Catatan Kritis Draf UU Data Pribadi, Singgung Martabat Manusia

VIVA – Executive Director Southeast Asia Freedom of Expression Network atau SAFEnet, Damar Juniarto mengkritisi draf RUU Perlindungan Data Pribadi pada April 2019. Kritik pertamanya mengenai definisi dari data pribadi.

Dia menjelaskan undang-undang tersebut berawal dari pertimbangan pengakuan privasi adalah salah satu hak asasi manusia. Menurutnya hal tersebut harus diapresiasi karena pengakuan hukum akan hak privasi masih kurang terlihat dalam perundang-undangan di Indonesia.

"Padahal pengakuan privasi itu sudah ada dalam Pasal 5 ayat (1), Pasal 20, Pasal 28 G ayat (1), Pasal 28 H ayat (4) dan Pasal 28 J Undang-Undang Dasar Negara Republik Indonesia Tahun 1945. Ini sudah juga dicantumkan sebagai pengingat dalam UU PDP ini," jelas Damar, dalam pernyataannya, Sabtu 20 Juli 2019.

Namun dia menyayangkan saat perumusan definisi privasi langsung disempitkan menjadi perlindungan data pribadi. Karena itu ruang lingkup UU PDP menjadi hanya persoalan pengumpulan data.

Di rancangan UU itu, menurut Damar, tidak ada kaitan antara data dengan kehidupan manusia. Termasuk juga jika data disalahgunakan bisa membahayakan hidup orang, karena rentan pada kejahatan.

"Perspektif UU PDP ini mengesankan pemaknaan data pribadi pengguna hanya sekadar komoditas. Padahal data pribadi bukanlah komoditas, melainkan menyangkut martabat manusia yang virtual tersebut," ujar dia.

Damar mengingatkan, perlindungan harus dilakukan pada manusia bukan hanya data. Dia mengambil pembelajaran dari kasus Cambridge Analytica tahun lalu yaitu data pengguna merupakan komoditas yang bebas dikumpulkan dan dipanen.

Selain itu, Damar memiliki catatan pada sejumlah pasal di UU PDP. Pertama pasal 21 tidak ada kejelasan operator sebagai pemasang alat perekam dan visual di tempat layanan publik.

"Pasal 23 ayat  2 itu bagus karena poin d memuat tentang periode retensi dokumen yang memuat data pribadi dan point f tentang pemusnahan data pribadi, tetapi sayang tidak dicantumkan berapa lamanya," ujarnya.

Damar menyoroti pasal 38 yang mana tidak jelas berapa lama data pribadi harus dimusnahkan pengendali data. Selanjutnya pada pasal 41, Damar mengatakan, tidak ada kejelasan kriteria atau prasyarat penunjukan prosesor data pribadi.

Dia menekankan transfer data pribadi seharusnya tidak bisa dilakukan pada perusahaan yang dianggap menyalahgunakan data pribadi atau bertindak ilegal. Sebab hal ini berpotensi data ditransfer berpindah-pindah dari satu pihak ke pihak lain tanpa batas.

"Pelarangan pada pasal 52, mengapa hanya pada aktivitas perekaman suara? Sementara alat pemindaian dan profiling itu sekarang bisa dalam bentuk audio-visual dan pencitraan satelit tahap tinggi juga," kata Damar.