Analisis Hukum RUU Perlindungan Data Pribadi (PDP)

Akhir-akhir ini ancaman kebocoran data pribadi kian mengemuka dengan semakin 
berkembangnya sektor e‐commerce di Indonesia. Gerakan 1000 Start Up yang diluncurkan oleh Presiden
Joko Widodo, sebagai salah satu pilar dalam pengembangan ekonomi digital, setidaknya telah berhasil
mendorong tumbuhnya empat startup Unicorn yang berasal dari Indonesia: Go‐Jek, Tokopedia,
Traveloka, dan Bukalapak adalah sebagian diantaranya. 

Tumbuhnya startup digital ini juga telah memicu pengumpulan data pribadi konsumen secara besar‐
besaran, tidak hanya data pribadi, tetapi juga data perilaku (belanja/aktivitas) dari konsumennya.

Mengacu pada term of services sejumlah e‐commerce di Indonesia, mereka mengumpulkan data pribadi
konsumen yang menjadi targetnya. Bahkan, hampir semua aplikasi bila ingin dijalankan oleh calon
penggunanya maka akan memaksa user-nya untuk memberikan akses ke data lainnya, misalnya akses
identitas diri, daftar kontak, lokasi, SMS, foto/media/file dan lain lainnya.

Sehingga, bila user betul-betul ingin menjalankan aplikasi tersebut tidak memiliki pilihan kecuali harus
menyetujui akses terhadap data-data tersebut untuk diberikan kepada pihak yang memintanya.
Sayangnya, belum ada UU Perlindungan Data Pribadi berakibat pada tidak adanya standarisasi prinsip
perlindungan data.

Disisi lain pengetahuan masyarakat mengenai privasi data pribadi ini masih sangat kurang, beberapa
orang tidak sadar melakukan hal-hal yang sangat beresiko terjadinya pembocoran data seperti membuat
akun sosial media untuk anaknya yang baru lahir, hal itu sangat rentan dalam penggunaan foto, data
oleh seseorang yang tidak bertanggung jawab.

Beberapa kasus sempat mencuat terjadi pada bulan mei 2020 yang lalu, dimana tokopedia, salah satu
website online shop terbesar di Indonesia, dibobol oleh seorang hacker yang mengakibatkan bocornya
data  91 juta data penggunanya. Data yang berhasil dibobol adalah seperti nama pengguna, alamat e-
mail, nomor telepon dan lain lainnya.

Meski peretas tidak mendapatkan data yang berkaitan dengan keuangan, namun peretas ini dapat
menjual datanya seharga $5000 dollar atau 70 juta rupiah dalam darkweb, karena peretas tahu bahwa
data pribadi bisa digunakan untuk bermacam-macam penipuan online yang akhir akhir ini marak terjadi
di Indonesia.

Selain kasus diatas, pernah terjadi data pribadi milik Dinas Kependudukan dan Pencatatan Sipil
(Dukcapil) di bawah Kementerian Dalam Negeri pernah dijual dengan berbagai harga dan dengan paket
yang bisa disesuaikan di situs friendmarketing.com. 

Menurut laporan berita, tersangka yang ditangkap ditemukan memiliki data dari 50.854 keluarga,
termasuk 1.162.864 Nomor Induk Kependudukan (NIK), 761.435 nomor telepon seluler, 129.421 nomor
kartu kredit dan 64.164 nomor rekening (VOI, 2020).
Menurut International Business Machines Corporation (IBM), kerugian yang  terjadi akibat pembobolan
data mencapai angka 3.86 miliar dollar atau 44 trilliun rupiah per tahunnya. Tentu saja pembobolan data
pribadi tidak boleh berlangsung terus menerus tanpa adanya upaya untuk bisa melindunginya.

