10 Kritik Koalisi LSM Soal RUU PDP: Diskriminatif Hingga Tak Lengkap

Sanksi pidana

Berdasarkan studi Yayasan Tifa, RUU PDP hanya berorientasi kepada sanksi. "Padahal, terdapat beragam level kesadaran dan kesiapan pengendali dan prosesor data di sektor publik dan privat," kata Koalisi.

Pengaturan mekanisme penegakan berbasiskan sanksi semata tidak akan efektif untuk menumbuhkan kesadaran masyarakat Indonesia mengenai pentingnya PDP.

Mengingat keberagaman kapasitas pelaku pemrosesan data, hasil riset Tifa menemukan bahwa RUU PDP, ujar Koalisi, "seharusnya juga mempertimbangkan pendekatan yang bersifat edukatif, misal melalui konten-konten kreatif di iklan televisi, radio, dan media sosial guna meningkatkan kesadaran mengenai pelindungan data pribadi."

Sanksi denda administratif

RUU PDP dinilai hanya menerapkan denda administratif bagi yang mengalami kerugian materil.

Padahal, Data Pribadi yang diproses tidak sesuai dengan standar minimum kewajiban pemrosesan akan menimbulkan kerugian langsung, seperti penyalahgunaan data pribadi, maupun kerugian tidak langsung, misalnya biaya investigasi, mistrust.

Bagi Subjek Data, pelanggaran terhadap Data Pribadi juga mengakibatkan emotional distress. kerentanan yang dialaminya yang berpotensi menimbulkan diskriminasi, stigma sosial, dan lainnya (Romanosky dan Acquisti, 2009).

"Pengenaan sanksi terhadap ketidakpatuhan pemrosesan Data Pribadi harus juga meliputi biaya-biaya yang bersifat tangible dan intangible, serta potensi kerugian yang akan muncul di kemudian hari," ujar Koalisi.

Hak subjek data

Masalah lainnya ada pada Pasal 15 ayat 1 RUU PDP yang mengatur pengecualian pelaksanaan hak-hak subjek data atas nama kepentingan pertahanan dan keamanan nasional; kepentingan proses penegakan hukum; kepentingan umum dalam rangka penyelenggaraan negara;

Selain itu, ada kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara; atau kepentingan statistik dan penelitian ilmiah.

Menurut studi Tifa (2020) tentang 'Perbandingan Rancangan Undang-undang Perlindungan Data Pribadi dengan Konvensi Eropa 108+ dan GDPR', Koalisi menilai pengecualian di atas "tidak menjunjung tinggi pelindungan hak-hak subjek data".

Pengecualian

Koalisi juga menilai RUU PDP belum memiliki pengaturan khusus bagi usaha berskala kecil. Hal ini berdasarkan Pasal 2 menyatakan bahwa "Undang-Undang ini berlaku untuk Setiap Orang, Badan Publik, dan Organisasi Internasional ...".

Padahal, kapasitas yang berbeda dari skala usaha yang beragam, juga tingkat kematangan industri terkait dalam menjalankan kepatuhan hukum.

Aturan GDPR di Eropa, kata Koalisi, mengatur bahwa organisasi atau perusahaan dengan karyawan kurang dari 250 orang dibebaskan dari kewajiban pengendali data untuk menyimpan rekaman aktivitas pemrosesan.

Batasannya, "kecuali ada risiko terhadap hak dan kebebasan subjek data, pemrosesan tidak sesekali, atau termasuk dalam kategori data khusus atau yang berkaitan dengan hukuman/ pelanggaran pidana."

Otoritas PDP

Poin sorotan selanjutnya adalah independensi otoritas PDP. Indonesia memerlukan otoritas yang memiliki kompetensi sekaligus adil melaksanakan tugas, untuk mengawasi kegiatan pemrosesan data yang dilakukan.

"Oleh karena itu, keberadaan RUU PDP harus memastikan kehadiran Otoritas PDP yang independen. Tanpa otoritas PDP yang independen, Indonesia akan mengalami kesulitan di dalam membangun kepercayaan masyarakat," ujarnya.

Namun KA PDP mengendus Otoritas PDP di Indonesia berada pada kaki pemerintah. Sementara itu, pemerintah akan memiliki dua persona, yaitu sebagai pengawas sekaligus yang diawasi.

Sinkronisasi

Sinkronisasi RUU PDP dengan undang-undang lain juga jadi poin sorotan mengingat banyak pasal yang menyatakan 'pengaturan lebih lanjut sesuai dengan peraturan perundang-undangan'.

"Maka KA-PDP mempertanyakan apakah beragam peraturan perundang-undangan terkait PDP di Indonesia sudah selaras dengan standar pengaturan di RUU PDP dan terlebih lagi dengan standar internasional PDP?" tuturnya.

Sementara itu, hasil riset "Indonesia Menuju Pelindungan Data Pribadi yang Sederhana dan Bermakna" yang dilakukan oleh Yayasan Tifa (2021) menunjukkan RUU PDP diharapkan menjadi payung regulasi yang mengatur isu-isu PDP maka otoritas PDP diharapkan kelak dapat berkoordinasi dengan beragam K/L yang mengatur isu PDP di bidang masing-masing.

Tujuannya, pengendali, pemroses data, dan masyarakat tahu tempat acuan, yaitu satu otoritas yang tunggal, bukan dengan beragam K/L lain terkait PDP, untuk mengurus isu PDP.