Perlindungan data pribadi (Freepik)

Mengatur soal Data Pribadi, Ini Perbedaan RUU PDP & GDPR

23 August 2021   |   11:37 WIB
Image
Syaiful Millah Asisten Manajer Konten Hypeabis.id

Perlindungan terhadap data pribadi merupakan hak setiap orang, sehingga diperlukan peraturan untuk memastikannya. Salah satu regulasi dalam hal ini adalah General Data Protection Regulation (GDPR), aturan perlindungan data pribadi dalam hukum Uni Eropa. Di Indonesia, tengah dipersiapkan juga Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP).

Sub Koordinator Bidang Regulasi Perlindungan Data Pribadi Kementerian Komunikasi dan Informatika, Tuaman Manurung, mengatakan bahwa sejatinya pemerintah telah memiliki 32 peraturan perundang-undangan yang mengatur mengenai data pribadi.

Akan tetapi, aturan atau regulasi itu masih bersifat parsial dan sektoral di setiap bidang masing-masing seperti perdagangan, kesehatan, perbankan, dan telekomunikasi. Oleh karena itu, katanya, diperlukan payung hukum yang menaungi keseluruhan peraturan tersebut.

Hal inilah yang tengah diperjuangkan dalam RUU PDP. Sebenarnya, RUU ini telah diajukan sejak beberapa tahun lalu, tapi hingga kini masih dalam proses pembahasan.

Kabar baiknya, Dewan Perwakilan Rakyat menyatakan bahwa mereka fokus menyelesaikan sejumlah pembahasan RUU pada masa Persidangan I tahun sidang 2021-2022, yang di dalamnya termasuk RUU PDP.

Tuaman mengatakan bahwa rancangan undang-undang tersebut disusun berdasarkan banyak referensi, tak terkecuali General Data Protection Regulation (GDPR). Aturan ini memang menjadi benchmark banyak negara menghasilkan regulasi mengenai data pribadi di tempatnya masing-masing.

Kendati demikian, lanjutnya, ada banyak hal yang dilakukan perubahan dalam upaya penyesuaian di Tanah Air. Dia menjabarkan beberapa perbedaan antara RUU PDP dan GDPR, misalnya dalam hal jenis data yang lebih spesifik. Penamaan data spesifik di RUU PDP dan data sensitif di GDPR yang berbeda juga memiliki konteks masing-masing.

Perbedaan lainnya termasuk ruang lingkup pemberlakukan aturan untuk sektor publik dan privat serta mengenai jenis dan tata cara pengenaan sanksi, "Jadi ada beberapa hal yang disesuaikan. Ini kaitannya dengan konteks ke-Indonesia-an," katanya.

Direktur Eksekutif Tifa Foundation, Shita Laskmi, menambahkan perbedaan kedua regulasi tersebut mencakup banyak hal. Dia menggarisbawahi beberapa poin utama seperti kewajiban pengendali data berdasarkan privacy by design, privacy by default, dan data protection impact assesment yang tidak muncul di RUU PDP.

Menurutnya, ini merupakan hal penting yang seharusnya diterapkan untuk memberikan pemahaman dan kesadaran kepada pembuat teknologi agar mengedepankan prinsip data privasi dalam pengembangan teknologinya.

Perbedaan lain antara dua regulasi itu terletak pada poin transfer data. Dalam GDPR ada empat kategorisasi dan dibuat dengan mekanisme berjenjang, sementara RUU PDP masih belum jelas.

Selain itu, perbedaan yang paling mencolok dan menjadi perdebatan panjang perumusan RUU PDP adalah otoritas. Dalam GDPR ada otoritas independen—Data Protection Authority—yang menjadi jembatan antara subyek data dan pengendali data. Sementara dalam rancangan regulasi di dalam negeri, peran itu dikembalikan ke pemerintah.

"Tidak adanya otoritas independen ini jadinya seakan-akan, subyek [pemilik] data langsung berhubungan dengan pengendali data, tidak ada penengahnya. Di GRDP itu kalau pemilik data ada persoalan, komplain lewat komisi, nanti mereka yang sampaikan. Ini penting juga untuk implementasi yang lebih jelas," katanya.

Koordinator Jaringan Pegiata Literasi Digital Novi Kurnia juga mengatakan perihal otoritas independen harus menjadi perhatian. Dia berharap peran tersebut diberikan kepada lembaga tersendiri, bukan kepada pemerintah.

Menurutnya, otoritas pengawas perlindungan data pribadi harus independen baik dalam hal tugas pokok dan kewenangan serta kelembagaan, terpisah dari lembaga independen lain yang sudah ada.

"Sehingga ketika terjadi sengketa [terkait data pribadi], ada lembaga independen yang bisa menjadi tempat untuk penyelesaiannya," kata Novi.

Hal lain yang harus menjadi perhatian dalam perlindungan data pribadi, lanjutnya, adalah aturan hukum turunan nantinya yang perlu selaras, infrastruktur perlindungan privasi, dan literasi digital masyarakat luas.

Implementasi
Shita berpendapat bahwa mengingat proses implemetasi terkait perlindungan data pribadi melibatkan pertukaran data antarnegara, maka akan sangat baik bila proses yang ada dalam negeri juga disesuaikan dengan standar internasional.

Hal ini mencakup beberapa hal termasuk keberadaan otoritas perlindungan data dan penerapan platform teknologi dengan privacy by design dan privacy by default.

Prinsip privacy by design menyatakan bahwa organisasi atau pembuat platform perlu mempertimbangkan privasi pada tahap desain awal dan selama proses pengembangan produk, proses, atau layanan.

Sementara, privacy by default berarti bahwa suatu sistem atau layanan menyertakan pilihan untuk invididu tentang seberapa banyak data mereka bisa dibagikan dengan pihak lain, pengaturan default harus yang paling ramah privasi.

Selain itu, dia juga mengungkapkan beberapa poin penting implementasi RUU PDP yang cocok. Pertama, adanya beragam bentuk dan jenjang mekanisme untuk melakukan pelaksanaan perlindungan data pribadi. Kedua, harus reaktif dan sistemik. Ketiga, adanya pengukuran terhadap kepatuhan terhadap pengendali data. Keempat, transparansi bagaimana sanksi diaplikasikan. Kelima, kemampuan seseorang untuk memastikan bahwa haknya dipenuhi.

Bagaimanapun, banyak pihak yang sudah mengharapkan lahirnya peraturan perundang-undangan tentang perlindungan data pribadi guna memastikan keamanan data mereka, di tengah kondisi yang makin saling terhubung.


Editor: Avicenna

SEBELUMNYA

5 Sayuran Kaya Nutrisi yang Perlu Dikonsumsi secara Rutin

BERIKUTNYA

Simak 2 Variasi Resep Olahan Tteokbokki, Mudah & Enak!

Komentar


Silahkan Login terlebih dahulu untuk meninggalkan komentar.

Baca Juga: