e-Paper DPR RI

Lahirnya Undang-Undang Pelindungan Data Pribadi menjadi langkah awal upaya melindungi data pribadi. Turunan dari regulasi ini tetap harus dikawal agar tidak disalahgunakan untuk kepentingan yang merugikan publik.

Oleh RANGGA EKA SAKTI

Disahkannya Undang-Undang Pelindungan Data Pribadi oleh DPR menjadi angin segar di tengah rasa was-was publik terhadap maraknya kasus kebocoran data akhir-akhir ini. Regulasi ini menjadi landasan untuk menjaga kedaulatan data pribadi. Meskipun demikian, implementasinya harus terus dikawal agar undang-undang ini tidak disalahgunakan.

Keputusan DPR menyetujui Undang-Undang Pelindungan Data Pribadi (UU PDP) dalam rapat paripurna di Kompleks Parlemen, Jakarta, Selasa (20/9/2022) merupakan langkah krusial. Seakan tepat waktu, undang-undang ini lahir di saat publik resah akan kondisi keamanan data.

Terlebih lagi, ekosistem digital Indonesia terbukti masih lemah di hadapan para penjahat siber. Buktinya, dalam sebulan terakhir, jutaan data pribadi masyarakat disinyalir telah bocor dan mengalir di berbagai laman jual beli.

Merujuk laporan Global Data Breach Stats (Surfshark) triwulan III-2022, Indonesia merupakan negara terbanyak ketiga di dunia yang paling banyak mengalami peretasan data. Tahun ini, sepanjang Juli-September 2022 sudah terjadi 12,7 juta aksi peretasan data di Indonesia.

Laporan tersebut juga menunjukkan tidak kurang ada 251 negara dan wilayah di dunia yang terkena peretasan data. Ini artinya upaya melakukan perlindungan data pribadi bukanlah soal mudah karena terjadi di seluruh negara.

Hingga saat ini, tidak semua negara memiliki legislasi khusus terkait hal tersebut termasuk Amerika Serikat. Sebagai salah satu negara pengekspor platform media sosial dan produk digital terbesar di dunia pun, AS belum memiliki payung regulasi khusus terkait perlindungan data.

Meskipun belum menjadi UU khusus, klausul perlindungan data sudah masuk dalam ketentuan perundangan seperti contohnya dalam regulasi Komisi Perdagangan Federal (Federal Trade Commicion Act).

Walau pengaturan perlindungan data pribadi pada setiap negara dapat berbeda, pada umumnya pengaturan merujuk pada prinsip-prinsip perlindungan data yang serupa.

Di tingkat internasional, rujukan prinsip-prinsip perlindungan data pribadi terdapat di beberapa dokumen, seperti panduan yang disusun Organisasi untuk Kerja Sama dan Pembangunan Ekonomi (OECD), ketentuan sertifikasi Cross-Border Privacy Rules (CBPR) yang dikeluarkan oleh forum Kerja Sama Ekonomi Asia Pasifik (APEC), serta regulasi perlindungan data pribadi Uni Eropa (General Data Protection Regulation/GDPR).

Prinsip pelindungan

Dalam UU PDP, prinsip perlindungan data ini tercantum dalam Pasal 16 ayat 2. Jika dibandingkan, prinsip-prinsip perlindungan data dalam UU PDP sudah cukup sejalan dengan perspektif pelindungan yang telah digunakan di tataran internasional.

Pertama, prinsip data pribadi harus diambil dan digunakan hanya dengan persetujuan dari pemilik atau subjek data pribadi. Prinsip ini sejalan dengan prinsip pembatasan pengambilan data (collection limitation) yang terkandung dalam panduan OECD dan sertifikasi CBPR.

Selanjutnya, prinsip kedua yaitu data pribadi yang diambil harus dibatasi, baik dari segi penggunaan, pengolahan hingga jangka waktu penyimpanan.

Hal ini juga selaras dengan prinsip perlindungan dengan tujuan yang spesifik (purpose specification) milik OECD, batasan penggunaan informasi pribadi (uses of personal information) dalam pedoman CBPR, dan batasan tujuan (purpose limitation) yang terkandung dalam ketentuan GDPR.

Prinsip ketiga ialah data pribadi yang dikumpulkan harus akurat, terbaharui dan individu yang diambil data pribadinya berhak mengajukan koreksi atas datanya. Paradigma ini serupa dengan prinsip partisipasi/pilihan individu seperti yang tercantum dalam panduan OECD dan CBPR.

Sementara prinsip keempat yang lebih memuat keamanan data pribadi memiliki kesamaan perspektif dengan prinsip kualitas data (data quality) dalam panduan OECD, integritas informasi pribadi (integrity of personal information) di CBRP dan akurasi (accuracy) dalam GDRP.

Prinsip kelima terkait pelindungan dan keamanan data pribadi cukup setara dengan prinsip menjaga keamanan data (security safeguard) yang terkandung dalam panduan OECD dan CBPR serta prinsip integritas dan kerahasiaan (integrity and confidentiality) dalam GDPR.

Lebih lanjut, prinsip keenam dalam UU PDP yaitu memberitahukan tujuan dan aktivitas pemrosesan serupa dengan prinsip pemberitahuan (notice) di CBRP.

Selanjutnya, prinsip ketujuh yang mengatur batas akhir penggunaan data pribadi setara dengan prinsip batasan penyimpanan (storage limitation) yang terkandung dalam GDPR. Terakhir, prinsip kedelapan yaitu pemrosesan data pribadi dilakukan secara bertanggung jawab memiliki kesamaan dengan prinsip akuntabilitas (accountability) dalam panduan OECD, CBPR maupun GDRP.

