Bisnis.com, JAKARTA — Lembaga Studi dan Advokasi Masyarakat (ELSAM) menyoroti kesadaran dan praktik pelindungan data pribadi di Indonesia yang tampak tak-kunjung membaik kendati Undang-Undang No. 27/2022 tentang Pelindungan Data Pribadi (UU PDP) telah disahkan.
Hal itu diungkapkan ELSAM bertepatan dengan peringatan Hari Privasi yang setiap 28 Januari diperingati secara global atau setidaknya oleh 50 negara di dunia, termasuk Qatar, Nigeria, Amerika Serikat, Kanada, dan 47 negara anggota Dewan Eropa.
Peringatan Hari Privasi itu sendiri merupakan pengingat akan penandatanganan Konvensi Perlindungan Individu sehubungan dengan Pemrosesan Otomatis Data Pribadi, oleh Dewan Eropa pada 28 Januari 1981 (Konvensi 108). Selain itu, peringatan tersebut dimaksudkan untuk meningkatkan kesadaran dan mempromosikan praktik terbaik privasi dan perlindungan data.
Bertepatan dengan Hari Privasi, ELSAM mengingatkan implementasi UU PDP yang sejak 20 September 2022 disahkan dan mulai berlaku sejak tanggal diundangkan yakni 17 Oktober 2022.
“Sayangnya, satu tahun setelah berlakunya UU PDP, kesadaran dan praktik pelindungan data pribadi di Indonesia tampak tak-kunjung membaik,” jelas Wahyudi Djafar, Direktur Eksekutif ELSAM, dalam keterangan resmi yang diterima Bisnis, Minggu (28/1/2024).
Wahyudi memerinci, sejak berlakunya UU PDP hingga akhir 2023, ELSAM mencatat, sedikitnya terdapat dugaan pengungkapan ilegal terhadap 668 juta data pribadi, yang berasal dari 6 pengendali data, baik badan baik publik maupun privat.
Baca Juga
Dia memerinci dugaan pelanggaran hukum akibat pengungkapan data pribadi tersebut antara lain 44 juta data dari aplikasi MyPertamina pada November 2022; 15 juta data dari insiden BSI pada Mei 2023; 35,9 juta data dari MyIndihome pada Juni 2023; 34,9 juta data dari Direktorat Jenderal Imigrasi pada Juli 2023; 337 juta data Kemendagri pada Juli 2023; dan terakhir 252 juta data dari dugaan kebocoran sistem informasi daftar pemilih KPU pada November 2023.
“Rentetan kasus dugaan insiden kebocoran data pribadi di atas, menunjukkan rendahnya atensi pengendali data yang berasal dari badan publik, untuk memenuhi standar kepatuhan pelindungan data pribadi,” tegasnya.
Badan publik, kata Wahyudi, khususnya institusi pemerintah sangat menekankan pada inovasi, sebagai upaya untuk mentransformasi pelayanan publik berbasis digital, yang berimplikasi pada penambangan data pribadi warga negara secara masif.
Namun, ELSAM melihat rendahnya langkah-langkah untuk memastikan adanya pengaman (safeguard) dalam pemrosesan data yang dilakukan, sebagai implementasi dari UU PDP.
“Situasi ini berbeda dengan pola yang terjadi di banyak negara dengan hukum pelindungan data pribadi yang telah mature, ketika risiko privasi telah bergeser dari aktor publik ke aktor privat, yang melibatkan berbagai platform ekonomi,” jelasnya.
SALAH PAHAM IMPLEMENTASI UU PDP
Kondisi tersebut, kata Wahyudi, diperparah dengan kesalahpahaman dalam memahami keberlakuan UU PDP. Beberapa pernyataan publik pemerintah misalnya menyebutkan, UU PDP baru berlaku pada 2024 atau dua tahun setelah diundangkan.
Padahal, jelasnya, UU PDP, khususnya dalam Pasal 74, memberikan waktu dua tahun bagi pengendali dan prosesor data untuk menyiapkan standar kepatuhan terhadap UU PDP. Jangka waktu dua tahun tersebut juga termasuk waktu bagi pemerintah untuk menyiapkan berbagai regulasi teknis, dalam bentuk peraturan pemerintah tentang implementasi UU PDP, dan pembentukan lembaga pengawas PDP.
“Pernyataan ini muncul akibat kekeliruan dalam membaca ketentuan peralihan dan ketentuan penutup UU PDP,” jelas Wahyudi.
Hal itu, sambung Wahyudi, kemudian menjadi alasan untuk tidak bertindak secara layak, dalam bentuk investigasi, ketika terjadi dugaan insiden kebocoran data pribadi. Alhasil, insiden serupa terus berulang karena tiadanya penyelesaian yang tuntas setiap kali terjadi kebocoran.
Selain itu, luasnya klausul pengecualian dalam UU PDP juga acap disalah-tafsirkan oleh institusi pemerintah, untuk mengecualikan diri dari kewajiban kepatuhan terhadap UU PDP. Klausul pengecualian itu termuat dalam Pasal 15 dan 50 UU PDP dengan menggunakan frasa “untuk kepentingan umum dalam rangka penyelenggaraan negara.”