TEMPO.CO, Jakarta - Sejak beberapa bulan terakhir, Semuel Abrijani Pangerapan makin disibukkan dengan sejumlah acara diskusi. Kesibukan baru ini datang setelah pemerintah resmi menyerahkan naskah Rancangan Undang-Undang atau RUU Pelindungan Data Pribadi ke DPR.

"Kemarin itu dengan asosiasi, siang ini juga ada lagi," kata Direktur Jenderal Aplikasi Informatika, Kementerian Komunikasi dan Informatika (Kominfo) ini kepada Tempo di Jakarta, Kamis, 9 Juli 2020.

Saat ini, Semuel makin rajin menjelaskan ke masyarakat soal beleid pelindungan data pribadi yang diajukan pemerintah ini. Menurut dia, ada beberapa substansi utama yang akan diperkuat dalam RUU ini. Satu diantaranya adalah hak privasi atas data.

Mengingat pentingnya RUU ini, pendekatan pun sudah dilakukan Menteri Komunikasi dan Informatika Johnny G. Plate. Sebab, Sekretaris Jenderal Partai Nasdem ini punya target RUU ini bisa rampung Oktober 2020, kurang dari empat bulan lagi. "Tapi karena Covid-19, jadi sedikit terganggu (pembahasan di DPR)," kata dia.

RUU ini sebenarnya sudah disiapkan pemerintah sejak tahun lalu. Namun, naskah RUU ini baru diserahkan secara resmi ke DPR pada 28 Januari 2020. Isinya 15 Bab 72 Pasal. Sebulan kemudian, kasus Covid-19 diumumkan di Indonesia pada 2 Maret 2020. Kegiatan rapat DPR pun kena imbas.

Pada 4 Juli 2020, publik dihebohkan dengan kasus kebocoran data 91 juta pengguna Tokopedia. Lembaga riset siber CISSReC (Communication and Information System Security Research Center) menemukan link atau tautan yang berisi 91 juta data ini tersebar pada salah satu grup di Facebook. Data pun bisa diunduh secara bebas.

Tokopedia pun langsung melaporkan kasus ini ke polisi. "Kami mengingatkan seluruh pihak untuk menghapus segala informasi yang memfasilitasi akses ke data yang diperoleh melalui cara yang melanggar hukum," kata VP of Corporate Communications Tokopedia Nuraini Razak sehari kemudian.
<!--more-->
Insiden kebocoran data pribadi ini kemudian membuat publik kembali mendesak RUU segera diselesaikan. Meski demikian, masalah tidak hanya muncul pada persoalan teknis seperti rapat yang terganggu akibat Covid-19. Substansi dari RUU Perlindungan Data Pribadi yang sudah diserahkan pemerintah ke DPR pun ternyata masih banyak kekurangan.

Hal itu terungkap dalam rapat Komisi Informatika DPR hari ini bersama perwakilan masyarakat sipil dan dunia usaha. Pertama, belum ada klausul soal lembaga independen yang akan menerima laporan penyalahgunaan data pribadi, menyelidiki, dan menjatuhkan sanksi.

"Kami mengusulkan dibentuk Independent Supervisor Authority," kata Koordinator Koalisi Advokasi Perlindungan Data Pribadi Wahyudi Djafar dalam rapat ini. Koalisi tersebut mewakili sejumlah organisasi seperti Imparsial, LBH Pers, LBH Jakarta, ICT Watch, sampai Aliansi Jurnalis Independen (AJI) Indonesia.

Dalam rapat, Wahyudi menjelaskan soal praktik perlindungan data pribadi di berbagai negara yang kemudian dipuji anggota DPR. Mereka pun sempat memberikan bertepuk tangan ramai-ramai atas penjelasan lengkap Wahyudi selama hampir satu jam.

Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) ini mengatakan keberadaan lembaga ini juga sudah ada di negara lain, yang lebih dulu memiliki UU Pelindungan Data Pribadi.

Bentuknya macam-macam. Di Amerika Serikat misalnya. Otoritas ini bergabung di Federal Trade Comission, yang setara dengan Komisi Pengawas Persaingan Usaha (KPPU) di Indonesia. Jika otoritas ini masih berada di bawah kementerian, Wahyudi menilai kinerjanya tidak akan efektif, terutama dalam masalah independensi.
<!--more-->
Bukan hanya koalisi masyarakat sipil yang ingin ada lembaga pengawas independen. Para pelaku usaha setali tiga uang. Asosiasi Penyelenggara Telekomunikasi Seluruh Indonesia (ATSI) menginginkan hal yang sama. Ini adalah asosiasi yang berisi pemain telekomunikasi di Indonesia, mulai dari Indosat, XL, Smartfren, Telkomsel, hingga Tri.

Sekretaris Jenderal ATSI Marawan O. Baasir mengatakan perlu ada komisi independen yang dapat mengawasi perlindungan data pribadi. "Untuk dapat berjalan dengan efektif di berbagai sektor sebagaimana yang diterapkan di negara lain," kata Vice President Regulatory and Government Relation, PT XL Axiata Tbk ini.

Anggota Komisi Informatika DPR dari Fraksi Partai Demokrat, Rizki Aulia Rahman Natakusumah mengatakan ide soal komisi independen ini sebenarnya sudah muncul dalam pertemuan DPR dengan Johnny G. Plate. "Cuma yang saya tangkap dari visi beliau (Johnny), komisi ini masih di bawah naungan Kominfo," kata dia.