Perlindungan Data Pribadi di Indonesia

Indonesia sebagai negara modern tentu memerlukan teknologi dan informasi dalam mengikuti
perkembangan ekonomi. Informasi mengenai individu selalu dikelola oleh pemerintah dan swasta,
tetapi munculnya era komputer menciptakan ancaman yang lebih besar bagi privasi individu tersebut,
serta kemungkinan individu menderita kerugian sebagai akibat dari ketidaktelitian atau pembocoran
informasi akan jauh lebih besar.

Kemajuan teknologi dan informasi yang pesat ini juga memberi dampak negatif, salah satunya ialah
pelanggaran terhadap data pribadi dan keamanan informasi. Era digital yang tengah berlangsung ini
telah memicu ledakan pertumbuhan data pribadi  yang dibuat, disimpan dan ditransmisikan pada
komputer, situs internet, bahkan sosial media.

Namun ternyata dalam praktiknya, telah terjadi banyak pelanggaran yang dilakukan baik oleh
pemerintah maupun pihak swasta, sehingga diperlukan pengaturan perlindungan data pribadi untuk
mencegah terjadinya penyalahgunaannya. 

Sejatinya, sudah menjadi tugas negara untuk melindungi masyarakat dalam menghadapi permasalahan
tersebut sebagaimana termaktub dalam konstitusi kita pada: Pasal 28 G ayat (1): “Setiap orang berhak
atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah
kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat
atau tidak berbuat sesuatu yang merupakan hak asasi.”

Selain itu secara mendasar diatur pula pada  Pasal 28 H ayat (4):“Setiap orang berhak mempunyai hak
milik pribadi dan hak milik tersebut tidak boleh diambil alih secara sewenang–wenang oleh siapa pun”

Meskipun sudah ada ketentuan dasar tentang perlindungan data pribadi di Indonesia namun
implementasinya masih belum memenuhi kebutuhan yang ada.Saat ini  aturan implementasi mengenai
perlindungan data pribadi di Indonesia masih lemah dan bersifat umum karena aturannya termaktub
dalam beberapa peraturan perundang-undangan yang terpisah dan bersifat sektoral.

Beberapa aturan perundang-undangan yang terpisah tersebut antara lain terdapat dalam Undang-
Undang-Undang Nomor 43 Tahun 2009 tentang Kearsipan, Undang-Undang Nomor 8 Tahun 1997
tentang Dokumen Perusahaan, Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas Undang-
Undang Nomor 7 Tahun 1992 tentang Perbankan, Undang-Undang Nomor 36 Tahun 2009 tentang
Kesehatan, Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi (UU Telekomunikasi), dan
Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan Atas Undang-Undang Nomor 23 Tahun 2006
tentang Administrasi Kependudukan (UU Adminduk).

Selain itu terdapat pula pengaturannya terdapat pula pada  Undang Nomor 11 Tahun 2008 tentang
Informasi dan Transaksi Elektronik (UU ITE). Pada umumnya beberapa ketentuan dalam Undang Undang
tersebut hanya mengatur bagian bagian tertentu saja terkait dengan perlindungan data pribadi sebagai
contoh perlindungan data pribadi diatur dalam beberapa pasal di UU ITE. 
UU ITE belum memuat aturan perlindungan data pribadi secara tegas dan komprehensif. Meskipun
demikian, secara tidak langsung Undang-undang ini melahirkan pemahaman baru mengenai
perlindungan terhadap keberadaan suatu data atau informasi elektronik baik yang bersifat umum
maupun pribadi. 

Perlindungan data pribadi dalam sebuah sistem elektronik di UU ITE meliputi perlindungan dari
penggunaan tanpa izin, perlindungan oleh penyelenggara sistem elektronik, dan perlindungan dari akses
dan interferensi ilegal.

Dengan demikian UU ITE masih sangat tidak signifikan dalam mengatur penggunaan data pribadi karena
pasal yang ada dalam UU ITE tersebut hanya merupakan ketentuan umum dan tidak menjelaskan
berbagai isu masalah yang banyak di bicarakan di level internasional saat ini.

