Nama Jurnal : Brawijaya Law Journal
Pengarang : Vasishtan P.
Tahun : 2022
Diulas oleh : Nihaya Mumtaz Suratno
Pendahuluan
Fenomena digitalisasi yang merupakan bagian dari perkembangan teknologi membawa kemudahan bagi manusia dalam melakukan transaksi. Namun, digitalisasi transaksi juga menimbulkan konsekuensi jika ditinjau dari perspektif perlindungan hukum terhadap jaminan keamanan data pribadi. Salah satu persoalan fundamental yang timbul adalah kerapnya terjadi kebocoran data pribadi. Hal ini yang rentan disalahgunakan untuk penipuan, pembobolan rekening, penyamaran kejahatan, dan sebagainya. Oleh karena itu, diperlukan jaminan keamanan bagi data yang terekspos ke dunia digital. Terkait hal tersebut, negara berperan sebagai pihak yang bertanggung jawab mutlak akan keamanan data pribadi warga negaranya. Di sisi lain, negara memiliki kewenangan untuk menjaga integritas dan kedaulatannya. Untuk memenuhi kewajiban tersebut, negara asal memerlukan peraturan perundang-undangan tentang privasi perlindungan data yang komprehensif. Hal tersebut menjadi tuntutan tersendiri bagi negara untuk membuat peraturan dengan unsur ekstrateritorial yang melindungi keamanan warga negaranya, khususnya dalam hal keamanan data pribadi. Peraturan tersebut belum dapat dinilai efektif jika tidak memuat aspek ekstrateritorial karena negara asal belum memiliki kewenangan atas data pribadi warga negaranya yang tinggal di luar negeri, sehingga tidak dapat menjamin keamanan data pribadi warga negara tersebut.
Berdasarkan fakta di atas, Vasishtan P. menulis artikel jurnal ini dalam rangka menganalisis aspek ekstrateritorial dari Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi di India Tahun 2019 atau disebut juga Personal Data Protection (PDP) Bill yang didasarkan pada dua fokus utama. Pertama, kesadaran negara dalam menghindari hal-hal merugikan dan dampak yang berlebih dalam konteks melindungi data pribadi warga negaranya. Kedua, kemampuan negara untuk meminimalisasi dampak buruk tersebut. Penulis artikel jurnal mencoba melakukan perbandingan antara PDP India dengan Peraturan Perlindungan Data Umum Uni Eropa atau disebut European Union’s General Data Protection Regulation (GDPR) dan peraturan serupa di Brazil yaitu Lei Geral de Proteção de Dados (LGPD).
Metode Penelitian
Artikel jurnal ini berisi komparasi antara RUU PDP di India dan GDPR di Uni Eropa dan LGPD di Brazil, sehingga penulis melakukan penelitian doktrinal. Sebagaimana telah disebutkan dalam bagian sebelumnya, artikel jurnal ini memuat peraturan perundang-undangan sebagai bahan hukum primer, yaitu RUU PDP India, GDPR Uni Eropa, dan LGPD Brazil. Selain ketiga bahan hukum primer tersebut, penulis menggunakan buku, sumber elektronik lainnya, serta artikel jurnal sebagai bahan hukum sekunder yang selaras dengan pertanyaan dan tujuan penelitian. Adapun fokus utama penelitian ini adalah aspek ekstrateritorial dalam RUU PDP di India yang dinilai masih rancu dengan melihat perbandingannya pada GDPR di Uni Eropa serta LGPD di Brazil.
Pembahasan
Penulis artikel jurnal membagi pembahasan ke dalam tiga bagian utama dengan tujuan agar artikel jurnal memiliki substansi yang lebih fokus. Pertama, penjelasan umum tentang PDP India, khususnya mengenai ketentuan ekstrateritorialnya. Kedua, penjelasan tentang konsep hukum ekstrateritorial GDPR Uni Eropa dan LGPD Brazil, untuk kemudian dilakukan perbandingan dengan PDP India. Ketiga, pembahasan tentang tantangan utama yang muncul dari konsep hukum ekstrateritorial karena kontradiktif dengan hukum internasional.
PDP India muncul sebagai rekomendasi dari hasil laporan tentang perlindungan data oleh Komite Kehakiman Sri Krishna yang menilai bahwa negara perlu undang-undang yang mengatur entitas sebagai pemroses data pribadi. PDP India berlaku secara ekstrateritorial berdasarkan Pasal 2 ayat (c) PDP India yang menyatakan bahwa undang-undang ini diterapkan dalam pemrosesan data pribadi oleh prosesor data pribadi di luar India terhadap pemegang data yang berada di India maupun yang melibatkan warga negara India. Meskipun PDP India berlaku secara ekstrateritorial, undang-undang tersebut hanya dapat diterapkan dalam pemrosesan data yang berada di India. PDP India tidak menerapkan perlindungan terhadap pemilik data berwarga negara India, sekalipun pemrosesan datanya dilakukan di India.
