Kesepakatan Lintas Negara dan Ancaman Data Pribadi
Indonesia dan Amerika Serikat dilaporkan telah mencapai kesepakatan krusial terkait transfer data lintas batas. Perjanjian ini, yang berpotensi memfasilitasi aliran informasi pribadi antar kedua negara, memicu kekhawatiran serius dari para ahli keamanan siber. Salah satunya adalah Ketua Umum CISSReC (Communication & Information System Security Research Center), Pratama Persadha. Ia secara tegas menyoroti celah vital dalam sistem perlindungan data Indonesia: ketiadaan Lembaga Pengawas Perlindungan Data Pribadi (PDP) yang mandatnya tercantum dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
Pratama Persadha mengingatkan bahwa transfer data, terutama dalam skala internasional, selalu membawa risiko inheren terhadap keamanan dan privasi individu. Tanpa keberadaan lembaga pengawas yang kuat dan independen, data warga negara Indonesia yang berpindah ke yurisdiksi asing berpotensi rentan terhadap penyalahgunaan, pelanggaran, atau bahkan risiko keamanan siber yang lebih luas. Kesepakatan ini, di satu sisi, membuka peluang kolaborasi dan efisiensi, namun di sisi lain, juga menuntut pemerintah Indonesia untuk segera melengkapi ekosistem perlindungan datanya demi menjamin hak-hak konstitusional warga negara.
Mandat UU PDP yang Belum Terwujud Penuh
Undang-Undang Perlindungan Data Pribadi (UU PDP), yang telah disahkan pada September 2022, merupakan tonggak penting bagi Indonesia dalam upaya melindungi hak privasi digital warganya. Regulasi ini secara eksplisit mengamanatkan pembentukan sebuah Lembaga Pengawas Perlindungan Data Pribadi yang berfungsi sebagai otoritas independen. Lembaga ini memiliki peran vital untuk mengawasi kepatuhan terhadap UU PDP, menangani pengaduan dari subjek data, memberikan sanksi atas pelanggaran, serta mengedukasi masyarakat dan pemangku kepentingan tentang praktik perlindungan data terbaik.
Namun, hingga saat ini, dua tahun pasca-pengesahannya, pembentukan lembaga tersebut masih jauh dari harapan. Padahal, UU PDP memberikan batas waktu maksimal dua tahun bagi pemerintah untuk membentuk dan mengoperasikan lembaga pengawas tersebut, yang berarti paling lambat September 2024. Keterlambatan ini menciptakan kekosongan hukum dan pengawasan yang signifikan, terutama ketika negara menghadapi dinamika transfer data internasional yang semakin kompleks. Para pegiat privasi data dan pakar hukum sebelumnya juga telah berkali-kali menyuarakan urgensi implementasi UU PDP secara penuh, menunjukkan bahwa kebutuhan akan lembaga tersebut bukan sekadar formalitas, melainkan inti dari efektivitas perlindungan data pribadi.
Risiko Ketiadaan Pengawas Independen: Antara Keamanan dan Kedaulatan Hukum
Absennya Lembaga Pengawas PDP memiliki implikasi yang serius, baik dari perspektif keamanan siber maupun kepastian hukum. Ini menyoroti ancaman terhadap keamanan data RI-AS jika tidak ada pengawasan yang memadai:
-
Rentan Terhadap Pelanggaran Data: Tanpa badan pengawas, tidak ada otoritas sentral yang secara proaktif memonitor kepatuhan entitas yang memproses data, termasuk dalam konteks transfer data ke luar negeri. Ini meningkatkan risiko terjadinya pelanggaran data, kebocoran, atau penyalahgunaan tanpa adanya mekanisme deteksi dan penanganan yang jelas dan independen.
-
Ketiadaan Jalur Pengaduan Efektif: Jika data pribadi warga negara Indonesia disalahgunakan di luar negeri sebagai akibat dari kesepakatan transfer data, siapa yang akan menjadi tempat aduan? Siapa yang memiliki wewenang untuk menuntut pertanggungjawaban? Ketiadaan lembaga ini menyulitkan individu untuk mencari keadilan dan pemulihan hak mereka, mengurangi kepastian hukum bagi subjek data.
-
Implikasi Kedaulatan Data: Transfer data lintas negara tanpa pengawasan yang memadai dapat mengikis kedaulatan data Indonesia. Informasi sensitif warga negara dapat diakses atau diolah di luar yurisdiksi hukum Indonesia tanpa jaminan perlindungan yang setara, berpotensi mempengaruhi keamanan nasional dan kepentingan strategis lainnya.
-
Kurangnya Standardisasi dan Edukasi: Lembaga pengawas juga berperan dalam menetapkan standar praktik perlindungan data dan mengedukasi publik serta pelaku usaha. Tanpa lembaga ini, pemahaman dan implementasi UU PDP dapat bervariasi dan tidak konsisten, menciptakan kebingungan dan celah risiko.
Pratama Persadha menegaskan bahwa negara harus memastikan keamanan data warganya, dan lembaga pengawas adalah instrumen utama untuk mencapai tujuan tersebut. Ini bukan hanya tentang memenuhi amanat undang-undang, tetapi juga membangun kepercayaan publik dan memastikan Indonesia memiliki posisi tawar yang kuat dalam perjanjian data internasional.
Desakan untuk Percepatan Pembentukan Lembaga PDP
Desakan agar pemerintah segera merealisasikan pembentukan Lembaga Pengawas Perlindungan Data Pribadi bukanlah seruan baru. Ini adalah isu yang terus menerus muncul seiring dengan peningkatan kasus kebocoran data dan kompleksitas lanskap digital. Kesepakatan transfer data dengan Amerika Serikat semakin memperkuat urgensi ini. Pemerintah perlu menunjukkan komitmen seriusnya terhadap perlindungan data pribadi dengan segera menunjuk dan mengaktifkan lembaga tersebut, serta memastikan independensinya dari pengaruh politik atau bisnis.
Lembaga ini harus dilengkapi dengan sumber daya yang memadai, personel yang kompeten, dan kewenangan yang jelas untuk menjalankan tugasnya secara efektif. Tanpa langkah konkret ini, UU PDP hanya akan menjadi macan kertas, dan janji perlindungan data bagi warga negara Indonesia akan tetap menjadi retorika di tengah arus data global yang tak terbendung. Publik menanti implementasi nyata dari undang-undang yang telah susah payah diperjuangkan ini. Informasi lebih lanjut mengenai Undang-Undang Perlindungan Data Pribadi dapat diakses melalui sumber resmi Jaringan Dokumentasi dan Informasi Hukum Badan Pemeriksa Keuangan (JDIH BPK).