Urgensi Lembaga Independen Pengawas Data Pribadi
TAK kurang dari 466 juta data pribadi diduga bocor setelah pengesahan Undang-Undang Pelindungan Data Pribadi (UU PDP) pada 20 September 2022. Lembaga Studi dan Advokasi Masyarakat (Elsam) mencatat jumlah tersebut terdiri atas 44 juta data dari MyPertamina pada November 2022, 15 juta data dari insiden Bank Syariah Indonesia pada Mei 2023, 35,9 juta data dari MyIndihome pada Juni 2023, 34,9 juta data dari Direktorat Jenderal Imigrasi pada Juli 2023, dan, yang terakhir, 337 juta data dari Kementerian Dalam Negeri pada Juli 2023 (Elsam, 2023).
Beberapa insiden tersebut terjadi di tengah upaya pemerintah maupun korporasi mempersiapkan institusi dan kebijakan internalnya. Mereka diberi waktu menjalankan Undang-Undang Pelindungan Data Pribadi paling lambat pada akhir 2024. Masa transisi ini juga mengharuskan penyesuaian berbagai regulasi sektoral agar sejalan dengan prinsip-prinsip yang diamanatkan undang-undang tersebut, termasuk peraturan presiden untuk membentuk lembaga pengawas pelindungan data pribadi.
Periode sekarang sangat krusial untuk menguji seberapa tajam undang-undang tersebut mampu melindungi hak-hak subyek data, terutama jika terjadi kebocoran data. Apakah situasi bertambah baik setelah regulasi ini lahir atau ia hanya akan menjadi macan kertas belaka, mengingat insiden kebocoran data pribadi makin masif justru setelah undang-undang itu terbit. Sayangnya, penegakan hukum terhadap berbagai insiden tersebut malah semakin kendor dan bahkan cenderung dibiarkan.
Transisi Kelembagaan
Salah satu aspek penting untuk mengukur efektivitas legislasi hukum pelindungan data pribadi adalah penegakan hukum yang proaktif dan sistemik yang dijamin oleh keberadaan otoritas pelindungan data yang independen. Sayangnya, kompromi politik pada akhir masa pembahasan rancangan undang-undang itu menghasilkan jalan tengah yang tidak membahagiakan. Otoritas pengawasnya nanti berbentuk lembaga pemerintah non-kementerian, sehingga level independensi lembaga ini sejak awal didesain untuk tidak sepenuhnya independen atau bahkan tidak independen sama sekali.
Pola transisi kelembagaan pada umumnya terjadi dalam tiga generasi (Greenleaf, 2014). Generasi pertama menekankan pada penyediaan mekanisme sanksi dan pemulihan di tingkat nasional. Pada generasi kedua terjadi proses akomodasi terhadap berbagai model penegakan hukum, termasuk melalui pembentukan otoritas pengawas. Adapun pada generasi ketiga akan terjadi pembentukan otoritas pengawas yang independen. Artinya, lembaga ini berada di luar tiga kekuasaan pada sebuah negara (eksekutif, legislatif, yudikatif) sebagai sebuah organ yang baru.
Berkaca pada pola tersebut, pada periode pertama Indonesia telah melahirkan berbagai regulasi sektoral di lebih dari 32 peraturan perundang-undangan (Elsam, 2017). Setelah Undang-Undang Pelindungan Data Pribadi terbit, Indonesia maju ke generasi kedua dengan meletakkan lembaga pengawas atau otoritas yang separuh badannya berada dalam kekuasaan eksekutif. Model kelembagaan ini memang tertinggal satu generasi daripada negara-negara lain yang aturan pelindungan data pribadinya sudah maju.
Kendati demikian, lembaga pengawas yang diamanatkan undang-undang itu akan dilekati fungsi regulator, fungsi pengawasan, penegakan hukum administrasi, hingga penyelesaian sengketa di luar pengadilan. Karena itu, independensi lembaga tersebut mesti diupayakan, kendati secara kelembagaan tidak akan masuk kluster lembaga negara yang independen seperti halnya Komisi Pemberantasan Korupsi.
Pada masa transisi, Kementerian Komunikasi dan Informatika masih memegang kendali pengawasan terhadap pelaksanaan prinsip-prinsip pelindungan data pribadi. Insiden pelanggaran pada masa transisi akan sekaligus menguji apakah Kementerian tetap layak mengampu tugas pengawasan. Ini mengingat amanat undang-undang itu membuka dua opsi lembaga nonkementerian, yakni yang bertanggung jawab langsung kepada presiden atau bertanggung jawab kepada presiden melalui menteri. Keduanya memiliki implikasi yang berbeda, paling tidak terhadap pembentukan kesekretariatan, eselonisasi, dan anggaran.
Sayangnya, skema pertanggungjawaban yang kedua muncul dalam rancangan peraturan pelaksana UU PDP. Kepercayaan diri Kementerian Komunikasi untuk membentuk lembaga pengawas dengan cara ini justru bersamaan dengan kegagalannya dalam mengatasi berbagai macam insiden. Masyarakat hingga saat ini tidak menerima hasil investigasi apa pun mengenai berbagai insiden ini, sementara pengendali yang gagal melindungi data pribadi juga tidak diberi sanksi. Bukankah ide meletakkan tanggung jawab lembaga pengawas PDP di bawah kementerian ini jadi tidak relevan dan dipaksakan? Apalagi jika Kementerian juga melanggar UU PDP, lembaga ini nantinya menjatuhkan sanksi kepada induk semangnya sendiri. Situasi canggung seperti itu semestinya dilihat sebagai ruang-ruang yang akan memicu konflik kepentingan sehingga wajib dihindari.
Desain Pertanggungjawaban
Insiden kebocoran di berbagai sektor saat ini akan bermakna bila para aktor dalam tata kelola pelindungan data pribadi membenahi segala lini. Sebab, kejadian-kejadian tersebut telah memberikan arsiran penting pada beberapa masalah krusial dalam pelaksanaan UU PDP. Kebocoran data yang melibatkan BUMN, misalnya, harus diperjelas apakah akan berada di kluster publik atau swasta.
Perlu juga kejelasan soal kapan dimulainya masa tenggat notifikasi. Apakah seketika atau sehari setelah insiden? Beberapa hal tersebut akan mempengaruhi cara lembaga pengawas bekerja.
Yang paling penting adalah memikirkan model kelembagaan otoritas pengawas seperti apa yang relevan bagi Indonesia. Ini mengingat undang-undang itu berlaku untuk badan publik dan privat sekaligus.
Solusi terbaik pembentukan lembaga pengawas adalah mendekonsentrasikan kewenangan kementerian atau lembaga yang selama ini mengurusi tata kelola pelindungan data pribadi dan Internet secara umum. Jika lembaga negara yang ada sebelumnya tidak mampu bekerja secara optimal, fungsi-fungsi kekuasaan lembaga eksekutif, legislatif, dan yudikatif akan tepat jika diletakkan menjadi fungsi organ tersendiri atau bahkan independen (Mochtar, 2021). Paling tidak fungsi-fungsi yang ada pada lembaga pengawas ini nantinya harus tetap independen, termasuk tidak bertanggung jawaban kepada kementerian tertentu. (*)
Parasurama Pamungkas, Peneliti Lembaga Studi dan Advokasi Masyarakat (Elsam)