Apabila dibandingkan dengan konsep ekstrateritorial dalam GDPR Uni Eropa dan LGPD Brazil, PDP India memiliki perbedaan dalam beberapa aspek. Salah satunya adalah GDPR Uni Eropa dan LGPD Brazil yang memiliki skema terjadinya pemrosesan data tanpa kehadiran fisik. Hal ini berbeda dengan PDP India karena data yang disimpan di India menjadi satu arah dalam arti data tidak berkembang untuk dipahami lebih baik, terutama ketika pemilik data ataupun prosesor data berada di luar negeri. Selain itu, pemerintah pusat dapat mengecualikan penerapan PDP India dalam pemrosesan data warga negara India yang tinggal di luar India dan sekaligus memproses data di luar negeri. Hal ini dinilai oleh penulis artikel jurnal sebagai kekurangan dalam PDP India karena akan merugikan prosesor data pribadi warga negara India yang selanjutnya berdampak pada persaingan global.
Keunggulan GDPR Uni Eropa dan LGPD Brazil dibandingkan dengan PDP India juga terletak pada jangkauan ekstrateritorialnya. Pasal 3 GDPR Uni Eropa memberikan kewenangan pada pengendali dan pemroses data di Uni Eropa, terlepas dari lokasi di mana pemrosesan data dilakukan. Dalam hal ini, prosesor data pribadi tetap harus mematuhi GDPR Uni Eropa walaupun memproses data warga negara Uni Eropa yang tinggal di luar negeri. Sebagai contoh, ketika prosesor data pribadi berkantor pusat di Geneva, Swiss dan ingin memproses data warga negara India yang tinggal di Eropa, prosesor data pribadi tidak diwajibkan untuk mematuhi ketentuan PDP India. Hal demikian berbeda dengan PDP India yang tidak mempertimbangkan ketentuan tersebut. Akibatnya, prosesor data pribadi tidak wajib mematuhi PDP India apabila memproses data warga negara India yang tinggal di luar negeri. Ketiadaan skema atau ketentuan ini dalam PDP India menunjukkan bahwa perlindungan data warga negara India masih lemah dan rentan mengalami kebocoran.
Berbicara tentang perlindungan data dalam wilayah nodal atau secara fungsional bergantung antara daerah pusat dengan daerah lainnya, PDP India justru memiliki keunggulan karena terdapat penunjukan Petugas Perlindungan Data atau yang disebut Data Protection Officer (DPO) oleh prosesor data pribadi. Hal tersebut guna memastikan pertanggungjawaban pihak berwenang jika terjadi wanprestasi prosesor data pribadi asing. Sebenarnya, GDPR Uni Eropa juga mengatur terkait penunjukan DPO, tetapi tidak fleksibel dan cenderung dalam kondisi tertentu saja. Hal ini menunjukkan bahwa GDPR Uni Eropa dan LGPD Brazil memang memiliki keunggulan dalam melindungi data pribadi dari segi ekstrateritorial. Akan tetapi, hal tersebut masih kurang unggul dalam mengadili pihak-pihak yang mangkir dari tanggung jawab apabila terjadi wanprestasi.
Menurut penulis artikel jurnal, penerapan konsep ekstrateritorial memunculkan tantangan dalam beberapa hal. Salah satunya adalah kontradiksi perlindungan privasi data dengan hukum internasional yang sebenarnya tidak membatasi ruang gerak untuk Undang-Undang (UU) Perlindungan Data atau yang disebut Data Protection Laws (DPL). Hal tersebut dibuktikan dengan adanya UU PDP di Singapura Tahun 2012, UU Privasi di Australia Tahun 1988, serta UU Praktik Korupsi Luar Negeri di Amerika Serikat. Akan tetapi, disinilah titik masalahnya, yakni dilema antara keinginan setiap negara untuk memperluas lingkup ekstrateritorialnya dan keberadaan hukum internasional yang memiliki prinsip-prinsip umum bertentangan.
Penutup
Seiring berkembangnya zaman, yurisdiksi seharusnya diperluas hingga aspek ruang gerak manusia untuk menyesuaikan dinamika zaman yang semakin modern. Melalui artikel jurnal ini, dapat disimpulkan bahwa implementasi hukum ekstrateritorial tidak semudah konsepnya. Negara sudah pasti ingin memperluas wilayah yurisdiksinya sekaligus menjaga kedaulatan dan integritas. Meskipun penerapan GDPR di Uni Eropa dan LGPD di Brazil rumit, kedua hal tersebut merupakan contoh implementasi DPL dalam masyarakat yang berhasil meski dalam beberapa hal bertentangan dengan hukum internasional. Sementara itu, PDP di India masih memiliki ruang abu-abu terkait perlindungan data pribadi warga negaranya yang tinggal di luar negeri.
