik BUMN Pertamina, juga mengalami kebocoran data pribadi pengguna sebanyak 44 juta orang.
Ironisnya, kebocoran data pribadi tidak hanya terjadi di sektor swasta, namun juga di sektor pemerintahan. Selama pandemi COVID-19, pemerintah banyak mengumpulkan data pribadi masyarakat, namun sayangnya tidak dibarengi dengan upaya perlindungan yang memadai.
Pada tahun 2020 saja, terdapat beberapa kejadian kebocoran data pribadi terkait penanganan COVID-19, setidaknya pada bulan Mei, Juli, dan Agustus.
Jelang Pemilihan Umum (Pemilu) 2024, Komisi Pemilihan Umum (KPU) juga mengalami kebocoran data sebanyak 252 juta.
Hal ini patut menjadi catatan bagi Presiden terpilih Prabowo Subianto dan Wakil Presiden terpilih Gibran Rakabuming Raka. Rezim selanjutnya perlu menyiapkan langkah yang lebih efektif dan strategis untuk mencegah kebocoran data terulang kembali.
UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang disahkan pada 17 Oktober 2022 merupakan langkah progresif pemerintahan Jokowi dalam melindungi data pribadi masyarakat. Namun implementasinya tidak akan mudah, terutama terkait pembentukan Lembaga PDP.
Kompetensi dan transparansi pemerintah dipertanyakan
Menghadapi kebocoran data pribadi yang masif di Indonesia, pemerintah belum banyak mengambil langkah taktis dan strategis. Setiap kali terjadi kebocoran data pribadi, pemerintah seringkali mengetahuinya dari masyarakat – yang lebih tanggap dalam mengungkap kebocoran data melalui media sosial. Hal ini menunjukkan bahwa pemerintah belum memiliki sistem tata kelola perlindungan data pribadi yang mampu mendeteksi kebocoran data pribadi di Indonesia dengan cepat.
Ketika pemerintah akhirnya bergerak menangani kebocoran data pribadi, lembaga negara seperti Kementerian Komunikasi dan Informatika (Kominfo), Badan Siber dan Sandi Negara (BSSN), dan lainnya seringkali hanya saling mengalihkan tanggung jawab.
Hasil penanganan kebocoran data pribadi yang dilakukan pemerintah juga umumnya tidak transparan dan akuntabel. Masyarakat belum mengetahui proses dan hasil akhir dari pengobatan tersebut. Dalam situasi seperti ini, tentu masyarakat menjadi pihak yang paling dirugikan karena tidak mendapat kepastian keamanan data pribadinya.
Disahkannya UU PDP: harapan versus kenyataan
Sebelum UU PDP disahkan, Indonesia sebenarnya sudah memiliki peraturan mengenai perlindungan data pribadi, namun berlaku secara sektoral (berlaku hanya per lembaga, tidak seluruh sistem pemerintahan). UU PDP diciptakan sebagai peraturan perundang-undangan yang bersifat khusus (lex specialis derogat legi generali) sehingga ketika terdapat norma yang bertentangan antar peraturan perundang-undangan sektoral, maka semuanya mengacu pada UU PDP.
Penyusunan UU PDP yang berlangsung pada tahun 2020 hingga 2022 banyak dipengaruhi oleh Peraturan Perlindungan Data Umum Uni Eropa (EU GDPR)—peraturan perlindungan data pribadi Uni Eropa yang sering dijadikan rujukan global.
Banyak ketentuan dalam UU PDP yang pada dasarnya mengacu pada GDPR UE, seperti jenis data pribadi, hak subjek data pribadi, kewajiban pengontrol data pribadi dan pemroses data pribadi, transfer data pribadi, sanksi administratif, lembaga, kerja sama internasional, perselisihan. resolusi dan hukum acara, serta larangan penggunaan data pribadi.
Namun keberadaan UU PDP perlu kita apresiasi karena mampu menempatkan subjek data sebagai aktor yang memiliki kendali penuh atas data pribadinya. Sebagai pemegang kendali, subjek data mempunyai berbagai hak, seperti hak untuk memperoleh informasi mengenai pengolahan data, hak untuk melengkapi dan memperbaiki data, hak untuk mengakhiri pengolahan data, dan hak untuk menerima kompensasi atas pelanggaran pengolahan data pribadi. .
