UU PDP Bak Ibu Tiri yang Beri Superioritas Semu ke Lembaga Pemerintah

Kolom oleh: pengamat dan praktisi cyber security Vaksincom, Alfons Tanujaya.

Uzone.id – Kisah perlakuan ibu tiri yang lebih memanjakan anak kandungnya dibandingkan anak tiri seperti Cinderella, atau Bawang Merah dan Bawang Putih sangat populer. Cerita intinya adalah seorang ibu yang memperlakukan anak-anaknya secara kurang adil karena ada anak kandung dan anak tiri, maka sang ibu memperlakukan anak tiri dengan tidak adil dan hanya memanjakan anak kandung.

Padahal dalam kenyataannya, tidak ada jaminan kalau anak kandung akan lebih berbakti kepada sang ibu. Yang ada malah anak yg dimanjakan berlebihan akan meminta perlakuan yang lebih manja lagi dan belum tentu mengubah dirinya jadi lebih baik.

Hal yang agak mirip terjadi pada Undang-Undang Perlindungan Data Pribadi (UU PDP) No. 27 yang belum lama ini disahkan oleh pemerintah dan dapat di akses dari situs sekretariat kabinet di sini.

Belajar dari hal ini, diharapkan ke depannya perlu menjadi perhatian para anggota dewan bersama tim perumus yang menelurkan RUU ini agar tidak melahirkan Undang-Undang yang tajam pada lembaga swasta, tapi tumpul pada lembaga pemerintah.

Padahal data pribadi yang diolah adalah data yang sama-sama milik masyarakat Indonesia dan jika dieksploitasi tidak pandang bulu baik oleh institusi swasta atau institusi pemerintah, risiko dan kerugiannya tidak berbeda.

Malah faktanya, jika menelaah kasus-kasus kebocoran data yang pernah terjadi, lembaga publik pemerintah secara de facto mengalami kebocoran data yang lebih banyak dan lebih masif dibandingkan lembaga swasta.

Baca juga: Apakah Aksi Hacker Jahat Akan Berkurang Berkat UU PDP?

Sehingga akan sangat tidak adil dan tidak mendidik jika lembaga publik pemerintah justru diperlakukan lebih lunak dibandingkan lembaga swasta.

Sayang, nasi sudah menjadi bubur, UU PDP No. 27 sudah disahkan. Apakah ada hal yang dapat dilakukan oleh Lembaga PDP yang seakan ditakdirkan menjadi ibu tiri bagi lembaga swasta non pemerintah?

Apakah UU PDP No. 27 akan mengikuti kodratnya sebagai ‘Undang-Undang ibu tiri’?

Semua ini tergantung kepada aturan turunan Undang-Undang yang akan menjelaskan lebih jauh implementasi UU dan juga sepak terjang Lembaga PDP yang akan dibentuk nanti dan diharapkan bisa menjadi “ibukota” dibandingkan ibu tiri.

Mengapa? Karena ibukota akan memperlakukan semua penduduknya dengan adil tanpa pandang bulu apakah dia anak kandung atau anak tiri.

Definisi "setiap orang" dan "badan publik"
UU PDP memberikan definisi "Setiap Orang" adalah orang perseorangan atau korporasi. Sedangkan "Badan Publik" adalah lembaga atau badan yang sebagian atau seluruh dananya berasal dari APBN atau APBD.

Jadi secara hubungan finansial, dapat diumpamakan kalau Badan Publik adalah anak kandung pemerintah karena dananya berasal dari APBN atau APBD, sedangkan Setiap Orang tidak menerima APBN atau APBD sehingga dapat dikatakan sebagai anak tiri – meskipun keduanya sama-sama hidup di Indonesia, memberikan manfaat kepada masyarakat dan membayar pajak.

Pengendali Data Pribadi adalah setiap orang, badan publik atau organisasi internasional yang melakukan kendali pemrosesan data pribadi. Sedangkan Prosesor Data Pribadi adalah pihak yang melakukan pemrosesan data pribadi atas nama Pengendali Data Pribadi.

Pasal 57 sanksi administratif
Jika terjadi pelanggaran dalam pengelolaan data pribadi, maka Pengendali Data Pribadi yang akan mendapatkan sanksi dari peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, sampai denda administratif yang mencapai 2 persen dari pendapatan tahunan.

Dan dalam hal ini yang mendapatkan sanksi adalah Pengendali Data Pribadi yang bisa Setiap Orang, Badan Publik atau Organisasi Internasional.

Sampai di sini, UU PDP masih diterapkan dengan berimbang karena hak dan kewajiban ditujukan kepada Pengendali Data Pribadi dan siapapun bisa menjadi Pengendali Data Pribadi, baik perorangan, korporasi, badan publik atau organisasi internasional.

