Cyberthreat.id - Pemerintah dan DPR RI masih belum sepakat soal status lembaga pengawas data pribadi yang diamanatkan di RUU Perlindungan Data Pribadi. Pemerintah ingin lembaga itu di bawah Kominfo,  sementara DPR RI ingin lembaga itu bersifat independen lantaran nantinya akan ikut mengawasi lembaga pemerintah yang memproses dan menyimpan data pribadi warga Indonesia seperti Kementerian Dalam Negeri yang menyimpan data KTP-el milik masyarakat.

Lantas, bagaimana jalan keluarnya?

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar mengatakan perlu adanya standar yang jelas terkait lembaga baru itu. Pasalnya, menurutnya sejauh ini pembentukan badan atau otoritas di Indonesia masih berbeda-beda standarnya.

"Kalau kita lihat misalnya antara KPU, Bawaslu, KPK, Komisi Informasi, Komisi Penyiaran Indonesia, itu beda-beda standarnya,” kata Wahyudi dalam diskusi daring "RUU PDP untuk Kita" pada Senin (25 Januari 2021).

Karena itu, kata Wahyudi, Indonesia perlu banyak belajar dari negara-negara lain untuk menentukan standar mana yang akan digunakan sebagai acuan untuk lembaga pengawas data pribadi itu.

Otoritas independen, kata Wahyudi, dalam perlindungan data pribadi memegang peranan penting untuk menegakkan kepatuhan atas hukum perlindungan data pribadi itu sendiri.

"Jadi kalau kita baca di GDPR (aturan perlindungan data pribadi Uni Eropa), salah satu prasyarat penting untuk menentukan apakah sebuah hukum perlindungan data pribadi akan bisa bekerja secara efektif maka otoritas itu harus ada, meskipun penerapannya berbeda-beda di berbagai negara berbeda-beda," ujarnya.

Menurutnya, setidaknya ada tiga model otoritas perlindungan data pribadi yang bisa dijadikan acuan.

Pertama, otoritas dual. Model itu diterapkan di Uni Eropa. Karena tunduk pada General Data Protection Regulation (GDPR), mereka banyak menerapkan otoritas dual yang membedakan keberadaan komisi informasi di satu sisi, dan otoritas perlindungan data pribadi pada sisi lain. Belanda dan Prancis menerapkan otoritas dual ini juga.

Kedua, otoritas jamak. Pada model ini, Wahyudi menjelaskan, dalam satu negara ada berbagai macam otoritas terkait PDP sesuai dengan UU sektoralnya, dan ada pula jaksa agung negara yang bertindak sebagai otoritas PDP-nya. Amerika Serikat menganut ini.

Ketiga, single authority. Wahyudi menjelaskan bahwa otoritas digabungkan di otoritas yang sudah ada. Ini diterapkan di Inggris.

"Antara otoritas yang sebelumnya ada, misalnya Komisi Informasi atau Ombudsman, dia bisa diberikan tambahan wewenang  untuk mengatur penegakan hukum perlindungan data pribadi" ujarnya.

Sementara itu, di ASEAN (Singapura, Malaysia, Taiwan) itu lembaga pengawas data pribadinya berada di bawah menteri, sementara Filipina di bawah presiden.

Adapun bentuk pemilihan komisonernya, seperti di Hongkong dan Australia, kata Wahyudi akan dipilih satu komisioner yang kemudian akan memilih komisioner lain pengisi otoritas perlindungan data pribadi.

"Jadi memang akan sangat tergantung pada sistem ketatanegaraan di tiap negara bagaimana dia mendesain sebuah otoritas pengawasan," ujarnya.

Indonesia kata Wahyudi perlu mengidentifikasi hal-hal misalnya terkait independensi organisasi, independensi komisioner, independensi sumber daya manusia, independensi kelembagaan, independensi keuangan dsbnya.

"Hal yang seperti apa yang perlu diatur di level UU, masuk juga termasuk terkait tugas-tugas, fungsi dan wewenangnya, level apa yang perlu diatur di tingkat UU," ujarnya.

Seperti diketahui, pembahasan RUU Perlindungan Data Pribadi sudah dimulai sejak awal tahun lalu. Sempat ditargetkan selesai di akhir 2020, pembahasannya kembali molor. Sementara aparat penegak hukum dan pegiat privasi mengatakan kebutuhan akan undang-undang perlindungan data pribadi sudah mendesak lantaran kebocoran data pribadi terus terjadi.[]

Editor: Yuswardi A. Suud