Implementasi EU GDPR Bisa Jadi Pembelajaran bagi Indonesia

JAKARTA - Implementasi The European Union General Data Protection Regulation (EU GDPR) bisa jadi pembelajaran bagi Indonesia dalam melindungi data pribadi warganya. European Union General Data Protection Regulation atau EU GDPR itu sendiri telah tiga tahun berlaku mengikat bagi negara-negara Uni Eropa.

Demikian diungkapkan Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar dalam keterangan tertulisnya yang diterima Koran Jakarta, Jumat (28/5).

Menurut EU GDPR oleh negara-negara Uni Eropa dianggap sebagai instrumen pelindungan data pribadi yang paling modern dan komprehensif. Bahkan banyak menjadi rujukan bagi pembaruan legislasi perlindungan data pribadi di berbagai negara, termasuk Indonesia.

"Namun demikian, meski digadang-gadang sebagai standar pelindungan data yang paling komprehensif saat ini, dalam implementasinya juga masih ditemukan sejumlah tantangan dan permasalahan," katanya.

Dalam laporan evaluasi implementasi tiga tahun EU GDPR yang diadopsi oleh Parlemen Eropa pada 25 Maret 2021 lalu, kata Wahyudi, tantangan utama saat ini adalah penguatan implementasi GDPR oleh platform digital. Khususnya yang bergerak dalam sektor online advertising, micro-targeting, algorithmic profiling, dan praktik penggolongan, penyebaran dan amplifikasi konten di platform digital. Setidaknya terdapat beberapa catatan dalam implementasi GDPR.

"Pertama, penyalahgunaan dasar hukum kepentingan yang sah dalam pemrosesan data, yang dilakukan tanpa uji keseimbangan kepentingan oleh pengendali data," ujarnya.

Catatan yang kedua, kata dia, urgensi untuk memfasilitasi pelaksanaan hak subjek data, khususnya yang terkait dengan hak-hak portabilitas data dalam konteks pemrosesan data secara otomatis. Termasuk pemrofilan. Ketiga, pemberlakuan EU GDPR bagi UMKM, start-ups, organisasi dan asosiasi, juga sekolah menuai berbagai tantangan.

"Dan digarisbawahi perihal pentingnya dukungan informasi dan pelatihan guna meningkatkan kepatuhan terhadap EU GDPR. Keempat, terdapat ketidakmerataan penegakan dan perbedaan interpretasi EU GDPR, khususnya dalam hal penggunaan klausul 'kepentingan publik', sebagai dasar hukum pemrosesan data pribadi," tuturnya.

Catatan kelima, kata dia, penyalahgunaan EU GDPR oleh pejabat publik untuk menekan jurnalis dan organisasi masyarakat sipil dalam hal kebebasan berekspresi dan informasi. Dan hal lainnya yang juga menjadi catatan penting dari penegakan EU GDPR sejauh ini adalah terkait peran Otoritas Pelindungan Data Pribadi (Otoritas PDP). European Parliament menjelaskan bahwa dari 21 Otoritas PDP atau dari total 30 Negara yang tunduk pada EU GDPR secara eksplisit menyuarakan permasalahan sumber daya manusia, teknis dan keuangan, bangunan dan infrastruktur yang memadai untuk secara efektif menjalankan tugas dan wewenangnya.

"Hal serupa disampaikan oleh Access Now dalam "Three Years under the EU GDPR: An Implementation Progress Report", yang menjelaskan bahwa dalam rentang waktu Mei 2018 hingga Maret 2021, Otoritas PDP telah memungut 596 denda dan sanksi dengan total € 278.549.188. Selain itu, data tentang penggunaan mekanisme denda dalam penegakan EU GDPR, juga menunjukkan perbedaan yang besar dalam penerapannya, dari masing-masing Otoritas PDP di tiap negara anggota, dalam menggunakan kewenangan mereka," urainya.

Sebagai perbandingan, lanjut Wahyudi, Otoritas PDP Spanyol misalnya, didaulat sebagai Otoritas PDP yang paling aktif menggunakan kewenangan mereka, dengan total jumlah denda sebanyak 223. Sedangkan Otoritas PDP Luxembourg dan Slovenia belum menggunakan mekanisme denda sama sekali dalam penggunaan wewenangnya. Meskipun ada peningkatan jumlah denda yang dikenakan oleh Otoritas PDP terhadap pengendali data, akan tetapi sejumlah besar pengaduan dari individu subjek data tetap belum tertangani secara optimal.

"Terutama pada kasus-kasus yang bersifat cross-border yang cenderung sangat lambat penanganannya," ujarnya.

Menurut Wahyudi, situasi tersebut memberikan pembelajaran penting tentang besarnya tantangan dalam implementasi sebuah legislasi pelindungan data pribadi, untuk memastikannya bekerja secara efektif, dan dapat melindungi hak-hak dari subjek data secara optimal. Pertanyaannya sekarang, bagaimana dengan Indonesia?

"Apabila kita membaca kembali naskah RUU Pelindungan Data Pribadi usul inisiatif pemerintah, yang saat ini tengah dibahas di DPR, usulan pembentukan pelindungan data pribadi yang independen ini belum mengemuka," katanya.

Padahal, kata Wahyudi, Otoritas PDP merupakan salah satu pilar utama dalam memastikan efektif dan optimalnya penegakan perlindungan data pribadi. Selain itu, keberadaan otoritas ini juga akan sangat menentukan level kesetaraan hukum perlindungan data pribadi Indonesia dengan negara lain, yang akan sangat berpengaruh pada proses penyelesaian permasalahan perlindungan data yang bersifat lintas batas. Apalagi, hukum pelindungan data pribadi Indonesia nantinya, tidak hanya berlaku mengikat bagi sektor privat, tetapi juga badan-badan publik pemerintah baik pusat dan daerah.

"Sehingga keberadaan otoritas ini menjadi sangat penting dan relevan, untuk menjamin penegakan hukum yang adil dalam pelindungan data pribadi," ujarnya.