Dari panduan, sertifikasi, dan regulasi pelindungan data pribadi di atas, dapat terlihat benang merah prinsip perlindungan data pribadi yang diakui di ranah internasional dan juga di Indonesia. Beberapa prinsip yang selalu ada di keempatnya ialah, pertama, data pribadi harus diambil dan digunakan hanya dengan persetujuan dari pemilik atau subjek data pribadi.

Kedua, data pribadi yang diambil harus dibatasi, baik dari segi penggunaan, pengolahan hingga jangka waktu penyimpanan. Ketiga, data pribadi yang dikumpulkan harus akurat, terbaharui, dan individu yang diambil data pribadinya berhak untuk mengajukan koreksi atas datanya.

Keempat, pihak yang mengontrol data pribadi harus bisa menjamin keamanan data pribadi yang mereka kelola dan melindunginya dari berbagai resiko termasuk kehilangan, pengerusakan, penggunaan oleh pihak tak berwenang hingga resiko terbukanya data pribadi.

Beberapa prinsip tersebut sudah dipenuhi dalam UU PDP. Prinsip pertama telah dipenuhi oleh beberapa pasal, seperti Pasal 21-26. Selanjutnya, prinsip kedua dipenuhi oleh Pasal 27 dan Pasal 28. Prinsip ketiga dapat terlihat pemenuhannya di Pasal 29 dan 30. Sedangkan, prinsip keempat dipenuhi oleh Pasal 34 sampai 40 UU PDP.

Tidak hanya memenuhi prinsip, hal positif lain yang nampak dari UU PDP ini ialah adanya pasal terkait sanksi yang akan diberikan kepada pihak-pihak yang terbukti melanggar aturan yang terkandung dalam UU PDP. Adanya sanksi ini tentunya akan memperkuat pelindungan data pribadi di Indonesia.

Pasal kontroversial

Harus diakui, UU PDP menjadi langkah awal untuk melindungi data pribadi masyarakat. Bangunan undang-undang yang sudah sesuai dengan prinsip pelindungan data yang diakui dunia internasional ini tentu patut diapresiasi.

Meskipun begitu, bukan berarti proses kehadiran regulasi ini sudah selesai. Hal yang paling penting untuk terus dikawal setelah pengesahan UU ialah potensi penggunaan legislasi ini untuk kepentingan otoritas.

Lubang celah ini salah satunya dapat ditemukan dalam pasal terkait tidak berlakunya perlindungan demi kepentingan pertahanan dan keamanan nasional. Klausul kepentingan pertahanan dan keamanan nasional ini belum dijelaskan secara rinci, sehingga berpotensi untuk menimbulkan tafsiran yang luas.

Bukan tanpa alasan, berdasarkan pengalaman sebelumnya, celah serupa di UU Informasi dan Transaksi Elektronik (ITE) dapat dimanfaatkan oleh pihak otoritas untuk melakukan kontrol terhadap suara oposan. Secara konsisten, puluhan orang dijerat menggunakan pasal-pasal karet di dalam UU tersebut. Bahkan, UU “sakti” ini mampu menerabas UU lain terkait kebebasan informasi seperti UU Pers.

Selain itu, persoalan ini erat dengan konsep privasi. Salah satu definisi dari privasi atau hak atas privasi dikemukakan oleh Warren dan Brandeis (1890) yang menjelaskan konsep hak atas privasi sebagai hak hukum didasarkan pada kehormatan pribadi dan penghargaan terhadap martabat serta otonomi individu.

Maka dari itu, penting bagi pemerintah untuk menyiapkan aturan turunan yang jelas dan gamblang. Jangan sampai, akibat “kepentingan pertahanan dan keamanan nasional” yang kabur, penghormatan dan perlindungan terhadap privasi sebagai poin fundamental dalam perlindungan data tidak terpenuhi.

Selain itu, perbedaan sanksi yang diberikan kepada pengendali dan pemroses data swasta dan badan publik juga menjadi poin yang patut untuk dipertanyakan. Di satu sisi, pelanggaran yang dilakukan oleh pihak swasta dapat diganjar dengan denda administratif hingga ancaman pidana.

Sedangkan di sisi lain, pelanggaran yang dilakukan oleh badan publik “hanya” dihukum dengan sanksi administratif saja. Ketimpangan sanksi ini bisa menjadi sumber yang melemahkan akuntabilitas para pengendali dan pemroses data yang berstatus badan publik. Kekhawatiran ini patut dimaklumi mengingat rekam jejak upaya perlindungan data pribadi oleh pemerintah yang terkesan belum serius.

Pasalnya, kebocoran juga dapat bersumber dari laman resmi institusi publik. Sebagai contohnya, pada September 2021 lalu, laman KPU secara gamblang memampang data pribadi (Nama dan NIK). Bahkan, salah satu “korban” kecerobohan ini ialah Presiden Joko Widodo yang nomor induk kependudukan (NIK) sempat tersebar di internet.

Keberadaan UU PDP hanyalah salah satu unsur dasar dalam perlindungan data pribadi. Regulasi ini menjadi penting untuk menjaga kedaulatan data pribadi.

Kehadiran UU ini juga masih membutuhkan kompetensi dari pengendali data pribadi terutama lembaga penyelenggara perlindungan data pribadi. Bukan hanya untuk mengantisipasi kebocoran, kompetensi dari pengendali data ini diperlukan agar regulasi ini tidak mudah disalahgunakan. (LITBANG KOMPAS)