Cyberthreat.id - Komisi I DPR RI menggelar Rapat Dengar Pendapat Umum (RDPU) bersama dengan sejumlah asosiasi, termasuk Asosiasi E-Commerce Indonesia (idEA) untuk memberikan pandangan dan masukan terhadap Rancangan Undang-Undang Perlindungan Data Pribadi, Senin (6 Juli 2020).

Dalam pertemuan itu, idEA menyampaikan 7 poin rekomendasi dan pandangan kepada para anggota dewan terkait dengan RUU PDP.

1. Perlu Definisi Explicit Consent
Diwakili oleh Ketua Bidang Ekonomi Digital, Bima Laga, idEA menyarankan adanya penjelasan lebih lanjut mengenai isi dari draft RUU PDP Pasal 20.

Pasal tersebut berbunyi, "Klausul perjanjian yang di dalamnya terdapat permintaan Data Pribadi yang tidak memuat persetujuan secara tegas (explicit consent) dari Pemilik Data Pribadi dinyatakan batal demi hukum."

"Kami ingin definisi, mudah-mudahan bisa diperjelas mengenai explicit consent. Analisis dan usulan kami, explicit consent hanya berlaku untuk pemrosesan data spesifik yang sifatnya terbatas," kata Bima dalam RDPU bersama Komisi I DPR RI, Senin (6 Juli 2020).

Menurut Bima, definisi explicit consent dapat mengacu kepada ketentuan "persetujuan yang sah" di dalam PP No. 71 Tahun 2019, yaitu persetujuan yang disampaikan secara eksplisit, tidak boleh secara tersembunyi atau atas dasar kekhilafan, kelalaian atau paksaan.

2. Kewajiban Pengendali Data - Jangka Waktu Pemenuhan Hak
Bima juga mengkritik sejumlah pasal, seperti Pasal 24, 25, 26, 32, 34 dan 40 draft RUU PDP. Pasal-pasal tersebut mengatur aturan teknis para pengendali data pribadi. Pasal 24 ayat 3, misalnya, mengatur tentang perubahan informasi yang mewajibkan pengendali data pribadi memberitahukan pemilik data pribadi paling lambat 7 x 24 jam setelah terjadi perubahan informasi.

Sebaiknya, kata Bima, hal-hal teknis yang terdapat pada RUU PDP diatur lebih lanjut dalam Peraturan Pemerintah atau Peraturan Menteri.

"Karena sebagai perbandingan dari GDPR (General Data Protection Regulation), pengaturan dari GDPR terkait dengan ketentuan serupa adalah satu bulan. Di sini kalau kita lihat data-datanya itu maksimal ada 7x24 jam," ujar Bima.

GDPR adalah aturan perlindungan data pribadi yang diterapkan Uni Eropa.

3. Kewajiban Pengendali Data - Akurasi dan Verifikasi
idEA menginginkan verifikasi akurasi data sebaiknya menjadi hak serta kewajiban pemilik data. Karena kewajiban verifikasi data yang tercantum pada pasal 35 berpotensi melanggar prinsip "data minimization", di mana pengendali data harusnya tidak mengumpulkan data yang tidak dibutuhkan.

"Rekomendasi kami adalah pasal 35 dapat dihapus," tegas Bima.

4. Kewajiban Pengendali Data - Pemulihan Data yang Dihapus
Pasal 38 ayat 3 berbunyi, Data Pribadi yang telah dihapus sebagaimana dimaksud pada ayat (1) dapat dipulihkan atau ditampilkan kembali secara utuh dalam hal terdapat permintaan tertulis dari Pemilik Data Pribadi.

Menurut Bima, secara praktik data pribadi yang sudah dihapus tidak dapat dikembalikan atau dipulihkan lagi. Sehingga, ketentuan ini menjadi tidak bisa diterapkan.

idEA menyarankan agar Pasal 38 ayat 3 dihapus dari draft RUU PDP. "Akan menjadi suatu kesulitan jika data yang sudah dihapus, dipulihkan kembali," papar Bima.

5. Kewajiban Pengendali Data - Pengumuman Kegagalan
Pasal 40 ayat (1) menyebutkan saat terjadi kegagalan perlindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis dalam waktu paling lambat 3 x 24 jam kepada pemilik data pribadi dan Menteri, dalam hal ini Menteri Komunikasi dan Informatika.

Menurut Bima,  pemberitahuan atau pengumuman setiap kegagalan perlindungan data pribadi kepada Menteri dan individu yang terkena dampaknya, seharusnya didasarkan pada tingkat risiko yang ada.

"Apakah tingkatan risiko itu bahaya atau serius. Kalau kita bicara dari negara Australia dan Canada,  pengendali data itu pemberitahuannya hanya diperlukan apabila ada risiko nyata atas bahaya signifikan bagi individu yang terdampak." pungkas Bima.

6. Sanksi Pidana
idEA menyarankan agar Pasal 61 - 69 yang mengatur tentang ketentuan pidana mencantumkan terkait unsur kerugian terhadap pemilik data untuk hukuman pemidanaan dan menjadikan sanksi pidana sebagai ultimum remedium - istilah hukum yang diartikan sebagai penerapan sanksi pidana merupakan sanksi terakhir.

"Karena kita yang takut dari player (pemain) adalah jika nanti sanksi ini bisa disalahgunakan," tutur Bima.

7. Komisi Independen
Bima mendorong dibentuknya Komisi Independen untuk menjalankan amanat UU terkait dengan Perlindungan Data Pribadi.

Pembentukan komisi tersebut diharapkan dapat mengakomodir unsur berbagai macam pemangku kepentingan dari pemerintah dan unsur non pemerintah sebagai fungsi check and balance dan untuk menjaga independensi.[]

Editor: Yuswardi A. Suud