Sejak kasus pertama penyakit Covid-19 di Indonesia dan pemberlakuan Pembatasan Sosial Berskala Besar (PSBB), penggunaan teknologi informasi meningkat untuk keperluan pertemuan dan belanja konsumsi. Zoom, Skype, Google Meet, dan Webex menjadi aplikasi populer untuk mengadakan pertemuan. Aplikasi belanja pun tidak kalah populer dan meningkat pemanfaatannya. PSBB telah mendorong masyarakat untuk belanja secara daring (online) melalui sejumlah perusahaan marketplace. Hal ini menandakan bahwa penggunaan teknologi informasi dan transaksi e-commerce menjadi suatu kebutuhan sekaligus gaya hidup.
Peningkatan penggunaan teknologi informasi dan transaksi e-commerce biasanya seiring dengan potensi kejahatan dan sengketa di ranah ini. Kebocoran data pengguna pada aplikasi telekonferensi video dan market place lokal sebagaimana trending beberapa waktu lalu menjadi bukti adanya potensi tadi. Jumlah data yang bocor tentu tidak sedikit dan bisa merugikan masyarakat yang memiliki akun di kedua aplikasi ini. Kedua penyelenggara sistem dan transaksi elektronik akhirnya mengevaluasi diri soal keamanan perlindungan data pribadi dalam laman web dan aplikasinya. Walaupun begitu, dorongan isu secara terus menerus untuk perlindungan data pribadi terus menggelinding.
Apa yang dimaksud dengan “Data Pribadi”?
Sebelum menjelaskan apa itu data pribadi, penulis hendak menyampaikan bahwa penggunaan istilah ini tidaklah seragam. Uni Eropa menggunakan istilah Personal Data dalam General Data Protection Regulation (GDPR) atau the Regulation (EU) 2016/679. Sama halnya dengan Uni Eropa, beberapa negara anggota ASEAN juga (Malaysia, Singapura, Filipina, dan Thailand) menggunakan istilah yang sama yaitu Personal Data. Namun demikian, ada juga negara yang menggunakan istilah selain data pribadi atau personal data. Istilah yang digunakan adalah personal information alias informasi pribadi. Negara-negara diantaranya seperti Amerika Serikat, Kanada, Jepang, dan Afrika Selatan adalah yang menggunakan istilah informasi pribadi dalam masing-masing UU perlindungannya. Tidak ada hal yang berbeda dalam pendefinisiannya meski terdapat kedua istilah yang berbeda. Hal yang membedakan adalah cakupan atau coverage dari informasi atau data pribadi dalam masing-masing regulasi di negara-negara tadi. Indonesia sendiri menggunakan istilah data pribadi dalam sejumlah regulasinya.
Jadi, apa sebenarnya yang dimaksud dengan data pribadi? Merujuk kepada UU No. 23/2006 tentang Administrasi Kependudukan jo. UU No. 24/2013 tentang perubahannya, data pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebernaran serta dilindungi kerahasiaannya. Definisi yang sama juga diterapkan dalam Peraturan Menteri Komunikasi dan Informatika (Permenkominfo) No. 20/2016 tentang Perlindungan Data Pribadi. Namun demikian, definisi data pribadi berbeda dalam Peraturan Pemerintah No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE). Menurut PP ini, data pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik. Definisi yang sama juga dituangkan dalam RUU Perlindungan Data Pribadi yang sudah masuk dalam Program Legislasi Nasional Prioritas 2020 untuk dibahas dan disahkan DPR pada tahun ini.
Definisi yang diberikan PP PSTE jauh lebih luas dari UU Administrasi Kependudukan. Definisi mempunyai kemiripan dengan definisi dalam General Data Protection Regulation (GDPR). Manakah yang berlaku? Kedua peraturan ini tentu saja berlaku. UU Administrasi Kependudukan berlaku dalam konteks data pribadi kependudukan, sedangkan PP berlaku dalam konteks data yang termuat secara elektronik dan non elektronik dalam lingkupnya di bawah naungan UU No. 11/2008 tentang Informasi dan Transaksi Elektronik.
Dengan melihat definisi data pribadi di Indonesia, maka sesungguhnya regulasi perlindungan data pribadi sudah ada di Indonesia. Bahkan, Badan Regulasi Telekomunikasi Indonesia (BRTI) dalam siaran persnya tahun 2019 menyatakan bahwa setidaknya terdapat 30 regulasi yang mengatur perlindungan data. Soal cukup atau tidak, perlu ditelisik lebih jauh dan tidak terbatas pada tulisan ini saja. Namun, mari kita asumsikan dahulu bahwa hadirnya RUU Perlindungan Data Pribadi menandakan bahwa regulasi perlindungan data pribadi di Indonesia masih jauh dari harapan. Oleh karenanya, pendorongan isu mengenai regulasi perlindungan data pribadi adalah hal yang wajar.