Pasal ‘ibu tiri’
Pada pasal 65, terdapat Larangan Dalam Penggunaan Data Pribadi dimana dalam ketiga pasal tersebut, larangan hanya ditujukan pada Setiap Orang yang dilarang secara melawan hukum:

1. Memperoleh dan mengumpulkan data pribadi untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi
2. Mengungkapkan data pribadi yang bukan miliknya
3. Menggunakan data pribadi yang bukan miliknya.

Baca juga: Sanksi Denda hingga Penjara Menanti Pembobol Data

Lalu ada Pasal 66 yang melarang Setiap Orang memalsukan data pribadi, serta Pasal 67 dan 78 memuat ketentuan pidana dan denda atas pelanggaran tersebut.

Hal yang cukup menggelitik adalah larangan ini hanya ditujukan pada Setiap Orang yang artinya perseorangan dan korporasi, sementara secara tidak langsung artinya Badan Publik atau Organisasi Internasional tidak termasuk dalam Larangan Dalam Penggunaan Data Pribadi (Bab XIII pasal 65 dan 66) atau eksploitasi data pribadi.

Adapun contoh eksploitasi data dapat dilihat pada aktivitas debt collector atau telemarketing yang melanggar UU PDP pasal 65.

Preview

Namun, ketidakadilan muncul disini. Jika pelanggaran dilakukan oleh perorangan atau korporasi, jerat hukum sudah menanti karena pasal yang dilanggar jelas, yakni ancaman hukuman pidana mencapai 4 tahun dan denda Rp4 miliar.

Tetapi jika yang melakukan pelanggaran adalah badan publik atau organisasi internasional, tidak melanggar pasal. Hal ini akan menimbulkan ketidakadilan jika lembaga publik atau organisasi internasional juga menjalankan aktivitas bisnis seperti di dunia perbankan.

Ambil contoh aksi eksploitasi nomor telepon nasabah untuk kegiatan telemarketing. Jika korporasi atau bank swasta melakukan telemarketing, maka korporasi melanggar UU PDP Pasal 65, sedangkan lembaga publik atau bank pemerintah dikecualikan dari larangan ini.

Harapan untuk lembaga PDP: jadilah ibu tiri yang adil
Diharapkan lembaga PDP ini bisa bersikap sebagai ibu tiri yg adil. Walaupun ditakdirkan sebagai ibu tiri, justru anak yang lebih bermasalah –sekalipun anak kandung– yang harus mendapatkan perhatian dan treatment khusus sehingga bisa melakukan perbaikan.

Dengan perlakuan berbeda dimana anak yang sering melakukan kesalahan malah dilindungi dari konsekuensi, sedangkan anak yang kurang melakukan kesalahan cenderung mendapatkan konsekuensi lebih berat, selain ini menunjukkan ketidakadilan, dalam jangka panjang juga tidak akan membantu anak yang sering berbuat kesalahan, karena ia akan dilindungi setiap kali berbuat kesalahan.

Alih-alih mengubah dirinya, dia malah akan cenderung tetap seenaknya dan tidak mengubah kebiasaan dalam mengelola data dengan buruk.

Baca juga: Siapkah Pelaku Industri Patuhi UU PDP?

UU PDP mematikan kreativitas, karena takut ancaman hukuman mengelola data, dunia usaha jadi takut untuk melakukan terobosan yang bisa memberikan manfaat dan kemajuan bagi perkembangan ekonomi dan dunia digital Indonesia.

Belum lagi takut dihukum karena risiko mengelola data yang mengakibatkan perasaan enggan untuk melakukan inovasi, apalagi mengembangkan layanan digital dengan value-added baru membutuhkan biaya sangat tinggi karena dikekang oleh peraturan yang sangat ketat. Dengan kata lain, sebelum membuahkan hasil pun sudah harus mengeluarkan biaya sangat tinggi untuk compliance.

Hal ini tentu memberikan dampak buruk untuk perkembangan ekonomi kreatif Indonesia khususnya yang berhubungan dengan digitalisasi. Hal ini harus disadari oleh Lembaga PDP dalam menegakkan aturan supaya jangan sampai kontra produktif ingin mengamankan data pribadi membabi buta, tapi malah membuat masyarakat takut berkreasi.

Lembaga PDP harusnya bisa memberikan pedoman bagaimana standar pengelolaan data pribadi yang baik. Kalau perlu Lembaga PDP memberikan supervisi standar minimal apa yang harus dipenuhi oleh Badan Publik atau Setiap Orang yang mengelola data.

Bisa dimulai dari memberikan template database yang aman dan baik seperti menerapkan enkripsi dan pengelolaan kredensial yang baik dan terpisah. Semoga saran saya ini suatu hari ini dibaca.