Jadi dapat dipahami berdasarkan deskripsi di atas bahwa aturan berkenaan dengan Perlindungan Data
Pribadi Indonesia masih bersifat umum dan terletak terpisah-pisah dalam beberapa aturan undang-
undangan yang ada

Untuk menjembatani persoalan ini,Pemerintah melalui Kementerian Komunikasi dan Informasi

(Kemenkominfo) telah berusaha membuat ketentuan hukum yaitu dengan dikeluarkannya Peraturan
Menteri Kominfo (Permen Kominfo) Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam
Sistem Elektronik.

Permen PDP ditetapkan 7 November 2016, diundangkan dan berlaku sejak 1 Desember 2016 yang lalu.
Ruang lingkup Permen PDP ini mencakup perlindungan terhadap perolehan, pengumpulan, pengolahan,
penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan
pemusnahan data pribadi, sebagaimana yang diatur dalam Pasal 2 ayat (1) Permen PDP.

Landasan dari dikeluarkannya  Permen ini adalah untuk memberikan penghormatan terhadap data
pribadi sebagai privasi seseorang. Privasi yang dimaksudkan disini, merupakan hak pemilik data pribadi
untuk menyatakan boleh atau tidaknya data pribadi miliknya untuk diketahui dan diakses pihak-pihak
yang bersangkutan, selama diatur oleh peraturan perundang-undangan. 

Hal ini tak lain bertujuan untuk memberikan kenyamanan dan kepercayaan dari pemilik data pribadi
ketika data tersebut bocor. Meskipun telah adan Permen tentang PDP ternyata masih banyak lingkup
dalam Perlindungan Data Pribadi yang belum terakomodir dalam pengaturannya. Terutama di jenis-jenis
data pribadi yang tidak disebutkan dalam peraturan tersebut. 

Dalam perjalanannya pelaksanaan dari Permen PDP tersebut memang tidak efektif karena masih banyak
permasalahan yang belum diatur didalamnya.Permen PDP terbukti hanya menggambarkan konsep
perlindungan data pribadi secara general saja. 

RUU Perlindungan Data Pribadi

Belum adanya peraturan yang mengatur secara komprehensif mengenai perlindungan data pribadi telah
mendorong pemerintah melalui Kominfo untuk menyusun RUU Perlindungan Data Pribadi. RUU PDP
dinilai sangat penting untuk melindungi hak warga Negara, sehingga RUU PDP sudah mulai diusulkan
sejak tahun 2014 yang lalu. 
Sejak mulai dibicarakan tahun 2014, pembahasan RUU PDP sudah ditarget untuk bisa dirampungkan 
sebelum berakhirnya periode DPR RI 2014-2019 namun target ini ternyata tidak tercapai dan RUU PDP
belum berhasil disahkan. Pada tahun 2020, RUU PDP masuk Prolegnas untuk segera diselesaikan
pembahasannya, namun pada kenyataannya  masih belum kelar juga.

Memasuki tahun 2021, RUU PDP kembali dimasukkan kedalam salah satu RUU Prolegnas 2021.Rapat
paripurna DPR RI hari Selasa (23/3/2021) telah mengesahkan 33 RUU yang masuk Prolegnas Prioritas
tahun 2021, dimana salah satunya adalah RUU Perlindungan Data Pribadi (PDP) 

Menurut anggota Komisi I DPR RI Fraksi Golkar, Bobby Rizaldy, UU PDP nanti tidak hanya mengatasi
masalah kebocoran data di platform digital. "Yang banyak diperdebatkan di publik tentang UU PDP ini
adalah platform digital. Padahal trafik di platform digital itu hanya bagian dari UU PDP," kata Bobby
dalam program Sapa Indonesia sebagaimana dikutip  KompasTV, Selasa (23/3/2021). 

Adapun ujuan utama daripada RUU  PDP  adalah melindungi hak warga terkait data pribadi mereka
supaya tidak digunakan di luar keinginan atau kewajiban mereka baik oleh pihak swasta maupun
pemerintah.

