Beberapa Kelemahan UU Nomor 27/2022 tentang Perlindungan Data Pribadi
Kamis, 27 Oktober 2022 - 11:09 WIB
loading...
Romli Atmasasmita (Foto: Dok. Sindonews)
A
A
A
Romli Atmasasmita
Guru Besar Emeritus Universitas Padjadjaran
UNDANG-UNDANG Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP) merupakan konsekuensi hukum ratifikasi pemerintah Indonesia atas empat konvensi internasional, yaitu Universal Declaration on Human Rights; Article 12; International Covenant on Civil and Political Rights: Article 17; Convention on the Rights of the Child: Article 16; dan International Convention on the Protection of All Migrant Workers and Members of Their Families: Article 14.
Kewajiban negara untuk melaksanakan isi perjanjian, baik yang bersifat mandatory obligation maupun yang bersifat non-mandatory obligation dengan segala akibat hukum daripadanya.
Baca berita menarik lainnya di e-paper koran-sindo.com
Masalah penting dan relevansi UU PDP tidak diragukan lagi sebagaimana tercantum di dalam Penjelasan Umum UUD PDP, apalagi dihubungkan dengan perlindungan hak asasi manusia -khususnya hak privacy (privacy rights).
Pertanyaan yang sering dilontarkan dan meragukan adalah, seberapa besar kekuatan hukum UU PDP dapat melidungi hak asasi manusia khususnya hak atas data pribadi seseorang di tengah arus gelombang informasi berbasis teknologi digital saat ini? Merujuk pertanyaan tersebut, tulisan ini akan membahas beberapa ketentuan dalam UU PDP dan dampak hukum dan nyata daripadanya.
Masalah yurisdiksi hukum yang diatur dalam UU PDP jelas bahwa yurisdiski bersifat transnasional dan objek pegaturannya dipastikan bersifat transnasional baik bersifat keperdataan (perselisihan), administratif dan pidana; tiga jenis yurisdiksi dalam satu UU PDP. Persinggungan antara ketiga yurisdiksi tersebut bukan sesuatu hal yang mustahil.
Dalam praktik hukum di Indonesia sering terjadi kekeliruan hukum dalam penerapan sanksi administratif, sanksi perdata, dan sanksi pidana. Sanksi pidana sering didahlukan dan sanksi administrasi dan sanksi pidana menyusul kemudian. Adagium, ultimum remedium, tidak lagi secara ketat diterapkan dengan alasan bahwa dalam kasus tertentu dan termasuk lex specialis dapat mengenyampingkan ketetentuan-ketetentuan yang bersifat umum; lex specialis derogate lege generali – eks Pasal 63 ayat (2) KUHP.
Di dalam UU PDP tidak ada ketentuan yang memisahkan secara tegas penerapan sanksi administrasi atau sanksi perdata harus didahulukan dalam penyelesaian sengketa pengelolaan data pribadi dari pada sanksi pidana.
Penerapan sanksi dalam praktik hukum di Indonesia dalam konteks perjanjian internasional mengenai perlindungan data pribadi harus diamati serius oleh pemerintah Indonesia pascapemberlakuan UU PDP terutama di bawah pengawasan lembaga perlindungan data pribadi.
Kelemahan lain dalam penerapan UU PDP adalah jaminan perlindungan hukum terhadap pemilik data pribadi di dalam negeri menghadapi penyelesaian segketa dengan pengendali data pribadi di negara lain, yaitu bahwa jaminan perlindungan data pribadi oleh lembaga perlindugan data pribadi di negara lain dapat dipercaya dan tidak menyalahgunakan pengelolaan data pribadi milik WNI oleh pengendali data pribadi di negara lain.
Dalam Bab VII Pasal 56 ayat (1) yang menyatakan bahwa, Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini. Ayat (1) ini tidak secara eksplisit mencantumkan frasa, “dengan persetujuan pemilik data pribadi” setelah frasa. “pengendali data pribadi…….kepada Pegendali data pribadi…. Di luar wilayah hukum Negara Indonesia.
