|
Urgensi
Otoritas Independen Perlindungan Data Pribadi Wahyudi Djafar ; Direktur Eksekutif Lembaga Studi dan
Advokasi Masyarakat (ELSAM) |
KOMPAS, 29 Juni 2021
|
DPR dan pemerintah tengah
berupaya merampungkan proses pembahasan RUU Pelindungan Data Pribadi (PDP),
yang telah tertunda beberapa waktu lamanya. Salah satu materi krusial
yang diperdebatkan adalah perihal keberadaan otoritas independen perlindungan
data pribadi. Materi ini tidak dijumpai dalam RUU usulan pemerintah, yang
mengusulkan fungsi pengawasan dikelola menteri. Sementara, hampir semua
fraksi di DPR, sebagaimana terekam dalam usulan daftar inventarisasi masalah
yang mereka ajukan, menginginkan adanya pembentukan otoritas khusus
perlindungan data. Otoritas perlindungan data
pribadi merupakan salah satu kepingan puzzle terpenting, yang akan menentukan
efektif tidaknya pelaksanaan dan penegakan hukum perlindungan data pribadi.
Otoritas ini merupakan lembaga publik yang berfungsi mengawasi bekerjanya
instrumen perlindungan data, memastikan kepatuhan pengendali dan pemroses
data, baik individu atau badan privat maupun lembaga publik. Berbagai
model otoritas Peran kunci lembaga ini
termasuk menerima pengaduan dari subyek data, serta memeriksa, dan memutus
permohonan penyelesaian sengketa perlindungan data. Praktik di banyak negara
memperlihatkan lembaga ini berfungsi sekaligus sebagai regulator, ombudsman,
auditor, pendidik, penasihat kebijakan, negosiator, dan penegak hukum
perlindungan data. Pengalaman dari beberapa
negara menunjukkan setidaknya ada tiga model kelembagaan perlindungan data:
otoritas jamak, otoritas dual, dan otoritas tunggal (Djafar, 2020). Model multilembaga
dipengaruhi legislasi perlindungan data yang bersifat sektoral, akibatnya
setiap UU akan membentuk lembaga pengawas sektor. Model ini misalnya
diterapkan di Amerika Serikat, karena perlindungan data diatur dalam berbagai
UU, seperti Federal Trade Commission Act, The Financial Services Modernization
Act, Health Insurance Portability and Accountability Act, dan lain-lain. Sementara otoritas dual
muncul sebagai akibat dari perdebatan mengenai perlindungan data pribadi yang
sering kali tidak bisa dilepaskan dari keterbukaan informasi. Hal ini
kemudian berpengaruh pada model legislasi, yang berimplikasi pula pada model
otoritas pengawasan yang dikembangkan. Model dua badan
dimaksudkan untuk memisahkan antara otoritas perlindungan data, dengan
lembaga lain yang memiliki kewenangan hampir serupa, seperti Ombudsman dan
Komisi Informasi. Model seperti ini banyak diikuti negara Eropa, seperti
Austria, Belgia, Denmark, Finlandia, Belanda, Rumania, Spanyol, dan Swedia. Sedangkan model otoritas
tunggal berangkat dari pertimbangan, meski ada perdebatan antara keterbukaan
informasi dan perlindungan data pribadi, namun dengan alasan efisiensi dan
efektivitas, banyak negara yang pada akhirnya menyatukan otoritas
pengawasannya dalam satu badan sekaligus. Pengembangan model single
authority misalnya dilakukan di Inggris Raya dengan Information Commission
Office (ICO), Estonia, Hungaria, Irlandia, Meksiko, dan Jerman untuk tingkat
federal. Pada lembaga ini biasanya akan dibangun dua kamar yang berbeda
antara perlindungan data dan keterbukaan informasi, termasuk komisionernya.
Hal itu dimaksudkan untuk menghindari adanya konflik kepentingan dalam
pelaksanaan tugas dan fungsinya. Otoritas
independen Frasa independen di sini
maknanya adalah dalam pelaksanaan tugas dan fungsinya terbebas dari pengaruh
politik dan ekonomi, agar dapat menjamin perlindungan data secara maksimal.
