Urgensi Otoritas Independen Perlindungan Data Pribadi

DPR dan pemerintah tengah berupaya merampungkan proses pembahasan RUU Pelindungan Data Pribadi (PDP), yang telah tertunda beberapa waktu lamanya.

Salah satu materi krusial yang diperdebatkan adalah perihal keberadaan otoritas independen perlindungan data pribadi. Materi ini tidak dijumpai dalam RUU usulan pemerintah, yang mengusulkan fungsi pengawasan dikelola menteri.

Sementara, hampir semua fraksi di DPR, sebagaimana terekam dalam usulan daftar inventarisasi masalah yang mereka ajukan, menginginkan adanya pembentukan otoritas khusus perlindungan data.

Otoritas perlindungan data pribadi merupakan salah satu kepingan puzzle terpenting, yang akan menentukan efektif tidaknya pelaksanaan dan penegakan hukum perlindungan data pribadi. Otoritas ini merupakan lembaga publik yang berfungsi mengawasi bekerjanya instrumen perlindungan data, memastikan kepatuhan pengendali dan pemroses data, baik individu atau badan privat maupun lembaga publik.

Berbagai model otoritas

Peran kunci lembaga ini termasuk menerima pengaduan dari subyek data, serta memeriksa, dan memutus permohonan penyelesaian sengketa perlindungan data. Praktik di banyak negara memperlihatkan lembaga ini berfungsi sekaligus sebagai regulator, ombudsman, auditor, pendidik, penasihat kebijakan, negosiator, dan penegak hukum perlindungan data.

Pengalaman dari beberapa negara menunjukkan setidaknya ada tiga model kelembagaan perlindungan data: otoritas jamak, otoritas dual, dan otoritas tunggal (Djafar, 2020).

Model multilembaga dipengaruhi legislasi perlindungan data yang bersifat sektoral, akibatnya setiap UU akan membentuk lembaga pengawas sektor. Model ini misalnya diterapkan di Amerika Serikat, karena perlindungan data diatur dalam berbagai UU, seperti Federal Trade Commission Act, The Financial Services Modernization Act, Health Insurance Portability and Accountability Act, dan lain-lain.

Sementara otoritas dual muncul sebagai akibat dari perdebatan mengenai perlindungan data pribadi yang sering kali tidak bisa dilepaskan dari keterbukaan informasi. Hal ini kemudian berpengaruh pada model legislasi, yang berimplikasi pula pada model otoritas pengawasan yang dikembangkan.

Model dua badan dimaksudkan untuk memisahkan antara otoritas perlindungan data, dengan lembaga lain yang memiliki kewenangan hampir serupa, seperti Ombudsman dan Komisi Informasi. Model seperti ini banyak diikuti negara Eropa, seperti Austria, Belgia, Denmark, Finlandia, Belanda, Rumania, Spanyol, dan Swedia.

Sedangkan model otoritas tunggal berangkat dari pertimbangan, meski ada perdebatan antara keterbukaan informasi dan perlindungan data pribadi, namun dengan alasan efisiensi dan efektivitas, banyak negara yang pada akhirnya menyatukan otoritas pengawasannya dalam satu badan sekaligus.

Pengembangan model single authority misalnya dilakukan di Inggris Raya dengan Information Commission Office (ICO), Estonia, Hungaria, Irlandia, Meksiko, dan Jerman untuk tingkat federal. Pada lembaga ini biasanya akan dibangun dua kamar yang berbeda antara perlindungan data dan keterbukaan informasi, termasuk komisionernya. Hal itu dimaksudkan untuk menghindari adanya konflik kepentingan dalam pelaksanaan tugas dan fungsinya.

Otoritas independen

Frasa independen di sini maknanya adalah dalam pelaksanaan tugas dan fungsinya terbebas dari pengaruh politik dan ekonomi, agar dapat menjamin perlindungan data secara maksimal. Secara sederhana, independensi otoritas diperlukan sebab undang-undang perlindungan data tidak hanya berlaku mengikat bagi sektor swasta, tetapi juga kementerian/lembaga pemerintah.

Sebagaimana kita ketahui hari ini, pengumpulan dan pemrosesan data pribadi tidak hanya dilakukan oleh swasta dengan motif ekonomi, tetapi juga oleh pemerintah untuk tujuan pelayanan publik dan politik. Oleh karenanya untuk menjamin penegakan hukum perlindungan data yang imparsial dan adil, diperlukan hadirnya sebuah lembaga yang independen.

Kehadiran otoritas independen ini juga akan memberikan banyak keuntungan, karena keberadaannya akan menjadi salah satu indikator penting, untuk menentukan kesetaraan (adequacy) hukum perlindungan data Indonesia dengan negara lain, khususnya negara-negara yang tunduk pada European Union General Data Protection Regulation (EU GDPR).

Kesetaraan hukum perlindungan data sendiri merupakan prasyarat utama dalam melakukan transfer data internasional, baik antar-pemerintah maupun swasta, sekaligus untuk menjamin perlindungan data dari subyek data, di mana pun data pribadinya diproses, mengingat sifat data yang lintas batas (cross border).