Kelemahan ketentuan tersebut mengakibatkan hak absolut (absolute rights) pemilik data pribadi diabaikan sehingga bertentangan dengan tujuan utama dibentuknya UU PDP; dalam hal ini ketentuan Pasal 56 tidak memiliki nilai tambah bagi perlidungan data pribadi, baik di dalam negeri maupun di negara lain.
Dalam hal perselisihan dan berakhir di peradilan arbitrase internasional dikenal memiliki legal standing lebih kuat dari peradilan nasional maka dipastikan kekalahan akan berada di pihak kita. Begitupula kewajiban yang dibebankan kepada Pengendali Data Pribadi dan pemilik data pribadi amat naif karena pertama ketentuan tersebut telah menyentuh ranah hukum negara asing dan kedua, keterbatasan wewenang Pengendali Data Pribadi untuk “memaksakan” kepatuhan Pengendali Data Pribadi di negara lain.
Terlebih lagi dalam hal terjadi pelanggaran pidana yang amat sulit dalam praktik tanpa mutual assistance in criminal matters atau ekstradisi.
UU PDP memerlukan tingkat kepercayaan pemangku kepentingan yang prima terhadap Pengendali Data Pribadi termasuk juga pemilik data pribadi dalam impelementasi perjanjian internasional, baik bersifat bilateral maupun multilateral. Itu karena keberhasilan implementasi pelindungan data pribadi yang diatur dalam UU PDP tergantung dari kepercayaan timbal balik antara Pengendali Data Pribadi antarnegara dan tingkat kepatuhan pemilik data pribadi satu sama lain dengan sistem hukum yang berbeda-beda antar negara satu sama lain.
Contoh, ketentuan Pelindungan Data Pribadi di Singapura sangat mengutamakan masalah tersebut. Ditegaskan, consent is required to process Personal Data, unless processing falls within an exception. It may deemed to be provided in certain circumstances. Exceptions include legitimate interests or management of an employment. In addition, the processing purpose must be one a reasonable person would consider appropriate in the circumstances.
Menghadapi implementasi RUU PDP pascapengesahan, selain perumusan dan penempatan norma yang relevan dan sesuai dengan situasi kondisi transaksi bisnis di Indoensia juga memerlukan kekuatan sanksi administratif dan sanksi pidana yang responsif terhadap aspirasi pemangku kepentingan.
Aspirasi pemangku kepentingan pelaku usaha di negara asing lebih mengutamakan pendekatan non-penal sedangkan pelaku usaha di Indonesia pada umumnya lebih menghendaki sarana penal dengan pra-anggapan bahwa saran penal lebih efektif dari sarana non-penal.
Dalam kaitan perbedaan pandangan mengenai tingkat kepercayaan (trust) pelaku bisnis dalam hal penerapan sanksi tersebut pemerintah sejak dini segera melakukan sosialisasi dibarengi pemahaman kepada pemangku kepentingan dan aparat penegak hokum (APH) khususnya kepolisian dalam menghadapi kasus-kasus pelanggaran UU PDP.
Keberadaan Lembaga Pelindungan Data Pribadi (BAB IX) diharapkan dapat memperkuat implemerntasi UU PDP dan memastikan bahwa UU PDP dan penegakan hukumnya menjamin kepastian hukum, adil dan bermanfaat bagi hubungan transaksi bisnis domestik juga hubungan antara negara.
Dalam Bab IX peranan lembaga ini dikhususkan untuk penyelesaian (sengketa) administratif saja, tidak diperankan dalam penerapan sanksi pidana (Pasal 59 c) sedangkan lembaga tersebut juga seharusnya dapat diminta bantuan untuk memberikan keterangan sebagai saksi ahli yang diberi tugas pengawasan sejak hulu dan hilir perjanjian dalam pemrosesan dan pengendalian data pribadi.
Dengan cara sedemikian diharapkan penyelesaian sengketa administratif atau pidana dapat memperoleh kepastian hukum dan jaminan penyelesaian yang adil dan bermanfaat.
