UNDANG-UNDANG (UU) Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP) yang diundangkan pada 17 Oktober 2022 memberi waktu dua tahun bagi pengendali data pribadi atau prosesor data pribadi untuk menyesuaikan praktik pemrosesan data pribadi.
Waktu itu juga digunakan pemerintah untuk menyusun peraturan pelaksana UU PDP. Peraturan pelaksana yang dimaksud setidaknya terdiri dari dua pokok pengaturan, yaitu terkait lembaga pelindungan data pribadi dan peraturan teknis pelaksanaan pelindungan data pribadi.
Sejak pembahasan rancangan UU PDP, pemerintah dan DPR memiliki acuan yang sama, yaitu General Data Protection Regulation dari Uni Eropa (GDPR). Melalui pengundangan UU PDP, diharapkan dapat terbangun sistem hukum pelindungan data pribadi yang komprehensif.
Baca juga: Jangan Sampai Bocor, Jaga Data Pribadi agar Terhindar dari Kejahatan Siber
Komprehensif di sini memiliki beberapa dimensi. Pertama, sistem hukum pelindungan data pribadi Indonesia mampu memberikan perlindungan konstitusional bagi subyek hukum Inodnesia, baik di dalam maupun di luar yurisdiksi Indonesia. Kedua, sistem hukum tersebut dapat memfasilitasi pemanfaatan dan penerapan teknologi, seperti artificial intelligence.
Ketiga, sistem hukum pelindungan data pribadi Indonesia harus kompatibel dengan instrumen regional atau multilateral. Keempat, sistem yang dimaksud memungkinkan aliran data lintas batas (cross-border data flows) yang memberikan perlindungan setara.
Kelima, sistem hukum nasional tersebut mampu mendukung perdagangan internasional.
Selama hampir setahun sejak diundangkan, terdapat beberapa dinamika dalam praktik pelindungan data pribadi yang muncul di tingkat nasional maupun internasional. Dinamika tersebut penting untuk dipertimbangkan dalam penyusunan peraturan pelaksana UU PDP.
Pertama, pelindungan data pribadi merupakan salah satu topik negosiasi dalam berbagai perjanjian atau instrumen perdagangan bebas baik secara bilateral, multilateral, atau plurilateral. Indonesia juga terlibat dalam negosiasi dimaksud.
Beberapa di antaranya ialah the WTO E-Commerce Joint Statement Initiative, Indonesia—European Union Comprehensive Economic Partnership Agreement (CEPA), Indonesia-Japan CEPA, dan Indonesia-Canada CEPA.
Pembahasan pelindungan data pribadi dalam perjanjian atau instrumen perdagangan bebas yang dimaksud biasanya bermuara pada istilah, definisi, standar pelindungan data pribadi, dan komitmen untuk tetap mengoptimalkan aliran data lintas batas. Perbedaan istilah yang digunakan, antara data pribadi atau informasi pribadi, bukanlah satu aspek hukum yang mudah untuk dipertemukan. Belum lagi definisi dari istilah tersebut.
Isu yang lebih strategis adalah perbedaan standar pelindungan data pribadi antara negara pihak. Perbedaan-perbedaan tersebut dipengaruhi banyak faktor, seperti sistem hukum, politik, sosial dan budaya, serta teknologi.
Baca juga: UU Perlindungan Data Pribadi: Jenis Data dan Sanksi Pidananya
Dalam satu negosiasi, negara lawan runding dapat menggunakan kondisi ketiadaan sistem hukum pelindungan data pribadi yang komprehensif sebagai satu keuntungan. Sebaliknya, sitem hukum yang komprehensif dapat menjadi benteng bagi satu negara untuk melindungi data pribadi subyek hukumnya dan mengambil manfaat dari perdagangan bebas.
Kedua, kurang dari tiga bulan sejak pengundangan UU PDP, telah terdapat dua permohonan untuk menguji konstitusionalitas pasal-pasal UU PDP. Salah satu dari permohonan tersebut ialah perkara 108/PUU-XX/2022.
Dalam perkara 108/PUU-XX/2022, pemohon menguji konstitusionalitas konsep pengendali dan prosesor data pribadi sebagai entitas yang bertanggung jawab atas pemrosesan data pribadi. Keberatan pemohon ialah ketidakjelasan korporasi sebagai pengendali atau prosesor data pribadi.
Pemohon juga mempertanyakan konstitusionalitas Pasal 2 ayat (2) UU PDP. Ketentuan tersebut mengatur pengecualian keberlakuan UU PDP untuk pemrosesan data pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga.