redaksiharian.com – Undang-undang Perlindungan Data Pribadi (UU PDP) telah resmi disahkan oleh Dewan Perwakilan Rakyat (DPR) RI dalam Rapat Paripurna ke-5 Masa Persidangan 1 Tahun Sidang 2022-2023 di Gedung DPR, Jakarta Pusat, Selasa (20/9/2022).

Setelah disahkan, implementasi UU PDP akan menjadi pekerjaan rumah (PR) selanjutnya yang tidak mudah.

Menurut Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, secara umum UU PDP telah mengikuti standar dan prinsip umum perlindungan data pribadi yang diberlakukan secara internasional.

Standar dan prinsip yang dimaksud adalah kejelasan terkait definisi dari data pribadi, perlindungan khusus bagi data spesifik, jangkauan material yang mengikat badan publik dan sektor privat, perlindungan data spesifik, adopsi prinsip-prinsip pemrosesan data pribadi, batasan dasar hukum pemrosesan data pribadi, perlindungan hak- hak subjek data, hingga kewajiban pengendali dan pemroses data.

Meskipun telah dipaparkan dengan cukup rinci, implementasi dari UU PDP disebut masih akan menemui tantangan besar. Wahyudi mengatakan, substansi di UU PDP akan sulit ditegakkan.

“Meski telah mengakomodasi berbagai standar dan memberikan garansi perlindungan bagi subjek data, akan tetapi implementasi dari undang-undang ini berpotensi problematis, hanya menjadi “macan kertas”, lemah dalam penegakkannya,” jelas Wahyudi dalam keterangan resmi yang diterima KompasTekno, Selasa (30/9/2022).

Salah satu penyebab lemahnya penegakkan nilai UU PDP adalah soal pembentukan otoritas pengawas UU PDP yang ditetapkan langsung oleh Presiden. Lembaga tersebut nantinya akan bertanggungjawab langsung ke Presiden.

“Artinya, otoritas ini pada akhirnya tak ubahnya dengan lembaga pemerintah (eksekutif) lainnya, padahal salah satu mandat utamanya adalah memastikan kepatuhan kementerian/lembaga yang lain terhadap UU PDP, sekaligus memberikan sanksi jika institusi pemerintah tersebut melakukan pelanggaran.

Wahyudi mengatakan, UU PDP tidak mmegatur kedudukan otoritas pengawas perlindungan data pribadi. Sehigga, “kekuatan” lembaga tersebut sangat tergantung pada keputusan Presiden yang merumuskannya.

Ketimpangan sanksi UU PDP

Wahyudi menjelaskan, pada pasal 57 ayat 2 tertulis bahwa sektor publik yang melakukan pelanggaran akan mendapat sanksi administratif saja.

Sementara itu, sektor privat akan dikenakan sanksi berupa denda administratif sampai dengan dua persen dari total pendapatan tahunan. Wahyudi mengatakan, implementasi sanksi tersebut dikhawatirkan hanya tajam ke sektor privat, tetapi tumpul kepada sektor publik.

“Kondisi tersebut makin problematis dengan (masalah) “ketidaksetaraan” rumusan sanksi yang (nantinya) diterapkan terhadap sektor publik dan sektor privat, ketika melakukan pelanggaran,” imbuh Wahyudi.

Rawan digunakan sebagai alat kriminalisasi

Wahyudi juga menyoroti poin multitafsir pada salah satu pasal di UU PDP, yakni Pasal 65 ayat 1 dan 2 yang berbunyi sebagai berikut:

(1) Setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.

(2) Setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.

Penggunaan kata “melawan hukum”, menurut Wahyudi, dinilai multitafsir dalam penerapannya dan memiliki risiko over-criminalisation, alias berisiko disalahgunakan untuk tujuan mengkriminalkan orang lain.

Meskipun sudah disahkan, UU PDP tidak akan langsung berlaku. Sebab, masih ada masa transisi selama dua tahun sebelum terimplementasi sepenuhnya.

Masa transisi dua tahun itu disebut Wahyudi cukup terbatas untuk bisa melakukan sinkronisasi berbagai regulasi terkait perlindungan data yang selama ini tersebar di berbagai sektor, seperti sektor perbankan, kesehatan, dll.

“Pengendali/pemroses data, baik sektor publik maupun privat harus segera pula melakukan pembenahan internal untuk memastikan kepatuhannya pada UU PDP,” kata Wahyudi.