Guru Besar Emeritus Universitas Padjadjaran
UNDANG-UNDANG Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP) merupakan konsekuensi hukum ratifikasi pemerintah Indonesia atas empat konvensi internasional, yaitu Universal Declaration on Human Rights; Article 12; International Covenant on Civil and Political Rights: Article 17; Convention on the Rights of the Child: Article 16; dan International Convention on the Protection of All Migrant Workers and Members of Their Families: Article 14.
Kewajiban negara untuk melaksanakan isi perjanjian, baik yang bersifat mandatory obligation maupun yang bersifat non-mandatory obligation dengan segala akibat hukum daripadanya.
Baca berita menarik lainnya di e-paper koran-sindo.com
Masalah penting dan relevansi UU PDP tidak diragukan lagi sebagaimana tercantum di dalam Penjelasan Umum UUD PDP, apalagi dihubungkan dengan perlindungan hak asasi manusia -khususnya hak privacy (privacy rights).
Pertanyaan yang sering dilontarkan dan meragukan adalah, seberapa besar kekuatan hukum UU PDP dapat melidungi hak asasi manusia khususnya hak atas data pribadi seseorang di tengah arus gelombang informasi berbasis teknologi digital saat ini? Merujuk pertanyaan tersebut, tulisan ini akan membahas beberapa ketentuan dalam UU PDP dan dampak hukum dan nyata daripadanya.
Masalah yurisdiksi hukum yang diatur dalam UU PDP jelas bahwa yurisdiski bersifat transnasional dan objek pegaturannya dipastikan bersifat transnasional baik bersifat keperdataan (perselisihan), administratif dan pidana; tiga jenis yurisdiksi dalam satu UU PDP. Persinggungan antara ketiga yurisdiksi tersebut bukan sesuatu hal yang mustahil.
Dalam praktik hukum di Indonesia sering terjadi kekeliruan hukum dalam penerapan sanksi administratif, sanksi perdata, dan sanksi pidana. Sanksi pidana sering didahlukan dan sanksi administrasi dan sanksi pidana menyusul kemudian. Adagium, ultimum remedium, tidak lagi secara ketat diterapkan dengan alasan bahwa dalam kasus tertentu dan termasuk lex specialis dapat mengenyampingkan ketetentuan-ketetentuan yang bersifat umum; lex specialis derogate lege generali – eks Pasal 63 ayat (2) KUHP.
Di dalam UU PDP tidak ada ketentuan yang memisahkan secara tegas penerapan sanksi administrasi atau sanksi perdata harus didahulukan dalam penyelesaian sengketa pengelolaan data pribadi dari pada sanksi pidana.
Penerapan sanksi dalam praktik hukum di Indonesia dalam konteks perjanjian internasional mengenai perlindungan data pribadi harus diamati serius oleh pemerintah Indonesia pascapemberlakuan UU PDP terutama di bawah pengawasan lembaga perlindungan data pribadi.
Kelemahan lain dalam penerapan UU PDP adalah jaminan perlindungan hukum terhadap pemilik data pribadi di dalam negeri menghadapi penyelesaian segketa dengan pengendali data pribadi di negara lain, yaitu bahwa jaminan perlindungan data pribadi oleh lembaga perlindugan data pribadi di negara lain dapat dipercaya dan tidak menyalahgunakan pengelolaan data pribadi milik WNI oleh pengendali data pribadi di negara lain.
Dalam Bab VII Pasal 56 ayat (1) yang menyatakan bahwa, Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia sesuai dengan ketentuan yang diatur dalam Undang-Undang ini. Ayat (1) ini tidak secara eksplisit mencantumkan frasa, “dengan persetujuan pemilik data pribadi” setelah frasa. “pengendali data pribadi…….kepada Pegendali data pribadi…. Di luar wilayah hukum Negara Indonesia.
