Pengesahan RUU Perlindungan Data Pribadi, Sudah Layak Kah?

Gustav Radburch dalam Rephilosofische hal 58 memperkenalkan 3 teori tujuan hukum, yakni keadilan, kepastian, dan kemanfaatan. Sejalan dengan hal tersebut, pengesahan RUU Pelindungan Data Pribadi sejatinya merupakan respon yang tidak mencerminkan kemanfaatan itu sendiri sebab di Indonesia telah terdapat pengaturan-pengaturan secara sektoral yang lebih khusus dalam mengatur pelindungan data pribadi. Sehingga pengesahan RUU Pelindungan Data Pribadi yang jauh dari kata sempurna merupakan hal yang tidak diperlukan. 

Sinta Dewi Rosadi, seorang ahli hukum siber Indonesia mendefinisikan data pribadi sebagai penanda personal seseorang yang bersifat individual. Sejalan dengan, Alan Westin seorang pakar hak privasi Columbia University, yang menyatakan bahwa data pribadi merupakan hak privasi yang melekat pada diri setiap manusia. Maka dalam hal terjadinya kebocoran data pengguna elektronik telah terjadi penderogasian hak privasi seseorang yang mana telah dijamin dan dilindungi dalam Pasal 28 G ayat (1) Konstitusi, bahwa negara wajib memberikan pelindungan penuh terhadap data pribadi masyarakat.

Dimana, hal ini sejalan dengan konsep Cost and Benefit Analysis sebagai alat analisis peraturan perundang-undangan, bahwa untuk mengatasi masalah bukanlah dengan membentuk aturan baru, melainkan memaksimalkan peraturan yang sudah ada, yaitu dengan mempertahankan pengaturan pelindungan data pribadi secara sektoral diantaranya PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Permenkominfo No. 20 Tahun 2016 tentang Pelindungan Data Pribadi Dalam Sistem Elektronik, kemudian mengimprovisasi pelaksanaannya daripada mengesahkan sebuah RUU. Tepatnya, RUU Pelindungan Data Pribadi yang dikeluarkan pemerintah per tanggal 24 Januari 2020.Adapun ketidaksetujuan penulis, dilandasi oleh 2 poin urgensi, yakni:

Pengaturan PDP harus dibuat secara sektoral untuk lebih menjawab kebutuhan dari masing-masing sektor, sebab RUU PDP hanya sebuah upaya unifikasi tanpa adanya penambahan hal substansial.

Permasalahan dalam pelindungan data pribadi di Indonesia hanyalah mengenai implementasi dari peraturan yang telah ada.

Lebih lanjut Nonet & Zelznick, dalam teori hukum responsifnya mengatakan bahwa hukum sejatinya tidak bersifat reaktif, melainkan harus bersifat responsif, artinya, hukum harus mampu memberikan jawaban secara proporsional sesuai dengan permasalahan yang dihadapi. Sejalan dengan hal ini, pengesahan RUU PDP sebagai produk reaktif pemerintah dalam upaya pencegahan kebocoran data pengguna elektronik bukan merupakan jawaban yang proporsional, sebab saat ini telah banyak peraturan perundang-undangan yang mengatur secara komprehensif mengenai pencegahan kebocoran data pengguna elektronik. 

Fakta saat ini, dimana pengaturan mengenai pelindungan data pribadi telah diatur secara komprehensif dalam peraturan perundang-undangan saat ini, sesuai dengan apa yang dibutuhkan oleh masing-masing sektor. Yang nyatanya, pengaturan saat ini pun masih lebih baik dibandingkan RUU Prlindungan Data Pribadi. Misalnya diantara lain Pasal 7 UU No.36 Tahun 2009 tentang Kesehatan (Selanjutnya disebut dengan UU Kesehatan) yang mensyaratkan adanya hak bagi setiap orang untuk mendapatkan informasi dan edukasi tentang data kesehatannya. 

Yang didukung dengan sifat data-data tersebut adalah rahasia, sebagaimana termaktub pada Pasal 57 UU Kesehatan. Kemudian apabila kita melihat di dalam UU  No.10 Tahun 1998 tentang Perubahan atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan (Selanjutnya disebut dengan UU Perbankan) telah diatur mengenai kewajiban Bank untuk merahasiakan data Nasabah yang tertuang dalam Pasal 40 ayat (1) UU Perbankan.

Tidak hanya itu saja pada UU No.24 tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (Selanjutnya disebut dengan UU Adminduk), yakni di Pasal 2  juga telah dinyatakan secara tegas dan meyakinkan bahwa setiap penduduk berhak untuk memperoleh pelindungan atas data pribadinya. Pun dalam UU Adminduk dalam Pasal 84 juga telah disebutkan secara rinci, apa saja data pribadi yang wajib dilindungi, seperti sidik jari dan iris mata. Dalam Permenkominfo Nomor 5 tahun 2020, sidik jari dan iris mata termasuk dalam data pribadi spesifik.

Pengaturan yang bersifat sektoral tersebut sangat ideal mengingat kompleksitas dari pengaturan data pribadi yang berbeda di masing-masing sektor. Pun pengesahan RUU PDP tidak menunjukkan kemanfaatan sebab mengenai legal basis, di dalam RUU PDP, Pasal 18 ayat (1) disebutkan bahwa persetujuan dari subjek data adalah satu-satunya legal basis bagi Prosesor data untuk dapat memproses data pribadinya.

Namun, saat ini dalam PP Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE), di dalam Pasal 14 ayat (3) dan (4) telah mengatur bahwa legal basis nya tidak hanya persetujuan yang sah dari Subjek data, melainkan juga ada 6 legal basis lainnya, antara lain adanya pemenuhan pelindungan kepentingan yang sah terhadap subjek data dan pemenuhan kewenangan pengendali data berdasarkan peraturan perundang-undangan.