Nextren.com - Pengamat keamanan data dari vaksin.com, Alfons Tanujaya, mengatakan bahwa Undang Undang Perlindungan Data Pribadi (PDP) No. 27 th 2022 bagaikan UU ibu tiri yang memberikan superioritas semu pada lembaga publik pemerintah
Hal itu terjadi pada Undang Undang PDP No. 27 yang baru disahkan oleh pemerintah dan dapat di akses dari situs sekretariat kabinet https://jdih.setkab.go.id/PUUdoc/176837/Salinan_UU_Nomor_27_Tahun_2022.pdf
Belajar dari hal ini, diharapkan ke depannya perlu menjadi perhatian para anggota dewan bersama tim perumus yang menelurkan RUU ini, agar tidak melahirkan Undang Undang yang tajam pada lembaga swasta namun tumpul pada lembaga pemerintah.
Padahal Data Pribadi yang diolah adalah data yang sama-sama milik masyarakat Indonesia dan jika dieksploitasi tidak pandang bulu, baik oleh institusi swasta atau institusi pemerintah resiko dan kerugiannya tidak berbeda.
Malah faktanya, jika ditelaah kasus-kasus kebocoran data yang pernah terjadi, lembaga publik pemerintah secara de facto mengalami kebocoran data yang lebih banyak dan lebih masif dibandingkan lembaga swasta.
Sehingga akan menjadi sangat tidak adil dan tidak mendidik, jika lembaga publik pemerintah justru diperlakukan lebih lunak dibandingkan lembaga swasta.
Baca Juga: Data Pribadi di Hasil Pencarian Google Bisa Dihapus Jika Tak Sesuai
Namun nasi sudah menjadi bubur ayam, UU nomor 27 sudah resmi disahkan.
Apakah ada hal yang dapat dilakukan oleh Lembaga PDP, yang seakan ditakdirkan menjadi ibu tiri bagi lembaga swasta non pemerintah ?
Apakah Undang Undang no. 27 akan mengikuti kodratnya sebagai Undang Undang ibu tiri ?
Semua ini tergantung kepada aturan turunan Undang-Undang nantinya, yang akan menjelaskan lebih jauh implementasi Undang-Undang,
Begitu pula sepak terjang Lembaga PDP yang akan dibentuk nanti dan diharapkan bisa menjadi ibu kota dibandingkan ibu tiri. Mengapa ?
Karena ibu kota akan memperlakukan semua penduduknya dengan adil tanpa pandang bulu, apakah dia anak kandung atau anak tiri.
Definisi "Setiap Orang" dan "Badan Publik"
UU PDP memberikan definisi bahwa "Setiap Orang" adalah orang perseorangan atau koporasi.
Sedangkan "Badan Publik" adalah lembaga atau badan yang sebagian atau seluruh dananya berasal dari APBN atau APBD.
Jadi secara hubungan finansial, mungkin bisa diumpamakan bahwa Badan Publik adalah anak kandung pemerintah karena dananya berasal dari APBN atau APBD. Sedangkan setiap orang yang tidak menerima APBN atau APBD mungkin dapat dikatakan sebagai anak tiri.
Meskipun keduanya sama-sama hidup di Indonesia, memberikan manfaat kepada masyarakat dan membayar pajak.
Lalu Pengendali Data Pribadi adalah setiap orang, badan publik atau organisasi internasional yang melakukan kendali pemrosesan Data Pribadi.
Sedangkan Prosesor Data Pribadi adalah pihak yang melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.
Baca Juga: Murahnya Harga Data Pribadi di Deep Web dan Dark Web Mulai Rp 75 Ribu: Ada SIM, Kartu Kredit, Paspor
Pasal 57 Sanksi Administratif
Jika terjadi pelanggaran dalam pengelolaan Data Pribadi, maka Pengendali Data Pribadi yang akan mendapatkan sanksi dari peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi sampai denda administratif yang mencapai 2 % dari pendapatan tahunan.
Dalam hal ini yang mendapatkan sanksi adalah Pengendali Data Pribadi yang bisa saja Setiap Orang, Badan Publik atau Organisasi Internasional.
Sampai disini UU PDP masih diterapkan dengan berimbang, karena hak dan kewajiban ditujukan kepada Pengendali Data Pribadi dan siapapun bisa menjadi Pengendali Data Pribadi, baik perorangan, korporasi, Badan Publik atauOrganisasi Internasional
Pada pasal 65, terdapat Larangan Dalam Penggunaan Data Pribadi dimana dalam ketiga pasal tersebut. Larangan hanya ditujukan pada Setiap Orang yang dilarang secara melawan hukum:
- Memperoleh dan mengumpulkan Data Pribadi untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.
- Mengungkapkan Data Pribadi yang bukan miliknya.
- Menggunakan Data Pribadi yang bukan miliknya.