Sebaran Pengaturan terkait Data Pribadi di Indonesia
Bagaimana penyebaran regulasi terkait data pribadi di Indonesia? Penting bagi kita untuk mempermudah diri melihat dari sisi proses diri kita sebagai pribadi dari lahir, kemudian menjadi anak-anak, dewasa (baik menikah maupun tidak), sampai dengan meninggal. Mengapa demikian? Hal ini karena pada setiap tahapan atau proses tadi sudah melekat yang namanya data atau informasi pribadi. Setiap tahapan atau proses tadi sesungguhnya sudah ada peraturan yang menanunginya. UUD 1945 Pasal 28G ayat 1 menjadi payung hukum tertinggi atas perlindungan data pribadi.
Pada saat seorang manusia lahir ke muka bumi ini, data pribadi yang pertama kali melekat adalah Surat Keterangan Kelahiran/Kenal Lahir dan/atau Akta Kelahiran yang menginformasikan setidaknya mengenai nama bayi, tempat dan tanggal lahir, dan nama orang tua. Aturan yang melingkupi akta kelahiran ini setidaknya meliputi UU No. 23/2006 tentang Administrasi Kependudukan jo. UU No. 24/2013 tentang perubahannya, Perpres No. 96/2018 tentang Persyaratan dan Tata Cara Pendaftaran Penduduk dan Pencatatan Sipil, serta Peraturan Menteri Dalam Negeri No. 9/2016 tentang Percepatan Peningkatan Cakupan Kepemilikan Akta Kelahiran.
Ketika bayi kemudian bertumbuh menjadi anak-anak, maka sejumlah dokumen dan data pribadi pun muncul dan melekat terhadap anak-anak. Kartu Identitas Anak (KIA) dan Nomor Induk Kependudukan (NIK) adalah diantaranya. Dalam hal jaminan sosial bidang kesehatan, seorang anak pun datanya akan diserap oleh penyelenggara jaminan sosial atau asuransi seperti Badan Penyelenggara Jaminan Sosial (BPJS) atau perusahaan asuransi. Bilamana seorang anak mempunyai tabungan di suatu bank, maka data pribadi yang bersangkutan pun juga ada pada bank atau lembaga keuangan yang bersangkutan. Apabila seorang anak hendak bepergian ke luar negeri bersama orantuanya, maka tentu saja anak yang bersangkutan harus membuat paspor. Data pribadi pun kemudian tersimpan juga di kantor imigrasi. Jangan dilupakan juga bahwa anak akan bersekolah dan tentunya ada data pribadi anak yang kemudian tersimpan di lembaga pendidikan. Ini baru sebagian saja. Dari situ, kita bisa melihat sesungguhnya ada beberapa rezim pengaturan hukum yang melekat pada setiap aktivitas setidaknya terkait dengan administrasi kependudukan, jaminan sosial atau asuransi, perbankan, imigrasi, dan pendidikan.
Situasi yang tidak jauh berbeda ada pada seorang manusia yang beranjak dewasa. Hal yang membedakan adalah orang dewasa sudah dianggap cakap melakukan perbuatan hukum, sehingga potensi penyerahan data pribadi kepada pihak lain pun semakin besar. Perbuatan hukum yang umumnya dilakukan adalah mengkonsumsi barang/jasa dalam kapasitasnya sebagai konsumen (data pribadi konsumen), berurusan dengan rumah sakit (rekam medis), menikah (buku nikah), berkeluarga (kartu keluarga), pembelian telepon dan kartunya (SIM Card) dan sebagainya. Masing-masing perbuatan hukum terdapat payung hukumnya masing-masing yang mengatur soal data ini yaitu regulasi terkait perlindungan konsumen, kedokteran dan perumahsakitan, perkawinan, administrasi kependudukan, dan telekomunikasi. Bahkan, terhadap kematian pun tetap melekat yang namanya data dalam bentuk akta kematian yang merujuk kepada aturan administrasi kependudukan.
Dari uraian tadi, data pribadi sudah mulai muncul dari sejak seseorang lahir hingga kemudian meninggal. Dalam perjalanan hidupnya, data-data pribadi yang bersangkutan terserap dan tersimpan serta terkelola oleh sejumlah instansi atau lembaga yang menyimpan data-data kita tadi. Perlindungan atas data pribadi kita sesungguhnya sudah ada juga pada masing-masing aturan sektoral tadi, misalnya soal kerahasiaan bank dimana data deposan tidak boleh dibocorkan kepada pihak lain kecuali untuk penegakan hukum dan soal larangan penggunaan data kependudukan selain pihak yang berwenang. Khusus untuk data atau dokumen elektronik, hadirnya Peraturan Menteri Komunikasi dan Informatika (Permenkominfo) No. 20/2016 tentang Perlindungan Data Pribadi dan Peraturan Pemerintah No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) cukup signifikan memberikan perlindungan. Meski demikian, hal yang paling utama adalah bagaimana sistem tata kelola informasi data pribadi itu dijalankan secara aman. Penegakan data pribadi yang bocor dan terjual lebih sulit dilakukan ketimbang pencegahannya.