Perlindungan tersebut memungkinkan setiap warga bisa mengetahui tujuan pengumpulan data pribadi,
apakah akan dijual ke pihak ketiga? Mereka pun akan diberi pilihan untuk bisa menolaknya. Selain itu,
warga bisa meminta perusahaan menghapus data pribadi yang sudah diberikan.

RUU PDP menjadi salah satu rancangan undang-undang yang pengesahannya sangat dinantikan
masyarakat. Apalagi setelah beberapa kasus bocornya data pengguna di berbagai platform dan lembaga
pemerintah yang beruntun terjadi tahun lalu.

RUU Perlindungan Data Pribadi,materinya kurang lebih mengadopsi materi‐materi yang ada pada EU
GDPR (Europian Union-General Data Protection Regulation atau Regulasi Perlindungan Data) adalah
regulasi dalam hukum Uni Eropa (UE) yang mengatur perlindungan data pribadi di dalam maupun di luar
Uni Eropa)

RUU PDPt erdiri dari 15 Bab dan 74 Pasal. RUU ini mengatur mulai dari Ketentuan Umum, Jenis Data
Pribadi, Hak Pemilik Data Pribadi, Pemrosesan Data Pribadi, Kewajiban Pengendali dan Prosesor Data
Pribadi dalam Pemrosesan Data Pribadi, Transfer Data Pribadi, Larangan dalam Penggunaan Data
Pribadi, Pembentukan Pedoman Perilaku Pengendali Data Pribadi, Penecualian Terhadap Perlindungan
Data Pribadi, Penyelesaian Sengketa, Kerja Sama Internasional, Peran Masyarakat, Ketentuan Pidana,
Ketentuan Peralihan, dan Ketentuan Penutup.

Dikatakan di dalamnya, “Undang‐Undang ini berlaku untuk setiap Orang, Badan Publik, Pelaku Usaha,
dan organisasi/institusi yang melakukan perbuatan hukum sebagaimana diatur dalam Undang‐Undang
ini, baik yang berada di wilayah hukum Indonesia maupun di luar wilayah hukum Indonesia, yang
memiliki akibat hukum di wilayah hukum Indonesia dan/atau di luar wilayah hukum Indonesia dan
merugikan kepentingan Indonesia”.

Dalam RUU ini, data pribadi ditafsirkan sebagai: “setiap data tentang seseorang baik yang
teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya
baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non elektronik”. 
Data pribadi dibedakan menjadi dua kategori: data pribadi yang bersifat umum, dan data pribadi yang
bersifat spesifik (sensitive). Sayangnya dalam rancangan ini, tidak disebutkan dengan detail mengenai
jenis‐jenis data pribadi yang masuk dalam kualifikasi spesifik/sensitive, hanya dikatakan ditetapkan
sesuai dengan peraturan perundang‐undangan. Penerapan UU ini akan mengikuti asas extra‐teritorial
jurisdiction. 

Adapun jenis-jenis data pribadi menurut Pasal 3 RUU Perlindungan Data Pribadi antara lain:

1. Data Pribadi yang bersifat umum; dan

2. Data Pribadi yang bersifat spesifik.
3. Data Pribadi yang bersifat umum sebagaimana dimaksud pada ayat (1) huruf a meliputi:
4. nama lengkap;
5. jenis kelamin;
6. kewarganegaraan;
7. agama; dan/atau
8. data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
9. Data Pribadi yang bersifat spesifik sebagaimana dimaksud pada ayat (1) huruf b meliputi:
10. data dan informasi kesehatan;
11. data biometrik;
12. data genetika;
13. kehidupan/orientasi seksual;
14. pandangan politik;catatan kejahatan;
15. data anak;
16. data keuangan pribadi; dan/atau
17. data lainnya sesuai dengan ketentuan peraturan perundang undangan.