Kelemahan ketentuan tersebut mengakibatkan hak absolut (absolute rights) pemilik data pribadi diabaikan sehingga bertentangan dengan tujuan utama dibentuknya UU PDP; dalam hal ini ketentuan Pasal 56 tidak memiliki nilai tambah bagi perlidungan data pribadi, baik di dalam negeri maupun di negara lain.
Dalam hal perselisihan dan berakhir di peradilan arbitrase internasional dikenal memiliki legal standing lebih kuat dari peradilan nasional maka dipastikan kekalahan akan berada di pihak kita. Begitupula kewajiban yang dibebankan kepada Pengendali Data Pribadi dan pemilik data pribadi amat naif karena pertama ketentuan tersebut telah menyentuh ranah hukum negara asing dan kedua, keterbatasan wewenang Pengendali Data Pribadi untuk “memaksakan” kepatuhan Pengendali Data Pribadi di negara lain.
Terlebih lagi dalam hal terjadi pelanggaran pidana yang amat sulit dalam praktik tanpa mutual assistance in criminal matters atau ekstradisi.
UU PDP memerlukan tingkat kepercayaan pemangku kepentingan yang prima terhadap Pengendali Data Pribadi termasuk juga pemilik data pribadi dalam impelementasi perjanjian internasional, baik bersifat bilateral maupun multilateral. Itu karena keberhasilan implementasi pelindungan data pribadi yang diatur dalam UU PDP tergantung dari kepercayaan timbal balik antara Pengendali Data Pribadi antarnegara dan tingkat kepatuhan pemilik data pribadi satu sama lain dengan sistem hukum yang berbeda-beda antar negara satu sama lain.
Contoh, ketentuan Pelindungan Data Pribadi di Singapura sangat mengutamakan masalah tersebut. Ditegaskan, consent is required to process Personal Data, unless processing falls within an exception. It may deemed to be provided in certain circumstances. Exceptions include legitimate interests or management of an employment. In addition, the processing purpose must be one a reasonable person would consider appropriate in the circumstances.
Menghadapi implementasi RUU PDP pascapengesahan, selain perumusan dan penempatan norma yang relevan dan sesuai dengan situasi kondisi transaksi bisnis di Indoensia juga memerlukan kekuatan sanksi administratif dan sanksi pidana yang responsif terhadap aspirasi pemangku kepentingan.
Aspirasi pemangku kepentingan pelaku usaha di negara asing lebih mengutamakan pendekatan non-penal sedangkan pelaku usaha di Indonesia pada umumnya lebih menghendaki sarana penal dengan pra-anggapan bahwa saran penal lebih efektif dari sarana non-penal.
Dalam kaitan perbedaan pandangan mengenai tingkat kepercayaan (trust) pelaku bisnis dalam hal penerapan sanksi tersebut pemerintah sejak dini segera melakukan sosialisasi dibarengi pemahaman kepada pemangku kepentingan dan aparat penegak hokum (APH) khususnya kepolisian dalam menghadapi kasus-kasus pelanggaran UU PDP.
Keberadaan Lembaga Pelindungan Data Pribadi (BAB IX) diharapkan dapat memperkuat implemerntasi UU PDP dan memastikan bahwa UU PDP dan penegakan hukumnya menjamin kepastian hukum, adil dan bermanfaat bagi hubungan transaksi bisnis domestik juga hubungan antara negara.
Dalam Bab IX peranan lembaga ini dikhususkan untuk penyelesaian (sengketa) administratif saja, tidak diperankan dalam penerapan sanksi pidana (Pasal 59 c) sedangkan lembaga tersebut juga seharusnya dapat diminta bantuan untuk memberikan keterangan sebagai saksi ahli yang diberi tugas pengawasan sejak hulu dan hilir perjanjian dalam pemrosesan dan pengendalian data pribadi.
Dengan cara sedemikian diharapkan penyelesaian sengketa administratif atau pidana dapat memperoleh kepastian hukum dan jaminan penyelesaian yang adil dan bermanfaat.
(bmm)
Lihat Juga :