Menilik kepada aspek pidana, setidaknya ada enam UU yang mengatur mengenai sanksi pidana bocornya kerahasiaan data pribadi, yaitu UU No. 8/1999 tentang Perlindungan Konsumen, UU No. 7/1992 jo. UU No. 10/1998 tentang Perbankan, UU No. 11/2008 jo. UU 19/2106 tentang ITE, UU No. 14/2008 tentang Keterbukaan Informasi Publik, UU No. 40/2014 tentang Asuransi, dan UU No. 23/2006 jo. UU No. 24/2013 tentang Administrasi Kependudukan. Sanksi pidana penjara paling berat ada pada UU ITE dimana sanksi pidana kebocoran data adalah maksimal 10 tahun penjara. Sementara itu, sanksi denda paling berat ada pada UU Perbankan dimana denda maksimum yang bisa dikenakan adalah Rp10 miliar hingga Rp200 miliar.
Dalam hal aspek keperdataan, sejumlah peraturan juga menyediakan instrumen hukum dengan mekanisme keperdataan bagi seseorang yang merasa dirugikan akibat bocornya data pribadi. Mekanisme ini bisa dilakukan di dalam ataupun di luar pengadilan. Regulasi perlindungan konsumen, sektor jasa keuangan, ITE, dan e-commerce menyediakan instrumen yang bersangkutan. Namun demikian, mekanisme ini masih punya pekerjaan rumah besar yaitu berupa eksekusi putusan dan pengembalian data pribadi kepada yang berhak. Merujuk kepada hasil studi Lembaga Kajian dan Advokasi Independensi Peradilan (Leip), eksekusi keperdataan dalam konteks konvensional masih menjadi pekerjaan rumah (PR) paling menantang. Bagaimana dengan eksekusi atas “pengembalian” data pribadi yang bocor ketika data itu bersifat elektronik? Hukum kita belumlah menjangkau hal itu. Dengan berbagai regulasi yang ada, hampir tidak ada peraturan yang mengatur eksekusi elektronik ini. Begitupun dengan konteks “pengembalian”, data yang bocor secara elektronik mudah diduplikasi secara masif dan bagaimana kemudian data ini kembali bisa menjadi “satu” agar data tidak lagi disalahgunakan oleh pihak lain yang mungkin tidak terlibat dalam kasus yang bersangkutan. Hal ini tentu masih menjadi PR bagi negeri ini.
Sebaiknya ke Depan
Agar data pribadi ini bisa lebih terlindungi, perlu langkah jangka pendek, menengah, dan panjang. Dalam jangka pendek, kita tidak bisa bergantung kepada pembahasan dan pengesahan RUU Pelindungan Data Pribadi karena RUU ini letaknya kepada langkah jangka panjang. Dalam jangka pendek ini, optimalisasi regulasi yang ada untuk penegakan hukum dan penyelesaian sengketa seharusnya bisa dilakukan oleh lembaga yang berwenang atau penegak hukum sesuai dengan tugas dan fungsinya masing-masing. Dari aspek substansi perlindungan, regulasi yang ada sekarang masih bisa diandalkan. Dalam jangka menengah, sosialisasi dan awareness mengenai pentingnya kerahasisaan dan pelindungan data pribadi harus terus digaungkan. Lembaga atau perusahaan yang mengelola data pribadi harus terus meningkatkan standar keamanan dan penggunaannya. Dalam jangka panjang, pemerintah dan DPR harus segera membahas dan menyelesaikan pembahasan RUU. Tapi harap diingat, pembahasan tidak boleh meninggalkan partisipasi publik. Pembahasan tidak boleh “masuk angin” atau tekena regulatory capture oleh kepentingan kelompok tertentu. Utamakan kepentingan masyarakat di atas segalanya.
Dalam aspek substansi pelindungan data pribadi dalam RUU, pengaturan pelindungan haruslah mengkombinasikan paradigma data pribadi yang dilekatkan kepemilikan pribadi dan data pribadi bersifat publik ketika teragregasi. Namun demikian, data yang teragregasi bagaimanapun haruslah diatur mengenai aksesnya dengan syarat yang amat ketat. Pengaturan atas data pribadi harus bersifat lintas sektor karena asal muasalnya dari sektor yang berbeda-beda dan praktiknya pun demikian sudah lintas sektoral. Mengingat dunia yang makin sempit dengan masifnya komunikasi dan transaksi elektronik transnasional, maka pengaturan dalam RUU PDP harus berdimensi transnasional dan mengelaborasi yurisdiksi dalam penyelesaian sengketa. Agar bisa terimplementasi, tentu saja diperlukan leading agency dari perlindungan data pribadi ini (baik berbentuk lembaga baru maupun hanya komite) di Indonesia untuk bisa melakukan kolaborasi dan kerja sama dengan regulator luar negeri terkait dengan pelindungan data pribadi dan penegakan hukumnya.
Sumber: https://bahasan.id/data-pribadi-meneropong-kerangka-perlindungan-data-pribadi-di-indonesia/