Selain itu, pengontrol data pribadi dan pengolah data pribadi juga mempunyai berbagai kewajiban dalam pengolahan data pribadi. Adanya hak dan kewajiban tersebut memberikan subjek data pribadi pada kedudukan yang mumpuni. Hal ini dapat menjadi langkah awal dalam menekan praktik eksploitasi dan penyalahgunaan data pribadi.
Namun pengesahan UU PDP bukannya tanpa kritik, Koalisi Advokasi Perlindungan Data Pribadi (KA-PDP) mempunyai sepuluh kritik, antara lain, cakupan data pribadi yang spesifik (data yang jika diolah dapat berdampak besar pada data pribadi). subjek data), data pribadi anak, pengendali data bersama, sanksi pidana, dan independensi lembaga pengawas.
Tantangan implementasi UU PDP juga menjadi persoalan tersendiri. Sejak berlakunya peraturan ini, pemerintah belum mengambil langkah signifikan untuk menerapkannya. Agar efektif, implementasi UU PDP memerlukan adanya peraturan turunan dan Lembaga PDP.
Implementasinya tidak maksimal tanpa adanya aturan turunan
Ketentuan peralihan dalam UU PDP mengatur bahwa UU PDP akan berlaku sepenuhnya terhadap pengendali data pribadi, pengolah data pribadi, dan pihak lain yang terkait dengan pengolahan data pribadi paling lambat dua tahun setelah diundangkan. Artinya tanggal 17 Oktober 2024 menjadi batas waktu seluruh aktor untuk mematuhi UU PDP.
Sayangnya, ada beberapa ketentuan dalam UU PDP yang belum bisa diterapkan secara maksimal. Sebab, UU PDP mengamanatkan adanya peraturan turunan, baik berupa peraturan pemerintah maupun peraturan presiden, yang hingga saat ini belum ada.
Ada sebelas pasal yang memerlukan aturan turunan. Belum adanya peraturan turunan membuat pasal-pasal tersebut tidak bisa dilaksanakan. Salah satu contohnya adalah Pasal 12 yang mengamanatkan ketentuan lebih lanjut mengenai pelanggaran pengolahan data pribadi dan tata cara pengenaan ganti rugi diatur dalam peraturan pemerintah. Meski hak menerima kompensasi sudah ada dalam UU PDP, namun tanpa prosedur yang diatur pemerintah, subjek data tidak akan mendapatkan hak tersebut.
Inisiasi pembentukan peraturan turunan berupa peraturan pemerintah sebenarnya sudah dimulai Kominfo sejak Januari 2023 dan telah melalui tahap perumusan, konsultasi publik, dan pembahasan pada tahap harmonisasi. Artinya tahap ini hanya menyisakan finalisasi dan penetapan. Namun hingga saat ini belum ada kepastian kapan proses harmonisasi tersebut akan selesai.
Pekerjaan rumah bagi pemerintahan Prabowo
Salah satu hal yang patut diperhatikan Prabowo adalah pembentukan Lembaga PDP. Lembaga ini mempunyai fungsi merumuskan dan menetapkan kebijakan serta mengawasi pelaksanaan terkait perlindungan data pribadi, penegakan hukum administrasi, dan fasilitasi penyelesaian sengketa di luar pengadilan.
Absennya Lembaga PDP akan mempengaruhi cara penanganan kebocoran data pribadi di kemudian hari. Tanpa adanya Lembaga PDP maka penanganan kebocoran data pribadi akan stagnan dan saling berpindah tanggung jawab.
Penting juga bagi Prabowo untuk memperhatikan persoalan terkait independensi lembaga PDP. UU PDP mengatur bahwa lembaga pengawas ini berada di bawah pemerintah. Keberadaannya yang tidak independen membuat fungsi dan kewenangannya kurang efektif, terutama dalam melakukan pengawasan terhadap lembaga pemerintah. Faktanya, rekam jejak membuktikan bahwa institusi pemerintah tidak kebal terhadap kebocoran data pribadi.