Beberapa Kelemahan UU Nomor 27/2022 tentang Perlindungan Data Pribadi

Kelemahan lain dalam penerapan UU PDP adalah jaminan perlindungan hukum terhadap pemilik data pribadi di dalam negeri menghadapi penyelesaian segketa dengan pengendali data pribadi di negara lain, yaitu bahwa jaminan perlindungan data pribadi oleh lembaga perlindugan data pribadi di negara lain dapat dipercaya dan tidak menyalahgunakan pengelolaan data pribadi milik WNI oleh pengendali data pribadi di negara lain.

Dalam Bab VII Pasal 56 ayat (1) yang menyatakan bahwa, Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini. Ayat (1) ini tidak secara eksplisit mencantumkan frasa, “dengan persetujuan pemilik data pribadi” setelah frasa. “pengendali data pribadi…….kepada Pegendali data pribadi…. Di luar wilayah hukum Negara Indonesia.

Kelemahan ketentuan tersebut mengakibatkan hak absolut (absolute rights) pemilik data pribadi diabaikan sehingga bertentangan dengan tujuan utama dibentuknya UU PDP; dalam hal ini ketentuan Pasal 56 tidak memiliki nilai tambah bagi perlidungan data pribadi, baik di dalam negeri maupun di negara lain.

Dalam hal perselisihan dan berakhir di peradilan arbitrase internasional dikenal memiliki legal standing lebih kuat dari peradilan nasional maka dipastikan kekalahan akan berada di pihak kita. Begitupula kewajiban yang dibebankan kepada Pengendali Data Pribadi dan pemilik data pribadi amat naif karena pertama ketentuan tersebut telah menyentuh ranah hukum negara asing dan kedua, keterbatasan wewenang Pengendali Data Pribadi untuk “memaksakan” kepatuhan Pengendali Data Pribadi di negara lain.

Terlebih lagi dalam hal terjadi pelanggaran pidana yang amat sulit dalam praktik tanpa mutual assistance in criminal matters atau ekstradisi.

UU PDP memerlukan tingkat kepercayaan pemangku kepentingan yang prima terhadap Pengendali Data Pribadi termasuk juga pemilik data pribadi dalam impelementasi perjanjian internasional, baik bersifat bilateral maupun multilateral. Itu karena keberhasilan implementasi pelindungan data pribadi yang diatur dalam UU PDP tergantung dari kepercayaan timbal balik antara Pengendali Data Pribadi antarnegara dan tingkat kepatuhan pemilik data pribadi satu sama lain dengan sistem hukum yang berbeda-beda antar negara satu sama lain.

Contoh, ketentuan Pelindungan Data Pribadi di Singapura sangat mengutamakan masalah tersebut. Ditegaskan, consent is required to process Personal Data, unless processing falls within an exception. It may deemed to be provided in certain circumstances. Exceptions include legitimate interests or management of an employment. In addition, the processing purpose must be one a reasonable person would consider appropriate in the circumstances.

Menghadapi implementasi RUU PDP pascapengesahan, selain perumusan dan penempatan norma yang relevan dan sesuai dengan situasi kondisi transaksi bisnis di Indoensia juga memerlukan kekuatan sanksi administratif dan sanksi pidana yang responsif terhadap aspirasi pemangku kepentingan.

Aspirasi pemangku kepentingan pelaku usaha di negara asing lebih mengutamakan pendekatan non-penal sedangkan pelaku usaha di Indonesia pada umumnya lebih menghendaki sarana penal dengan pra-anggapan bahwa saran penal lebih efektif dari sarana non-penal.

Dalam kaitan perbedaan pandangan mengenai tingkat kepercayaan (trust) pelaku bisnis dalam hal penerapan sanksi tersebut pemerintah sejak dini segera melakukan sosialisasi dibarengi pemahaman kepada pemangku kepentingan dan aparat penegak hokum (APH) khususnya kepolisian dalam menghadapi kasus-kasus pelanggaran UU PDP.