Transfer data dimungkinkan dilakukan baik di dalam negeri, maupun keluar negeri, dengan sejumlah
persyaratan. Jika di dalam negeri, data controller dan data processor harus memastikan perlindungan
terhadap data‐data pribadi tersebut, sesuai dengan ketentuan peraturan perundang‐undangan. 

Sementara jika data transfer dilakukan keluar Indonesia, pengendali data harus terlebih dahulu meminta
dan memperoleh persetujuan tertulis dari Pemilik Data Pribadi untuk mentransfer Data Pribadi yang
diprosesnya kepada pihak ketiga di luar wilayah hukum Indonesia. 

Selain itu, transfer data pribadi keluar negeri, juga hanya dimungkinkan jika: (a) negara atau organisasi
internasional tersebut memiliki tingkat pelindungan Data Pribadi yang setara atau lebih tinggi dari UU
ini; (b) terdapat kontrak antara Pengendali Data Pribadi dengan pihak ketiga di luar wilayah Indonesia
dengan memperhatikan aspek pelindungan Data Pribadi; dan/atau (c) terdapat perjanjian internasional
antarnegara.

Pengguna data pribadi memiliki kewajiban untuk menjaga kerahasiaan data pribadi yang diperoleh,
dikumpulkan, diolah, dan dianalisisnya. Juga wajib menggunakan data pribadi sesuai kebutuhan
pengguna saja, serta melindungi data pribadi beserta dokumen yang memuat data pribadi serta
bertanggung jawab atas data pribadi yang terdapat dalam penguasaannya.

Beberapa poin penting dalam RUU PDP yaitu kedaulatan data, perlindungan terhadap pemilik data
pribadi sekaligus hak-haknya, dan kewajiban pengguna data pribadi.  Dengan demikian, berbagai
penyimpangan, penyalahgunaan, dan kesewenangan penggunaan data pribadi bisa diberi sanksi. 
Kebocoran data yang dialami pengguna Facebook tahun lalu menjadi dasar atau menjadi pukulan bagi
pemerintah Indonesia agar secepatnya mengesahkan undang-undang yang mengatur mengenai hal ini.
Maka dari itu dapat disimpulkan bahwa perlindungan data pribadi di Indonesia belum maksimal, butuh
regulasi yang benar-benar mengatur secara tegas agar bisa menghindari kebocoran data

Mengingat begitu berharganya data, berikut adalah beberapa manfaat jika nantinya RUU PDP ini telah
berhasil disahkan berlakunya, antara lain :

Pertama, adanya jaminan  hukum dan regulasi  untuk perlindungan data pribadi. Dalam hal ini
perusahaan-perusahaan akan diwajibkan untuk  melaksanakan serta memenuhi standar teknologi
terkait keamanan dan privasi data.

Payung hukum yang jelas sangat dibutuhkan untuk memastikan bahwa perusahaan fintech mengelola
data yang mereka peroleh untuk manfaat para penggunanya dan memastikan terdapat langkah
keamanan untuk melindungi data tersebut.

Kedua, perumusan dan pengesahan RUU PDP ini akan membantu fintech dari aspek legal dan
kepatuhan. Dengan kejelasan hukum yang hadir dari RUU PDP, akan meningkatkan kepercayaan
konsumen kepada layanan fintech karena munculnya suatu payung hukum terhadap perlindungan data
konsumen. 

Konsumen menginginkan agar persetujuan atas penggunaan data pribadi mereka bersifat jelas dan
transparan, sehingga mereka memercayakan data mereka kepada perusahaan fintech atas keyakinan
bahwa data tersebut akan terutilisasi untuk suatu tujuan yang bermanfaat bagi pengalaman konsumen.

Ketiga, RUU PDP akan membawa dampak positif terhadap aspek bisnis dari industri fintech itu sendiri.
Dengan keberadaannya suatu kerangka legal yang jelas dan diberlakukan, hal tersebut akan
membangkitkan sektor jasa keuangan, terutama di masa pandemi saat ini, dimana semuanya akan
terdigitalisasi.