Secara sederhana, independensi otoritas diperlukan sebab undang-undang
perlindungan data tidak hanya berlaku mengikat bagi sektor swasta, tetapi
juga kementerian/lembaga pemerintah. Sebagaimana kita ketahui
hari ini, pengumpulan dan pemrosesan data pribadi tidak hanya dilakukan oleh
swasta dengan motif ekonomi, tetapi juga oleh pemerintah untuk tujuan
pelayanan publik dan politik. Oleh karenanya untuk menjamin penegakan hukum
perlindungan data yang imparsial dan adil, diperlukan hadirnya sebuah lembaga
yang independen. Kehadiran otoritas
independen ini juga akan memberikan banyak keuntungan, karena keberadaannya
akan menjadi salah satu indikator penting, untuk menentukan kesetaraan
(adequacy) hukum perlindungan data Indonesia dengan negara lain, khususnya
negara-negara yang tunduk pada European Union General Data Protection
Regulation (EU GDPR). Kesetaraan hukum
perlindungan data sendiri merupakan prasyarat utama dalam melakukan transfer
data internasional, baik antar-pemerintah maupun swasta, sekaligus untuk
menjamin perlindungan data dari subyek data, di mana pun data pribadinya
diproses, mengingat sifat data yang lintas batas (cross border). Selain kemudahan transfer
dan kejelasan jaminan perlindungan bagi subyek data, kesetaraan hukum
perlindungan data Indonesia dengan Uni Eropa, juga akan banyak memberikan
dorongan bagi pengembangan ekonomi digital, yang berbasiskan pada data. Hal ini terutama mengingat
EU GDPR yang dinilai sebagai standar perlindungan data paling tinggi,
komprehensif dan modern, sehingga banyak memengaruhi dilakukannya pembaruan
hukum perlindungan data di berbagai negara. Bahkan untuk mendapatkan
keputusan kesetaraan (adequacy decision) dari Komisi Eropa, Jepang dan Korea
Selatan telah melakukan amandemen UU Perlindungan Informasi Pribadi mereka,
dengan salah satu materinya adalah pembentukan otoritas independen. Prasyarat
independensi Pertama kalinya kebutuhan
pembentukan otoritas perlindungan data pribadi ditemukan dalam European
Modernised Convention for the Protection of Individuals with Regard to the
Processing of Personal Data (1981), yang menyatakan perlunya pembentukan satu
atau lebih lembaga, dengan tanggung jawab penegakan dan kepatuhan hukum
perlindungan data. Perihal serupa juga
ditegaskan oleh UN Guidelines for the Regulation of Computerized Personal
Data Files (1990), yang memasukkan pembentukan lembaga pengawas independen
sebagai salah satu prinsip jaminan minimum perlindungan data. Kemudian
diperkuat oleh EU GDPR (2016) mewajibkan pembentukan supervisory authority
dengan memberikan pilihan kepada negara untuk membentuk single atau multi
supervisory authority. Independensi ini
setidaknya diukur dari lima hal: independensi kelembagaan, independensi
komisioner, independensi fungsional, independensi personel, dan independensi
anggaran. Dalam hal kelembagaan,
independensi ini terkait erat dengan keberadaan dan status independen yang
dijamin oleh undang-undang. Kemudian komisioner terkait dengan proses
pengangkatan dan pemberhentian komisionernya, yang harus transparan, bebas
dari pengaruh politik, dan jelas masa jabatannya. Selain itu, komisioner yang
ditunjuk harus memiliki kompetensi profesional yang diperlukan. Sementara independensi
fungsional berkaitan dengan kekuasaan pengambilan keputusan, yang harus
independen dari pengaruh pemerintah maupun sektor swasta. Berikutnya
independensi personel menekankan staf otoritas harus dapat menahan diri dari
tindakan yang tak sesuai dengan tugas mereka sebagai supervisor. Sedangkan terkait
independensi anggaran, harus dipastikan bahwa otoritas dilengkapi sumber daya
anggaran yang diperlukan untuk pelaksanaan tugas dan wewenang mereka secara
efektif (Kuner, Bygrave, dan Docksey (ed), 2020). Penerapannya
di Indonesia Dengan persyaratan dan
pengalaman praktik di beberapa negara di atas, setidaknya ada dua skenario
yang dapat dikembangkan di Indonesia, dalam pembentukan otoritas perlindungan
data pribadi, di luar kementerian. Pertama dengan pembentukan
lembaga baru dengan tugas dan fungsi terkait dengan pengawasan dan penegakan
hukum perlindungan data, atau kedua dengan melekatkan tugas dan fungsi
tersebut pada lembaga serupa lainnya. Akan tetapi, ketika dilekatkan pada
lembaga lain yang telah ada, harus dipastikan otoritas ini dibangun sebagai
sebuah kamar yang berbeda dengan sebelumnya. Dalam pembentukan lembaga
negara independen (independent regulatory agency), tantangan terbesarnya
adalah belum tersedianya standar yang jelas dalam pembentukannya, tiap UU
sektoral mengatur secara berbeda (Mochtar, 2017), juga isu efisiensi anggaran
yang menjadi sorotan presiden. Meski pembentukan otoritas
ini semestinya dikeluarkan dari perdebatan efisiensi, mengingat fungsi
altruistik negara yang kian berkembang, sehingga mengharuskan hadirnya
kelembagaan baru untuk mengelolanya (Ackerman, 2000). Selain itu, dalam
penganggarannya, otoritas ini juga dapat ditopang dengan pendapatan negara
bukan pajak, yang berasal dari pelaksanaan fungsi kepatuhan dalam
perlindungan data, serta penerapan denda ketika terjadi pelanggaran hukum
perlindungan data pribadi. Pada akhirnya, mengingat
semakin mendesaknya kehadiran UU Pelindungan Data Pribadi, untuk menjamin
perlindungan hak atas privasi warga negara, pemerintah dan DPR harus segera
mencari titik temu perihal pembentukan otoritas perlindungan data ini.
Praktik terbaik yang diterapkan dalam pembentukan lembaga-lembaga yang telah
ada sebelumnya dapat menjadi rujukan dalam pengembangannya. Sekali lagi, kehadiran
otoritas ini penting, guna menjamin perlindungan data pribadi yang optimal
bagi warga negara, dari praktik-praktik eksploitasi dan penyalahgunaan data
pribadi. ● |
Tidak ada komentar:
Posting Komentar