Selain kemudahan transfer dan kejelasan jaminan perlindungan bagi subyek data, kesetaraan hukum perlindungan data Indonesia dengan Uni Eropa, juga akan banyak memberikan dorongan bagi pengembangan ekonomi digital, yang berbasiskan pada data.

Hal ini terutama mengingat EU GDPR yang dinilai sebagai standar perlindungan data paling tinggi, komprehensif dan modern, sehingga banyak memengaruhi dilakukannya pembaruan hukum perlindungan data di berbagai negara.

Bahkan untuk mendapatkan keputusan kesetaraan (adequacy decision) dari Komisi Eropa, Jepang dan Korea Selatan telah melakukan amandemen UU Perlindungan Informasi Pribadi mereka, dengan salah satu materinya adalah pembentukan otoritas independen.

Prasyarat independensi

Pertama kalinya kebutuhan pembentukan otoritas perlindungan data pribadi ditemukan dalam European Modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data (1981), yang menyatakan perlunya pembentukan satu atau lebih lembaga, dengan tanggung jawab penegakan dan kepatuhan hukum perlindungan data.

Perihal serupa juga ditegaskan oleh UN Guidelines for the Regulation of Computerized Personal Data Files (1990), yang memasukkan pembentukan lembaga pengawas independen sebagai salah satu prinsip jaminan minimum perlindungan data. Kemudian diperkuat oleh EU GDPR (2016) mewajibkan pembentukan supervisory authority dengan memberikan pilihan kepada negara untuk membentuk single atau multi supervisory authority.

Independensi ini setidaknya diukur dari lima hal: independensi kelembagaan, independensi komisioner, independensi fungsional, independensi personel, dan independensi anggaran.

Dalam hal kelembagaan, independensi ini terkait erat dengan keberadaan dan status independen yang dijamin oleh undang-undang. Kemudian komisioner terkait dengan proses pengangkatan dan pemberhentian komisionernya, yang harus transparan, bebas dari pengaruh politik, dan jelas masa jabatannya. Selain itu, komisioner yang ditunjuk harus memiliki kompetensi profesional yang diperlukan.

Sementara independensi fungsional berkaitan dengan kekuasaan pengambilan keputusan, yang harus independen dari pengaruh pemerintah maupun sektor swasta. Berikutnya independensi personel menekankan staf otoritas harus dapat menahan diri dari tindakan yang tak sesuai dengan tugas mereka sebagai supervisor.

Sedangkan terkait independensi anggaran, harus dipastikan bahwa otoritas dilengkapi sumber daya anggaran yang diperlukan untuk pelaksanaan tugas dan wewenang mereka secara efektif (Kuner, Bygrave, dan Docksey (ed), 2020).

Penerapannya di Indonesia

Dengan persyaratan dan pengalaman praktik di beberapa negara di atas, setidaknya ada dua skenario yang dapat dikembangkan di Indonesia, dalam pembentukan otoritas perlindungan data pribadi, di luar kementerian.

Pertama dengan pembentukan lembaga baru dengan tugas dan fungsi terkait dengan pengawasan dan penegakan hukum perlindungan data, atau kedua dengan melekatkan tugas dan fungsi tersebut pada lembaga serupa lainnya. Akan tetapi, ketika dilekatkan pada lembaga lain yang telah ada, harus dipastikan otoritas ini dibangun sebagai sebuah kamar yang berbeda dengan sebelumnya.

Dalam pembentukan lembaga negara independen (independent regulatory agency), tantangan terbesarnya adalah belum tersedianya standar yang jelas dalam pembentukannya, tiap UU sektoral mengatur secara berbeda (Mochtar, 2017), juga isu efisiensi anggaran yang menjadi sorotan presiden.

Meski pembentukan otoritas ini semestinya dikeluarkan dari perdebatan efisiensi, mengingat fungsi altruistik negara yang kian berkembang, sehingga mengharuskan hadirnya kelembagaan baru untuk mengelolanya (Ackerman, 2000).

Selain itu, dalam penganggarannya, otoritas ini juga dapat ditopang dengan pendapatan negara bukan pajak, yang berasal dari pelaksanaan fungsi kepatuhan dalam perlindungan data, serta penerapan denda ketika terjadi pelanggaran hukum perlindungan data pribadi.

Pada akhirnya, mengingat semakin mendesaknya kehadiran UU Pelindungan Data Pribadi, untuk menjamin perlindungan hak atas privasi warga negara, pemerintah dan DPR harus segera mencari titik temu perihal pembentukan otoritas perlindungan data ini. Praktik terbaik yang diterapkan dalam pembentukan lembaga-lembaga yang telah ada sebelumnya dapat menjadi rujukan dalam pengembangannya.

Sekali lagi, kehadiran otoritas ini penting, guna menjamin perlindungan data pribadi yang optimal bagi warga negara, dari praktik-praktik eksploitasi dan penyalahgunaan data pribadi.

Tulisan ini pertama kali dipublikasikan dalam Rubrik Opini Harian KOMPAS, 29 Juni 2021. Selengkapnya dapat diakses di https://www.kompas.id/baca/opini/2021/06/29/urgensi-otoritas-independen-perlindungan-data-pribadi.

Published by

wahyudidjafar

Researcher and Human Rights Lawyer at Institute for Policy Research and Advocacy (ELSAM).

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s