Selain manfaat tersebut, dengan disahkannya RUU PDP, warga berhak memilih informasi apa saja yang
bisa dikumpulkan oleh laman atau aplikasi internet, berhak menghapus data pribadi yang disimpan oleh
perusahaan atau perpanjangannya dan diharapkan mampu melindungi warga ketika bersengketa
dengan perusahaan besar

Pengaruh lain yang bakal dialami langsung oleh warga adalah ketika menuntut hak-hak mereka saat
berinteraksi dengan pengendali data seperti media sosial, marketplace, seperti Tokopedia dan Shopee,
lalu aplikasi multiguna seperti GoJek, aplikasi game, hingga badan publik yang mengumpulkan data
kependudukan.

Dalam relasi kuasa yang tidak imbang itu, warga bisa saja dirugikan dengan besarnya potensi
pelanggaran yang dilakukan perusahaan-perusahaan besar di atas.Hal ini tentunya membutuhkan
tindakan tegas, adil, dan transparan dari otoritas negara.

Pengalaman GDPR membuktikan, denda yang besar tapi terukur menjadi penekan pengendali data
untuk ekstra hati-hati saat memanfaatkan data digital warga. Salah satu denda terbesar di bawah GDPR
adalah yang diberikan regulator di Prancis kepada Google sebesar 50 juta euro atau sekitar Rp 858
miliar.
Dengan demikian posisi RUU PDP sangat penting, selain sebagai payung hukum untuk pertumbuhan e-
commerce kedepannya, RUU PDP ini sangat penting bagi masyarakat dan negara. RUU PDP adalah cara
bagaimana kita mendesain negara hukum yang dianggap setara dengan perlindungan data di negara
lain. 

Diharapkan kelak dengan adanya Undang-undang Perlindungan Data Pribadi di Indonesia dapat
melindungi data masyarakat Indonesia namun tidak menutup ruang gerak untuk terus berinovasi. Jika
Indonesia gagal mengesahkan UU PDP ini secara memadai, kita bisa dianggap tidak serius oleh
pemerintah luar negeri maupun raksasa teknologi global, sehingga mereka pun bisa menyepelekan
kedaulatan data kita.

Karena itu, Indonesia memerlukan komitmen politik dan anggaran besar dari pemerintah dan DPR untuk
membangun lembaga otoritas yang independen. Yang dipertaruhkan adalah data pribadi 270 juta
penduduk yang bernilai mahal dan strategis. Jadi untuk melindunginya negara harus memiliki lembaga
yang kuat dalam aspek hukum dan sumber daya manusianya  menyerupai Komisi Pengawas Persaingan
Usaha atau Komisi Pemberantasan Korupsi.

Analisis Hukum

Sebagaimana dikemukakan diatas, belum adanya peraturan yang mengatur secara komprehensif
mengenai perlindungan data pribadi telah mendorong pemerintah melalui Kominfo untuk menyusun
RUU PDP. Pentingnya kehadidran  UU PDP  sebenarnya sudah disadari sejak lama sehinga pembicaraan
soal RUU PDP ini sudah terjadi  sejak tahun 2014 yang lalu. 

Namun proses pembahasan RUU PDP tersebut sangat panjang dan berliku sehingga sampai sekarang
masih belum juga disahkan pemberlakuannya. Selain masalah masalah teknis yang berkaitan dengan
soal prosedur formal pembuatan Undang Undangnya, RUU PDP juga tersendat pengesahannya karena
secara substansi ada beberapa bagian yang masih menjadi perdebatan.

Salah satu perdebatan yang mengemuka adalah terkait dengan soal Pengendalian Data.Hal-hal yang
dinilai penting terkait dengan hal ini antara lain yang berhubungan dengan ketentuan tentang pihak-
pihak mana saja yang boleh mengendalikan atau menyimpan data pribadi, dan juga berapa lama data
pribadi bisa dikelola.Apa yang terjadi kalau ada kebocoran data pribadi dan sebagainya. 

