“Data pribadi warga negara Indonesia akan dilindungi begitu Indonesia punya UU Pelindungan Data Pribadi,” demikian banyak orang bicara saat menanggapi beragam kasus data pribadi –terutama saat ada kebocoran (atau diasumsikan kebocoran) di Indonesia.

Apakah benar begitu? Saya rasa tidak semulus itu.

Belajar dari pemberlakukan General Data Protection Regulation di Uni Eropa yang digadang-gadang menjadi benchmark atas pelindungan data pribadi yang sempurna serta serangkaian peraturan Data Pribadi yang sudah ada di Indonesia, menurut saya, ada banyak faktor yang harus beres dulu. Baik secara infrastruktur juga suprastruktur.

Pelindungan data pribadi menurut saya adalah arena kelindan antara lapisan teknologi, lapisan sosial dan lapisan kebijakan (yang tidak bisa dihindarkan, menjadi politis). Karenanya, berharap segera bisa dilaksanakan begitu diketok, adalah harapan semu.

Indonesia sebenarnya tidak vakum atas peraturan Pelindungan Data Pribadi. Pelindungan Data Pribadi sedikit diakui di UU ITE di pasal 26 ayat 1, ada di Keputusan Menteri Kominfo tentang Perlindungan Data Pribadi dalam Sistem Elektronik No 20/2016 serta yang terbaru Peraturan Pemerintah Penyelengara Sistem Transaksi Elektronik (PSTE) No 71/2019. PP ini adalah sebuah peraturan yang sifatnya lintas sektoral dan sudah memberikan landasan prinsip memproses data pribadi yang akuntabel. Dengan definisi yang menurut saya cukup up to date (dan serupa dengan GDPR), pasal 14 nya secara jelas mencankup beberapa kerangka penting untuk memproses data pribadi (diantaranya): prinsip transparansi, tujuan yang spesifik (purpose limitation), pengakuan adanya hak pemilik data pribadi, dasar hukum yang harus digunakan serta masa penyimpanan data pribadi.

Jadi, kalau ada yang bilang, “warga negara Indonesia tidak dilindungi data pribadinya karena belum ada peraturannya”, menurut saya tidak tepat. Karena, Indonesia sudah punya peraturan terkait data pribadi. Selain peraturan yang saya sebut diatas, banyak juga yang sifatnya sektoral.

Tapi kenapa terasanya seperti kita tidak punya pegangan?

Pertama, memang banyak yang menanti RUU ini disahkan karena dirasa perlu punya peraturan yang komprehensif juga tidak sektoral. Soal keberadaan PP ini, saat saya bertanya ke sektor privat, jawaban mereka seragam: menanyakan petunjuk teknis yang konkrit dari PP 71/2019. Sementara tidak ada, mereka tetap menginduk pada sektor yang paling relevan dengan mereka.

Peraturan ini juga tidak terlalu terasa menjadi pegangan ketika Pemerintah Indonesia membuat aplikasi PeduliLindungi, sebuah tracing app untuk pencegahan Covid-19. Dalam aplikasi itu –yang saya unduh dan gunakan sejak April 2020, landasan hukumnya adalah Keputusan Menteri Kominfo Nomor 159 Tahun 2020 (mengenai Upaya Penanganan Corona Virus Disease). Tetapi dalam keterangan di situsnya, prinsip transparansi yang tidak sepenuhnya dijalankan. Misalnya: penjelasan spesifik di aplikasi kenapa ambil data nomor telepon, data akses Bluetooth dan data lokasi. Juga penjelasan soal data disimpan dimana, siapa yang proses dan berapa lama. Tentu untuk urusan keamanan tidak semua bisa dibuka lebar tapi paling tidak disimpan berapa lama?

Saat terjadi kebocoran data di Tokopedia, pengguna juga bingung bagaimana cara mengajukan keluhan secara tepat? Bagaimana sanksi hukum kepada Tokopedia sebagai Pengendali Data Pribadi penggunanya? Apakah informasi yang diberikan Tokopedia cukup? Memang kemudian ada tuntutan berbasis beberapa perundangan dari Komunitas Konsumen Indonesia tetapi sebagai pemilik data pribadi yang individu, pemenuhan hak sebagai subyek data, wilayahnya relatif gelap.

Kembali ke ide utama blogpost sepele ini, adalah: memangnya begitu ada Undang-undang semua dilindungi? Tidak mudah.

Kalau melihat ke bagaimana GDPR berjalan, memang prosesnya lama. GDPR sebagai peraturan yang mengikat di Uni Eropa diawali dengan Data Protection Directive sejak 1995. Tetapi karena semakin banyak pelanggaran yang tanpa sanksi serta implementasi yang berbeda antar negara anggota Uni Eropa, dianggap perlu punya peraturan mengikat. Belum lagi dengan perilaku platform digital yang mengambil data pribadi dengan semena-mena. GDPR muncul tidak lama setelah kasus Cambridge Analytica dengan Facebook. GDPR diharapkan bisa menjawab kemandegan pelaksanaan.

Kedua adalah konteks Indonesia sendiri. Implementasi perundangan di negara ini bukanlah perkara mudah. Ambil contoh (sorry, memang sangat spesifik), saat UU Penyiaran di sahkan tahun 2002. Penyiaran komunitas –sebagai salah satu bagian penyiaran yang diakui perlu waktu untuk mendapatkan izin. Perlu waktu kurang lebih 3 tahun untuk izin dikeluarkan (di wilayah Jawa Barat) dan setelah ada konflik terkait siapa yang berhak mengeluarkan izin (KPI vs. Kominfo), maka tahun 2008 dibuat Permenkominfo tentang Perizinan Penyiaran. Butuh waktu lebih dari 2 tahun untuk bisa pelaksanaan secara konkrit.

Ketiga adalah nature dari pelindungan data pribadi sendiri. Ada banyak dimensi dalam peraturan ini yang sungguh kompleks. Diawali dari kombinasi antara lapis sektoral (sektor keuangan dibanding sektor kesehatan; jelas juga beda dengan sektor telekomunikasi; setiap sektor punya tekstur yang unik), ditambah dengan teknologinya sendiri –bagaimana data pribadi bisa dipindah (portability) kalau sesama sistem operasinya tidak bisa saling bicara termasuk perkembangan teknologi yang jauh lebih cepat daripada regulasi, plus manusianya sebagai subyek data yang seringkali abai dengan keamanan datanya.

Kalau saya melihat perkembangan GDPR di Eropa sana, memang banyak guidelines yang baru keluar setelah GDPR dikeluarkan. ICO –otoritas yang tanggung jawab di Inggris—setelah tahun pertamanya, mengeluarkan rangkaian guidelines yang terkait dengan basis hukum untuk proses data, termasuk bagaimana data transfer setelah no-deal Brexit.

Dan terakhir, dan mungkin ini yang paling kontroversial di masa diskusi RUU Pelindungan Pribadi adalah otoritas yang tidak terlalu jelas peran dan fungsinya. Salah satu kunci GDPR berjalan adalah adanya otoritas independen, lintas sektoral serta punya legitimasi untuk memastikan kepatuhan para pengelola data pribadi. Peran dan wewenang otoritas dijelaskan dengan relatif detil dalam GDPR. Sudah beginipun, pada tahap pelaksanaan pun tidak semua otoritas bisa berjalan sesuai ekspektasi. Tantangan menjadi dobel di Indonesia.

Jadi, jalan masih panjang. Panjang sekali. Mari belajar kompleksitasnya serta jangan lupa minum kopi atau teh (karena budaya Indonesia, rata-rata kafein). 🙂