Cyberthreat.id - Perwakilan dari Task Force Perlindungan Data Pribadi di Asosiasi Fintech Indonesia (AFTECH), Marshall Pribadi, mengaku kesulitan membedakan makna kata "dihapus" dan "dimusnahkan" dalam RUU Perlindungan Data Pribadi yang sedang digodok di Komisi I DPR RI. Karena itu, dia menyarankan ada definisi lebih jelas soal makna kedua kata itu untuk menghindari perbedaan penafsiran.  Ia juga menyarankan adanya perpanjangan waktu bagi pengendali data pribadi untuk memenuhi permintaan akses data oleh pemilik data priibadi.

Masalah itu disampaikan Marshaal dalam diskusi daring yang mengangkat tema “RUU PDP untuk Kita”, pada Senin (25 Januari 2021) lalu .

Aturan tentang penghapusan data yang dimaksud Marshall, dalam RUU PDP tercantum pada pasal 38 ayat 1 dan 3. Lengkapnya berbunyi:

Pasal 38 ayat 1:
Pengendali Data Pribadi wajib menghapus Data Pribadi jika:
a. Data Pribadi tidak lagi diperlukan untuk pencapain tujuan pemrosesan Data Pribadi;
b. Pemilik Data Pribadi telah melakukan penarikan kembali persetujuan pemrosesan Data Pribadi;
c. terdapat permintaan dari Pemilik Data Pribadi; atau
d. Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.

Pasal 38 ayat 3:
Data Pribadi yang telah dihapus sebagaimana dimaksud pada ayat (1) dapat dipulihkan atau ditampilkan kembali secara utuh dalam hal terdapat permintaan tertulis dari Pemilik Data Pribadi.

Menurut Marshall, aturan itu membingungkan. Di ayat 1 disebutkan wajib menghapus data, sementara di ayat 3 diminta untuk dipulihkan. Marshall khawatir, nantinya akan muncul persepsi yang berbeda karena perbedaan penafsiran. Karena itu, Marshall menyarankan ada keterangan tambahan yang menjelaskan definisi arti "dihapus" dan "dimusnahkan" yang dimaksud, mengingat pada pasal 39 ada aturan tentang pemusnahan data.  

“Jadi bingung kalau saya jadi hapus beneran saya salah kena ayat 3, ketika diminta dipulihkan harus ditampilkan kembali secara utuh, kalau saya hapus main-main nanti dibilang tidak menghapus, ada ancaman pidananya kalau tidak salah,” ujarnya.  

Terkait keluhan Marshall itu, Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran, Shinta Dewi Rosadi mengatakan bahwa penghapusan dan pemusnahan memang berbeda. Penghapusan masih bisa dikembalikan datanya, sedangkan dimusnahkan sudah hancur atau tidak bisa dikembalikan. Definisi terkait pemusnahan sendiri, kata Shinta, sudah ada di bagian rancangan penjelasan poin pasal demi pasal.

Dalam draft RUU PDP, pada bagian penjelasan memang ada penjelasan bahwa yang dimaksud dengan "memusnahkan Data Pribadi” adalah memusnahkan Data Pribadi hingga Data Pribadi seseorang tidak dapat lagi diidentifikasi.

Sementara untuk definisi "penghapusan" seperti dimaksud dalam pasal 38, tidak ada penjelasan lebih lanjut. Di bagian penjelasan untuk pasal itu, hanya tertulis "cukup jelas."

"Dalam penyusunan Undang-Undang di kita memang suka begitu. Seharusnya pada bagian penjelasan itu dijelaskan panjang, apa itu [definisi misalnya], tapi yang terjadi selalu ditulis cukup jelas, cukup jelas,” kata Sinta, kepada Cyberthreat.id, Rabu (27 Januari 2021).

Karena itu, Shinta setuju dengan usulan AFTECH bahwa memang perlu adanya penjelasan definisi terkait penghapusan data yang dimaksud, agar tidak menyebabkan kebingungan dari masyarakat. Sementara terkait berapa lama durasi waktunya, kata Shinta, bisa diatur dalam aturan teknis yang dibuat oleh lembaga baru yang dibentuk untuk menjalankan undang-undang itu.

“Memang masih banyak yang perlu diklarifikasi, makanya sekarang dinamikanya masih berlangsung. Jadi mudah-mudahan hal tersebut jadi perhatian nanti di Komisi I DPR dan pemerintah untuk lebih diperjelas lagi,” kata Shinta.

Selain itu, AFTECH juga mengusulkan perubahan durasi waktu untuk memenuhi permintaan akses data dari pemilik data pribadi. Dalam draft yang sedang digodok, pengendali data pribadi diberi waktu 3 x 24 jam terhitung sejak permintaan akses diajukan.

Sementara menurut Marshall, tenggat waktu 3 hari itu terlalu mepet. Karena itu, AFTECH mengusulkan waktunya diperpanjang. Alasannya, tidak semua perusahaan penyimpanan datanya berbasis elektronik, tetapi masih ada juga yang menggunakan arsip.

Sinta mengatakan sebetulnya tenggat 3x24 jam itu mengadopsi aturan Uni Eropa General Data Protection Regulations (GDPR). Namun begitu, kata Shinta, batas waktunya memang masih bisa diperdebatkan atau diperpajang.

“Memang harus ada pasal dalam kondisi bahwa perusahaan aktivitasnya masih manual, maka diberi waktu lebih lama, misalnya 7x24 jam. Jadi diberikan fleksibilitas,” kata Sinta.[]

Editor: Yuswardi A. Suud