Cyberthreat.id - Dewan Perwakilan Rakyat (DPR) RI hari ini (20 September 2022) mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi menjadi Undang-Undang.

Salah satu poin krusial yang membuat pembahasannya berlarut-larut sejak diajukan pemerintah pada 2019 adalah tentang keberadaan lembaga perlindungan data pribadi.

Pemerintah yang diwakili Kementerian Komunikasi dan Informatika (Kominfo) bersikukuh lembaga baru itu nantinya akan berada di bawah naungan. Bahkan, Dirjen Aplikasi dan Informatika Kominfo Samuel Abrijani Pangerapan telah mendesain lembaga itu nantinya berisi 9 anggota. Samuel ingin lembaga itu posisinya seperti BRTI (Badan Regulasi Telekomunikasi Indonesia) yang menginduk ke Kominfo. (Lihat: Wewenang 9 Anggota Komisi Perlindungan Data Pribadi).

Namun, mayoritas panitia kerja DPR dan sejumlah lembaga swadaya masyarakat menginginkan lembaga itu bersifat independen. Posisinya langsung di bawah Presiden. Ini lantaran lembaga itu nantinya bekerja untuk mengawasi kepatuhan pemerintah dan swasta terhadap aturan hukum perlindungan data pribadi. Jika berada di bawah Kominfo, dikhawatirkan lembaga itu tidak bisa bersifat independen dan wewenangnya tidak bisa lebih luas dari tugas, fungsi, dan wewenang Kominfo.

Dalam draft final yang disahkan menjadi UU, aturan tentang lembaga baru itu diatur dalam pasal 58 tentang Kelembagaan. Disebutkan, lembaga penyelenggara perlindungan data pribadi nantinya bertanggung jawab langsung kepada Presiden. Seperti apa bentuknya? Akan diatur dengan Peraturan Presiden. Itu artinya, usulan Kominfo agar lembaga itu menginduk kepadanya, ditolak.

Pada pasal 59 diatur tentang tugas lembaga itu, yakni:
a. melaksanakan perumusan dan penetapan kebijakan dan strategi Pelindungan Data Pribadi yang menjadi panduan bagi Subjek Data Pribadi, Pengendali Data Pribadi, dan Prosesor Data Pribadi;
b. melaksanakan pengawasan terhadap penyelenggaraan Pelindungan Data Pribadi;
c. melaksanakan penegakan hukum administratif terhadap pelanggaran UndangUndang ini; dan
d. memfasilitasi penyelesaian sengketa di luar pengadilan.

Ada pun wewenang lembaga perlindungan data pribadi itu ada 15 hal, diatur pada pasal 60 yakni:

1. merumuskan dan menetapkan kebijakan di bidang Pelindungan Data Pribadi;
2. melakukan pengawasan terhadap kepatuhan Pengendali Data Pribadi;
3. menjatuhkan sanksi administratif atas pelanggaran Pelindungan Data Pribadi yang dilakukan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi;
4. membantu aparat penegak hukum dalam penanganan dugaan tindak pidana Data Pribadi sebagaimana dimaksud dalam UndangUndang ini;
5. bekerja sama dengan lembaga Pelindungan Data Pribadi negara lain dalam rangka penyelesaian dugaan pelanggaran PelindunganData Pribadi lintas negara;
6.  melakukan penilaian terhadap pemenuhan persyaratan transfer Data Pribadi ke luar wilayah hukum Negara Republik Indonesia;
7. memberikan perintah dalam rangka tindak lanjut hasil pengawasan kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi;
8. melakukan publikasi hasil pelaksanaan pengawasan Pelindungan Data Pribadi sesuai dengan ketentuan peraturan perundangundangan;
9. menerima aduan dan/atau laporan tentang dugaan terjadinya pelanggaran Pelindungan Data Pribadi;
10. melakukan pemeriksaan dan penelusuran atas pengaduan, laporan, dan/atau hasil pengawasan terhadap dugaan terjadinya pelanggaran Pelindungan Data Pribadi;
11. memanggil dan menghadirkan Setiap Orang dan/atau Badan Publik yang terkait dengan dugaan pelanggaran Pelindungan Data Pribadi;
12. meminta keterangan, data, Informasi, dan dokumen dari Setiap Orang dan/atau Badan Publik terkait dugaan pelanggaran Pelindungan Data Pribadi;
13. memanggil dan menghadirkan ahli yang diperlukan dalam pemeriksaan dan penelusuran terkait dugaan pelanggaran Pelindungan Data Pribadi;
14. melakukan pemeriksaan dan penelusuran terhadap sistem elektronik, sarana, ruang, dan/atau tempat yang digunakan Pengendali Data Pribadi dan/atau Prosesor Data Pribadi, termasuk memperoleh akses terhadap data dan/atau menunjuk pihak ketiga; dan
15. meminta bantuan hukum kepada kejaksaan dalam penyelesaian sengketa Pelindungan Data Pribadi. (Draf finalnya dapat diakses di sini: BAHAN 3-BERSIH-Hasil Timus Timsin (29-30 Agustus 2022) RUU PDP v3.pdf).

Pengesahan UU Perlindungan Data Pribadi ini terjadi di tengah kehebohan bocornya data warga Indonesia di internet. Seorang hacker yang mengaku bernama Bjorka baru-baru ini membocorkan sejumlah data di forum peretasan seperti dokumen surat menyurat dari Badan Intelijen Negara (BIN) kepada presiden, data pengguna aplikasi MyPertamina, data Komisi Pemilihan Umum (KPU), hingga data registrasi SIM Card. (Lihat: Deretan Aksi Bjorka, Bobol Data Pribadi Kominfo sampai Klaim Punya Dokumen Presiden).

Sempat dibantah Istana, pada 14 September lalu pemerintah membentuk Satgas perlindungan data. Saat mengumumkan pembentukan Satgas itu, Menko Polhukam Mahfud MD mengatakan data yang dibocorkan Bjorka merupakan data yang bersifat umum, bukan data rahasia negara. Namun begitu, Mahfud menegaskan pemerintah akan serius menangani kasus-kasus kebocoran data.

Mahfud lantas mengaitkan pembentukan Satgas itu sebagai amanat dari Rancangan Undang-Undang Perlindungan Data Pribadi yang, saat itu, segera disahkan oleh DPR. (Lihat: Pemerintah Bentuk Satgas Perlindungan Data Pribadi, Buntut Maraknya Kasus Kebocoran Data).

Ketua DPR RI Puan Maharani mengatakan pengesahan RUU PDP menjadi UU akan menjadi tonggak sejarah bagi Indonesia dalam melindungi data pribadi warga negaranya dari segala bentuk kejahatan di era digital sekarang ini. RUU PDP, kata Puan, akan memberi kepastian hukum agar setiap warga negara, tanpa terkecuali, berdaulat atas data pribadinya.

"Dengan demikian, tidak ada lagi tangisan rakyat akibat pinjaman online yang tidak mereka minta, atau doxing yang membuat meresahkan warga,” ujar Puan.

Puan berharap Pemerintah cepat mengundangkan RUU PDP setelah disahkan. Dengan demikian aturan turunannya, termasuk pembentukan lembaga pengawas yang akan melindungi data pribadi masyarakat, cepat terealisasi.[]