Undang-Undang (UU) Perlindungan Data Pribadi (PDP) yang baru saja disahkan oleh Dewan Perwakilan Rakyat (DPR) dan pemerintah diharapkan menjadi langkah awal dalam mengatasi permasalahan kebocoran data pribadi di Indonesia. Pengesahan UU ini juga terjadi di tengah fenomena kebocoran data pejabat tinggi negara oleh peretas Bjorka yang sempat menjadi sorotan publik.
UU PDP terdiri dari 16 Bab dan 76 Pasal yang mengatur berbagai aspek mendasar terkait perlindungan data pribadi, termasuk hak individu atas data pribadinya, ketentuan pemrosesan data, kewajiban pengendali data, rencana pembentukan lembaga pengawas, serta larangan dan sanksi terkait pelanggaran data.
Meski penting, sejumlah panel ahli menilai UU ini masih memiliki kelemahan yang berpotensi mengancam keterbukaan informasi dan rawan menjadi aturan yang tidak efektif, mirip dengan pengalaman UU Informasi dan Transaksi Elektronik (UU ITE). Selain itu, pemerintah menghadapi tantangan besar dalam menyiapkan infrastruktur pengelolaan data yang komprehensif bagi seluruh masyarakat Indonesia.
Tantangan Implementasi dan Kesadaran Publik
Ika Karlina Idris, Associate Professor Kebijakan Publik dan Manajemen di Monash University Indonesia, menyatakan terdapat dua pekerjaan rumah utama pasca pengesahan UU PDP. Pertama, implementasi UU ini akan membutuhkan biaya besar karena melibatkan sektor swasta dan korporasi, termasuk industri perbankan, rumah sakit, aplikasi layanan publik, serta platform digital yang selama ini mengelola big data masyarakat namun dinilai lalai dalam perlindungan data.
Kedua, pemerintah harus memastikan seluruh lapisan masyarakat memahami aturan ini. Mengingat budaya kolektif di Indonesia yang cenderung memiliki konsep privasi lebih longgar dibanding masyarakat individualis, banyak pihak dapat melanggar UU ini tanpa sengaja, misalnya sekolah yang mengunggah aktivitas siswa di media sosial tanpa menyadari pelanggaran terhadap data anak yang termasuk kategori khusus dalam UU PDP.
Perlindungan Khusus untuk Data Anak dan Kelompok Rentan
Faiz Rahman, Dosen Hukum Tata Negara dan Peneliti di Center for Digital Society Universitas Gadjah Mada, menyoroti perlindungan data pribadi bagi kelompok rentan, terutama anak-anak dan penyandang disabilitas. UU PDP mengkategorikan data anak sebagai data pribadi yang bersifat spesifik dan berisiko tinggi, sehingga pemrosesannya harus mendapat persetujuan orang tua atau wali serta dilaksanakan secara khusus.
Namun, UU belum mengatur secara tegas bagaimana penyelenggaraan khusus tersebut harus dilakukan, sehingga membuka potensi penyalahgunaan data anak oleh pihak-pihak seperti media sosial dan platform pendidikan. Selain itu, belum ada standar usia yang jelas untuk definisi anak dalam UU ini, yang berpotensi menimbulkan interpretasi ganda karena ketidaksesuaian dengan peraturan lain seperti UU Perlindungan Anak dan KUH Perdata.
Untuk penyandang disabilitas, UU juga mengatur pemrosesan data harus mendapat persetujuan mereka, namun praktik implementasinya masih belum jelas dan perlu perhatian khusus.
Faiz juga menyoroti penghapusan beberapa jenis data sensitif seperti orientasi seksual dan pandangan politik dari daftar data pribadi spesifik, yang berisiko membuka ruang diskriminasi terhadap kelompok minoritas. UU PDP juga tidak memasukkan prinsip non-diskriminasi sebagai asas pelindungan data, yang seharusnya menjadi perhatian penting.
Kebutuhan Lembaga Pengawas yang Kuat dan Independen
Derry Wijaya, Associate Professor Program Data Science di Monash University Indonesia, menegaskan bahwa meskipun UU PDP merupakan langkah awal yang positif dalam kebijakan keamanan siber, efektivitas penegakan hukum sangat bergantung pada implementasi di lapangan. Indonesia saat ini berada di peringkat 83 dari 160 negara dalam Indeks Keamanan Siber Nasional, yang mencerminkan kurangnya otoritas pengawas dan manajemen krisis terkait insiden keamanan siber.
UU PDP mengatur pembentukan lembaga pengawas data yang harus independen dan mengawasi baik sektor privat maupun badan publik. Lembaga ini diharapkan dapat melakukan audit, dokumentasi, dan laporan berkala untuk memastikan pelaksanaan kebijakan keamanan siber dan perlindungan hak pemilik data, termasuk pengelolaan persetujuan (consent management).
Penting pula lembaga ini memiliki manajemen krisis yang jelas untuk menghadapi insiden siber, memberikan jalur pemulihan keamanan data bagi korban, serta mekanisme pengaduan dan ganti rugi. Hal ini untuk menghindari kebingungan masyarakat apabila terjadi pelanggaran data di masa depan.
Dengan berbagai catatan dan tantangan tersebut, UU PDP perlu diawasi dan disempurnakan secara berkelanjutan agar mampu melindungi data pribadi masyarakat Indonesia secara efektif dan berkeadilan.
