Jakarta, Cyberthreat.id - Dirjen Aplikasi Informatika Kominfo, Semuel Abrijani Pangerapan, mengatakan bahwa Indonesia memiliki sekitar 32 aturan perlindungan dan keamanan data pribadi.

Aturan tersebut, kata dia, tercecer di berbagai regulasi seperti di UU Telekomunikasi, Peraturan Menteri (Permen) No 20 Tahun 2016, UU Informasi dan Transaksi Elektronik (UU ITE), UU Perbankan, UU Kesehatan hingga PP no 82 tahun 2012.

Menurut Semuel regulasi yang tercecer itu bisa disatukan dalam regulasi komprehensif yakni UU Perlindungan Data Pribadi (UU PDP). Kini UU PDP sedang menjalani proses harmonisasi di Sekretariat Negara dan setelah itu diserahkan ke DPR.

"Sebab itu UU PDP menjadi pelengkap semuanya atau mengatur secara komprehesif soal data pribadi ini," kata Semuel usai diskusi di Jakarta, Selasa (21/05/2019).

Sebagai bentuk fleksibilitas UU PDP, Semuel mengatakan semua pihak diperbolehkan membuat tafsiran sebagai panduan mengenai data pribadi. Tujuannya untuk kemudahan memahami regulasi sekaligus persamaan persepsi namun ia mengingatkan UU PDP tetap jadi acuan utama.

"Misalnya asuransi berkumpul lalu menyamakan persepsi terkait data pribadi. Setiap orang boleh membuat tafsir sendiri asal tidak bertentangan dengan UU PDP karena yang dipakai kan UU-nya, bukan tafsirnya itu."

UU PD juga akan mengatur tentang perusahaan atau korporasi yang selama ini dengan mudah menjadi data controller maupun data processor. Menurut Semuel aturannya bersifat ekstra terestrial karena perusahaan asing yang memiliki server dan kantor di luar negeri bisa kena aturan PDP.

"Kalau misalnya pembocoran atau pertukaran data itu dilakukan perusahaan asal Amerika Serikat, maka hukumannya denda. Kalau mereka dilindungi negaranya tidak usah beroperasi di Indonesia."

UU PDP mengacu pada General Data Protection Regulation (GDPR) milik Uni Eropa yang menyebut data pribadi sebagai informasi yang teridentifikasi atau dapat diidentifikasi menyangkut pribadi seseorang.

Informasi yang tercantum di KTP elektronik bisa disebut data pribadi. Kemudian nomor ponsel dan email. Bahkan dalam perkembangannya, IP address, cookie ID, advertising ID pada ponsel hingga data rekam medis dapat mengidentifikasi seseorang secara unik.

Sarat Kepentingan

Anggota Komisi I DPR Meutya Hafid mengatakan pihaknya antusias menunggu draft RUU PDP untuk dibahas bersama di DPR. Ia yakin RUU ini bisa dituntaskan tahun ini terlebih komposisi anggota Komisi I periode 2019-2024 yang terpilih kembali lebih dari 50 persen.

"Saya lebih concern dengan masa waktu Komisi I sekarang hanya sampai September. Jadi kami betul-betul mengharapkan agar pemerintah bisa lebih cepat karena di DPR tidak ada UU yang di offer," kata Meutya.

Meutya membantah terdapat banyak kepentingan di dalam UU PDP semisal kepentingan politik hingga kepentingan korporasi. Menurut dia, ketika DPR masuk nanti hanya tinggal membahas masalah prinsip yang berkaitan dengan HAM dan data security.

Sementara itu, Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, mengatakan ketika UU PDP berlaku maka pemerintah harus mengidentifikasi pemain besar dalam kolektor data.

Tujuannya adalah memastikan keamanan data ke depan sekaligus memastikan hak pemilik data terhadap datanya. Misalkan kontrak ulang antara pemilik data konsumen dengan si pengelola data (data processor) seperti bank atau perusahaan harus melakukan pembersihan.

"Jadi harus dibersihkan datanya seperti misalnya GDPR mengatur direct marketing karena kalau tidak dihapus bisa disalahgunakan lagi," ujarnya.