Dalam kaitan dengan hal tersebut, RUU PDP membuka akses pemerintah ke data pribadi RUU PDP
memberikan pengecualian di mana persetujuan pemilik data tidak dibutuhkan untuk diakses data
pribadinya ketika terkait masalah:

1. pertahanan dan keamanan nasional

2. proses penegakkan hukum 
3. pengawasan sektor jasa keuangan 
4. stabilitas sistem aturan moneter, pembayaran, dan keuangan 
5. kepentingan masyarakat dalam administrasi negara

Namun demikian tidak dijelaskan lebih lanjut mengenai batasan dan mekanisme dalam pengecualian
tersebut, termasuk tidak adanya mandat pembentukan peraturan teknis untuk mengatur pengecualian.
Hanya dikatakan, “pengecualian dilaksanakan hanya dalam rangka pelaksanaan ketentuan undang‐
undang dan/atau perjanjian internasional yang telah diratifikasi”.
Hal yang belum sama sekali diatur dalam RUU ini adalah terkait dengan pembentukan lembaga yang
berfungsi sebagai regulator, pengawas, dan pengendali (independent regulatory body), atau sebuah
komisi perlindungan data pribadi. 

Tugas pengawasan ini justru diserahkan kepada pemerintah, sesuai dengan sektornya masing ‐masing,
dengan berkoordinasi kepada Menteri Komunikasi dan Informatika. Ini berarti Kementerian Dalam
Negeri akan mengawasi data pribadi yang terkait dengan kependudukan, OJK akan mengawasi data
pribadi yang terkait dengan keuangan dan perbankan, Kementerian Kesehatan akan mengawasi data
pribadi yang terkait dengan rekam medis pasien, Kementerian Hukum dan HAM akan mengawasi data
pribadi yang terkait dengan passport dan data‐data hukum lainnya, dan seterusnya.

Pada hal kita ketahui kalau lembaga atau institusi negara juga mempunyai ambisi politik, sehingga
seharusnya lembaga pengawas terhadap RUU PDP bersifat independen. Sebab bila pengawasan dan
pertanggungjawaban diserahkan kepada negara, misalnya Kementerian Komunikasi dan Informatika,
akan ada potensi penyalahgunaan yang sangat besar. 

Negara bisa memantau perilaku masyarakatnya siapa saja, pergi kemana, suka beli apa, suka bicara apa,
teman mainnya siapa, itu menjadi sangat rentan dan bahaya.Mengizinkan pemerintah untuk mengakses
data pribadi masyarakat memiliki risiko penggunaan data untuk tujuan politik atau bahkan ekonomi
(Greenleaf, 2017). 

Hal tersebut mungkin tidak akan terjadi pada masa administrasi pemerintahan yang ada sekarang,
namun tetap membuka kesempatan bagi administrasi yang akan datang yang bisa mengambil informasi
individu masyarakat tanpa persetujuan pemilik data. 

Mirip dengan RUU PDP, Pasal 23 dalam GDPR juga mengatur tujuan khusus di mana pemerintah negara
anggota Uni Eropa dapat mengesahkan UU yang mengizinkan badan pemerintah untuk mengakses data
pribadi. Dengan pembatasan bahwa UU tersebut “menghormati inti dari hak dan kebebasan dasar dan
memang merupakan sebuah upaya yang diperlukan dan proporsional dalam komunitas yang
demokratis” UU nasional dapat menggagalkan hak kerahasiaan data dalam hal pertahanan nasional dan
keamanan umum, penegakkan hukum, moneter, isu anggaran dan perpajakan, kesehatan masyarakat
dan jaminan sosial. 