Sementara di pasal 67 dan 78 memuat ketentuan pidana dan denda atas pelanggaran tersebut.
Hal yang menjadi hal yang cukup menggelitik adalah larangan ini hanya ditujukan pada Setiap Orang, yang artinya perseorangan dan korporasi.
Namun secara tidak langsung itu artinya Badan Publik atau Organisasi Internasional tidak termasuk dalam Larangan Dalam Penggunaan Data Pribadi (Bab XIII pasal 65 dan 66) atau eksploitasi Data Pribadi.
Baca Juga: Tren Instagram Ini Bisa Bikin Bahaya! Ambil Data Pribadi untuk Daftar Pinjol!
Adapun contoh eskploitasi Data dapat dilihat pada aktivitas Debt Collector atau Tele Marketing yang melanggar UU PDP pasal 65. (lihat gambar 1)
Gambar 1. Contoh eksploitasi Data Pribadi yang merugikan Subjek Data Pribadi
Contoh eksploitasi Data Pribadi yang merugikan Subjek Data Pribadi
Namun, ketidakadilan muncul disini, karena jika pelanggaran dilakukan oleh perorangan atau korporasi, maka jerat hukum sudah menanti karena pasal yang dilanggar jelas.
Ancaman hukuman Pidananya mencapai 4 tahun dan denda 4 milyar rupiah.
Tetapi jika yang melakukan pelanggaran adalah Badan Publik atau Organisasi Internasional, maka dianggap tidak melanggar pasal.
Hal ini akan menimbulkan ketidakadilan jika Lembaga Publik atau Organisasi Internasional juga menjalankan aktivitas bisnis seperti di dunia perbankan.
Ambil contoh aksi eksploitasi nomor telepon nasabah untuk kegiatan tele marketing.
Jika korporasi atau bank swasta melakukan tele marketing, maka korporasi melanggar UU PDP pasal 65, sedangkan Lembaga Publik atau bank Pemerintah dikecualikan dari larangan ini.
Harapan untuk Lembaga PDP
Dengan pandangan tersebut, maka diharapkan lembaga PDP ini bisa bersikap sebagai ibu tiri yg adil.
Walaupun ditakdirkan sebagai ibu tiri, namun tidak harus berlaku tidak adil kepada semua anaknya, seperti kisah bawang merah dan bawang putih.
Justru anak yang lebih bermasalah itu sekalipun anak kandung, yang harus mendapatkan perhatian dan treatment khusus sehingga bisa melakukan perbaikan.
Perlakuan berbeda pada anak yang sering melakukan kesalahan (lembaga publik/pemerintah) malah dilindungi dari konsekuensi, sedangkan anak yang kurang melakukan kesalahan (lembaga non pemerintah) malah cenderung mendapatkan konsekuensi lebih berat, maka selain menunjukkan ketidakadilan dan dalam jangka panjang juga tidak akan membantu mendidik anak yang sering berbuat kesalahan.
Baca Juga: Bareskrim Polri Ingatkan Aplikasi Shalat dan Azan di Google Play Store Ini Mencuri Data Pribadi
Lembaga yang tidak mendapatkan konsekuensi berat tidak akan belajar, karena ia akan dilindungi setiap kali berbuat kesalahan.
Bahkan alih-alih memperbaiki dirinya, malah ia akan cenderung tetap seenaknya dan tidak mengubah kebiasaannya mengelola data dengan buruk.
UU PDP mematikan kreativitas, karena takut ancaman hukuman mengelola data, dunia usaha jadi takut untuk melakukan terobosan yang bisa memberikan manfaat dan kemajuan bagi perkembangan ekonomi dan dunia digital Indonesia.
Lembaga menjadi takut dihukum karena resiko mengelola data, sehingga tidak mau melakukan inovasi. Tidak mau berinovasi untuk melakukan layanan digital dengan value added baru, yang membutuhkan biaya yang sangat tinggi, karena dikekang oleh peraturan yang sangat ketat. Dampaknya sebelum membuahkan hasilpun sudah harus mengeluarkan biaya sangat tinggi untuk compliance.
Hal ini tentu memberikan dampak buruk untuk perkembangan ekonomi kreatif Indonesia khususnya yang berhubungan dengan digitalisasi.
Hal ini harus disadari oleh Lembaga PDP dalam menegakkan aturan agar jangan sampai kontra produktif ingin mengamankan Data Pribadi secara membabi buta, malahan membuat masyarakat takut berkreasi.
Lembaga PDP harusnya bisa memberikan pedoman bagaimana standar pengelolaan data pribadi yang baik.
Kalau perlu Lembaga PDP memberikan supervisi standar minimal apa yang harus dipenuhi oleh Badan Publik atau Setiap Orang yang mengelola data.
Seperti memberikan template database yang aman dan baik seperti menerapkan enkripsi dan pengelolaan kredensial yang baik dan terpisah. (Alfons Tanujaya)