Catatan Kritis
Ditinjau dari aspek teoritis, artikel jurnal berjudul The Passport to Regulate Foreign Jurisdiction: The Personal Data Protection Bill, 2019 on its Extraterritorial Application yang ditulis oleh Vasishtan P. sudah cukup menjawab konsep masalah utama, yakni ruang abu-abu pada PDP India terkait dengan aspek ekstrateritorialnya. Penulis artikel jurnal membahas posisi hukum ekstrateritorial PDP India, GDPR Uni Eropa, dan LGPD Brazil, lalu membandingkan posisi kewenangan yurisdiksi satu sama lain. Setelah dilakukan perbandingan, memang betul bahwa PDP India dalam aspek teritorial masih lemah, karena belum sepenuhnya dapat melindungi data pribadi warga negaranya yang menetap atau diproses di negara lain. Padahal, konsep data pribadi sensitif atau sensitive personal data (SPD) yang mencakup data terkait informasi keuangan, jabatan, hingga afiliasi agama dan politik seseorang, merupakan hal penting di seluruh negara—termasuk Uni Eropa dengan GDPR dan Brazil dengan LGPD. Hal ini menunjukkan bahwa keprihatinan penulis artikel jurnal terhadap ruang abu-abu dalam PDP India valid, sehingga diperlukan solusi, yakni salah satunya dengan mengambil pelajaran dari GDPR Uni Eropa dan LGPD Brazil. Namun, mendekati kesimpulan, penulis artikel jurnal justru kurang fokus pada permasalahan hukum ekstrateritorial yang terdapat dalam PDP di India dan pembahasan justru semakin meluas.
Ditinjau dari aspek metodologis, pembahasan oleh penulis artikel jurnal sudah sesuai dengan fokus utama penelitian, yakni aspek ekstrateritorial dalam PDP India yang masih rancu. Metode penelitian yang digunakan penulis artikel jurnal juga relevan dengan pembahasan, yakni penelitian doktrinal dengan menggunakan peraturan hukum terkait aspek ekstrateritorial dalam PDP India, GDPR Uni Eropa, dan LGPD Brazil, serta artikel jurnal maupun berita online yang mendukung konsep masalah utama penelitian. Penulis artikel jurnal dalam pembahasannya melakukan perbandingan antara PDP India dan GDPR Uni Eropa serta LGPD Brazil. Perbandingan tersebut menunjukkan perbedaan pada GDPR Uni Eropa dan LGPD Brazil yang dapat memproses data tanpa kehadiran fisik, sementara dalam PDP India hal tersebut tidak dapat dilakukan. Selain itu, penerapan PDP India justru dapat dikecualikan dalam pemrosesan data warga negara India yang tinggal di luar India. Padahal, dalam GDPR Uni Eropa dan LGPD Brazil, prosesor data pribadi tetap harus mematuhi GDPR Uni Eropa walaupun memproses data warga negaranya yang tinggal di luar negeri. Meski begitu, PDP India tetap memiliki keunggulan, yakni dapat menunjuk Petugas Perlindungan Data atau Data Protection Officer (DPO) oleh prosesor data pribadi guna memastikan pertanggungjawaban jika terjadi wanprestasi prosesor data pribadi asing.
Ditinjau dari hasil penelitian, dapat disimpulkan bahwa penulis artikel jurnal menilai bahwa PDP di India memang masih memiliki banyak kekurangan dibandingkan dengan GDPR di Uni Eropa serta LGPD di Brazil. Penulis artikel jurnal dalam pembahasannya mengulas beberapa keunggulan GDPR Uni Eropa dan LGPD Brazil yang dapat dijadikan acuan PDP India dalam memperbaiki ruang abu-abu terkait aspek teritorialitasnya. Pasal 2 ayat (c) PDP India menyatakan bahwa dalam aspek ekstrateritorialitasnya PDP India dapat diterapkan jika memproses data yang berada di India. Hal ini menunjukkan bahwa PDP India tidak memberi perlindungan terhadap pemilik data berwarga negara India, sekalipun pemrosesan datanya dilakukan di India. Di akhir, penulis artikel jurnal juga membahas tantangan utama yang muncul dari adanya hukum ekstrateritorialitas. Hal ini sebenarnya tidak begitu relevan dengan fokus utama penelitian, sehingga penulis artikel jurnal kurang membahas secara kritis terkait hasil dan solusi yang dapat diterapkan dalam kesimpulan.