Meski demikian, Semuel mempertanyakan bagaimana bentuk dan kadar independensi komisi ini nantinya. Sebab, saat ini beberapa komisi yang independen di Indonesia juga masih digaji dari anggaran negara. "Saya melihat independensi itu lebih ke cara," kata dia.

Menurut pandangan Semuel, tak masalah jika lembaga independen ini tetap berada di bawah kementerian. Asalkan, diatur Standar Operasional Prosedur (SOP) kerja hingga dewan pengawasnya. Meski demikian, Kominfo terbuka pada ide apapun yang muncul dalam rapat di DPR. "Bertukar pikiran, makanya nanti dalam DIM (Daftar Inventarisasi Masalah) akan dilihat, apa saja yang di-address," kata dia.

Masalah kedua yang banyak disorot adalah pada aturan sanksi pidana. Pada naskah RUU ini, aturan sanksi pidana dibuat terang benderang. Pasal 61 misalnya, menyebutkan sanksi berupa penjara lima tahun atau denda paling banyak Rp 50 miliar.
<!--more-->
Sanksi pidana ini berlaku untuk "setiap orang yang dengan sengaja memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian pemilik data pribadi."

Dalam rapat ini, Marwan mengusulkan agar ketentuan sanksi pidana ini dihapuskan. Menurut dia, RUU ini cukup mengatur sanksi administratif saja. Sebab, Undang-Undang Informasi dan Transaksi Elektronik atau UU ITE, dan Peraturan MA Nomor 13 Tahun 2016 tentang Tata Cara Penanganan Tindak Pidana oleh Korporasi, juga sudah mengatur hal tersebut.

Tak hanya itu. Pembentukan RUU ini menjadikan General Data Protection Regulation (GDPR) sebagai patokan. GDPR adalah regulasi pelindungan data pribadi di Uni Eropa. Di sana, kata Marwan, sanksi pidana juga belum diberlakukan. "Jadi agak dilematis," kata dia.

Serupa dengan Marwan, Wahyudi setuju ketentuan sanksi pidana dihapuskan. Tujuannya agar tidak terjadi tumpang tindih dengan regulasi lain yang sudah ada. "Cukup dirumuskan pengenaaan sanksi administrasi," kata dia.

Meski demikian, ketentuan sanksi administrasi dalam RUU ini juga tak lepas dari kritik. Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) menyoroti aturan di Pasal 27 yang mewajibkan pengendali data untuk memastikan keamanan data pribadi. Jika terjadi pelanggaran, maka perusahaan pengendali dikenai sanksi.

Ketua Umum APJII Jamalul Izza mengatakan ketentuan ini belum diatur secara jelas. Sehingga, peluang abuse of power akibat salah-tafsir menjadi terbuka. "Itu yang kami takutkan," kata dia.
<!--more-->
Sementara itu, Direktur Eksekutif Tifa Foundation Shita Laksmi mengatakan isu pelindungan data pribadi ini memang relatif baru. "Mungkin (isu) lama di Eropa, tapi relatif baru untuk banyak negara," kata dia.

Sehingga, akan butuh banyak investigasi untuk bisa menentukan sanksi atas pelanggaran. Menurut dia, lebih baik persoalan sanksi ini diserahkan kepada mereka yang memang menguasai bidangnya.

Misalkan untuk pelanggaran di bidang keamanan kesehatan, maka harus ada ahli yang paham mengenai investasi atas pelanggaran tersebut. Itu juga sebabnya, dibutuhkan satu otoritas yang akan menentukan sanksi, atau pun memberikan rekomendasi kepada pengadilan untuk menjatuhkan sanksi.

Skema ini dinilai lebih baik ketimbang sekedar menetapkan sanksi. Lalu, menyerahkan selebihnya ke pengadilan. "Karena pengadilan menjadi agak berat lagi kalau harus belajar hal baru terlalu cepat," kata Shita, yang pernah menjadi tenaga ahli di Ditjen Aplikasi Kominfo ini.

Berbagai pandangan ini hanyalah sedikit dari sekian kekurangan yang ditemukan oleh masyarakat sipil dan dunia usaha dalam RUU ini. Di luar semua itu, masih ada lagi soal tuntutan dunia usaha agar data agregat dibedakan dengan data pribadi, hingga pengaturan soal berbagai jenis kejahatan siber.

DPR telah mendengar aspirasi tersebut dan berkomitmen untuk mempelajarinya. Salah satunya seperti keberadaan lembaga independen. "Kita butuh komisi yang independen dan imparsial untuk menjadi regulator, karena pemerintah sendiri juga pengendali data," kata anggota Komisi Informatika DPR dari fraksi PDI Perjuangan Charles Honoris.

Johnny memang punya target RUU ini rampung Oktober 2020. Wakil Ketua Komisi Informatika DPR Abbdul Kharis Almasyhari juga menargetkan pembahasan rampung sebelum akhir tahun. Namun, proses pembahasan RUU ini masih akan melalui sejumlah tahapan.

Sesuai dengan Pasal 131 Peraturan DPR Nomor 1 Tahun 2014 tentang Tata Tertib, pembahasan sebuah RUU dilakukan dalam dua tingkat pembicaraan.

Di tingkat I, ada rapat komisi, rapat gabungan komisi, rapat Badan Legislasi (Baleg), rapat Badan Anggaran (Banggar), atau rapat panitia khusus bersama menteri yang mewakili presiden. Setelah itu, baru RUU Pelindungan Data Pribadi ini naik ke pembahasan tingkat II dalam rapat paripurna DPR.

FAJAR PEBRIANTO