Akan tetapi, pasal yang sama tersebut di dalam GDPR juga secara jelas menyatakan bahwa UU semacam
itu harus merinci tujuan dari pemrosesan data, kategori data yang diakses, ruang lingkup pembatasan,
pengamanan untuk mencegah penyalahgunaan dan akses yang melanggar aturan atau transfer data,
periode penyimpanan data, hak pemilik data untuk diinformasikan tentang pembatasan, dll. (GDPR,
2018).

Dalam hal RUU PDP Indonesia, harus ada jaminan bahwa setelah pemerintah mengakses data pribadi,
data tersebut tidak akan digunakan untuk tujuan lain yang tidak disebutkan sebelumnya dan tidak
dibocorkan ke masyarakat. Pemerintah di banyak negara berupaya untuk melindungi kerahasiaan data
pribadi. 

Pemerintah diwajibkan untuk memberikan alasan yang jelas ketika mau mengakses data pribadi. Dalam
hal pertahanan dan keamanan nasional misalnya, harus ada keadaan mendesak sehingga pemerintah
harus mengakses data pribadi seseorang. Selain itu  ada definisi dan batasan khusus yang mengatur
akses pemerintah tersebut, yaitu yang mewajibkan transparansi tujuan pengecualian dan periode
penyimpanan data.
Untuk menghindari adanya potensi penyelewengan RUU PDP seharusnya membentuk badan
independen guna melindungi data pribadi yang berlaku sebagai pemegang wewenang pengawasan
dalam proses pelaksanaan RUU PDP. Singapura, misalnya, telah membentuk 7 lembaga independen
yang mengawasi masalah PDP, sesuai dengan UU yang berlaku di Singapura. 

Oleh karena itu, Personal Data Protection Commission (PDPC) Singapura bisa berlaku secara independen
ketika mengawasi pengelolaan data pribadi oleh pemerintah dan lembaga swasta. Britania Raya juga
telah melakukan penunjukkan penugasan dan kuasa untuk mengawasi kerahasiaan data kepada
lembaga independen, yaitu Kantor Komisioner Informasi atau The Information Commissioner’s Office
yang merupakan badan negara non-departemen yang melapor secara langsung kepada parlemen
(Information Commissioner’s Office, 2018a).

Terlepas dari masih adanya serangkaian masalah terkait dengan substansi RUU PDP kiranya saat ini
sudah mendesak munculnya urgensi untuk sesegera mungkin mengesahkan undang-undang yang di
dalamnya memiliki ketentuan yang jelas melindungi data pribadi dan privasi warga negara Indonesia. 

Kita tidak dapat berpangku lagi kepada peraturan perundang-undangan yang terpecah belah dan tidak
tentu kepastian hukumnya. Bila UU ITE disahkan atas dasar kesadaran maraknya kejahatan pada dunia
cyber, maka UU Perlindungan data pribadi juga harus disahkan sesegera mungkin atas kesadaran yang
sama atau bahkan lebih mendesak lagi.

Karena pada dasarnya data pribadi adalah identitas diri, yang keberadaanya merupakan hak
konstitusional warga negara. Ketidakteraturan mengenai hal tersebut menyebabkan kerugian bagi
warga negara yang hak terhadap privasinya dilangkahi oleh pihak yang menyimpan data pribadinya.

Melihat betapa banyaknya negara-negara yang telah menerapkan undang-undang serupa, maka
Indonesia sebagai salah satu warga cyber terbesar di dunia, seharusnya sesegera mungkin menetapkan
rancangan undang-undang yang serupa, menjadi peraturan perundang-undangan yang mengikat.

Semangat RUU PDP seharusnya ialah melindungi data. Namun, dalam draf RUU yang dapat diakses
publik terlihat sebagian besar pasal masih fokus pada pemidanaan dan denda terhadap pelanggaran
perseorangan. Bahkan, hukuman bagi korporasi yang melakukan tindakan melawan hukum hanya
berupa denda dan sita. Padahal RUU PDP ini tidak hanya fokus pada data online, tetapi juga offline.