Minggu, 22 Juli 2018 03:58 WIB
BJB JULI V 2

Opini

Urgensi Undang-Undang Perlindungan Data Pribadi di Indonesia

Redaktur: Syaripudin

Ade Bagus Riadi, S.H.

Associate Law Firm Prihatwono

Baru-baru ini dunia teknologi dihebohkan skandal bocornya data pribadi lebih dari 50 juta pengguna Facebook dan disalahgunakan ke pihak ketiga (red: Cambridge Analytica) sebuah perusahaan konsultasi politik yang berbasis di London. Data tersebut diduga digunakan Cambridge Analytica untuk kepentingan kampanye politik Donald Trump pada saat pilpres Amerika Serikat 2016 silam.

Skandal ini diketahui setelah Christopher Wylie, mantan kepala bagian riset di Cambridge Analytica mengungkap skandal tersebut kepada media, The Observer. Dia menceritakan bahwa kami (Cambridge Analytica) mengeksploitasi Facebook untuk memanen jutaan profil orang-orang. Dan membuat model untuk mengeksploitasi apa yang kami tahu mengenai mereka dan menyasar emosi hati mereka.

Itulah dasar dari keseluruhan yang dibangun oleh Cambridge Analytica. Lebih lanjut ia menceritakan, orang yang paling bertanggungjawab terhadap kebocoran data ke Cambridge Analytica adalah Aleksandr Kogan pendiri perusahaan Global Science Research (GSR). Kogan diduga telah membuka akses yang dimilikinya ke Facebook untuk memanen data melalui jaringan aplikasinya sebagai pengembang aplikasi di Facebook dan menjualnya ke Cambridge Analytica.

Dari data itulah kemudian Cambridge Analytica memanfaatkannya untuk kepentingan kampanye Donald Trump dengan cara kampanye online melalui iklan dan konten-konten terkait dukungan Trump yang dikirimkan ke akun-akun pengguna Facebook tesebut guna meyakinkan keputusan mereka memilih Trump.

​Facebook dalam keterangannya menampik bahwa mereka dengan sengaja membocorkan data pengguna Facebook ke Cambridge Analytica, pada awalnya Facebook memang memberik akses kepada Kogan untuk riset pengalaman pengguna menggunakan aplikasi jaringan yang terhubung ke Facebook. Tapi ternyata Kogan memberikannya kepada Cambridge Analytica tanpa seizin dan sepengetahuan Facebook.

Namun Facebook, melalui pernyataan CEO Facebook Mark Zuckerberg, bahwa ia telah gagal melindungi data pribadi pengguna Facebook dan kedepannya akan melakukan perbaikan dan pengetatan pengembang aplikasinya dalam megakses Facebook.

​Atas skandal ini Facebook mengalami kerugian hingga miliaran dolar dan muncul kampanye di media sosial ajakan untuk menghapus Facebook dengan tagar #deleteFacebook. Facebook pun juga digugat secara hukum oleh para pemegang sahamnya yang merasa dirugikan atas kasus ini.

Menurut keterangan mereka, Facebook telah melakukan pernyataan dan tindakan keliru. Karena Facebook tidak mengumumkannya kepada pemegang saham mengenai kebijakan pengaksesan data miliaran penggunanya pada pihak ketiga. Kasus ini telah membuka mata dunia sebagai peringatan bahwa pentingnya suatu regulasi yang baik untuk menjamin privasi atau keamanan dari data pribadi masyarakat.

​Regulasi di Amerika mengenai perlindungan data pribadi sendiri belum mempunyai regulasi tersendiri yang mengatur secara komprehensif mengenai perlindungan data pribadi, namun terdapat regulasi khusus yang tersebar di beberapa sektor. Seperti di sektor perdagangan diatur dalam The Federal Trade Commission Act (FTC Act), sektor keuangan diatur dalam The Financial Services Modernization Act, sektor kesehatan diatur dalam The Health Insurance Portability and Accountability dan lain-lain.

Jadi kasus skandal Facebook diinvestigasi melalui FTC Act untuk menangani kasus bocornya data ini. FTC Act ini adalah hukum perlindungan konsumen federal yang melarang praktek kecurangan atau penipuan yang dilakukan baik secara offline atau online terkait kebijakan privasi dan keamanan data.

Jadi di Amerika belum mempunyai Regulasi tersendiri mengenai perlindungan data pribadi yang dapat diterapkan di semua sektor. Hal ini berbeda dengan negara-negara lain yang telah memiliki regulasi tersendiri mengenai Perlindungan Data Pribadi seperti di Jepang yang memiliki 2 regulasi mengenai hal ini, yaitu Act on the Protection of Personal Information tentang perlindungan informasi pribadi di sektor privat dan Act on the Use of Numbers to Identify a Specific Individual in the Administrative Procedure di sektor publik prosedur administratif.

Jepang juga telah mempunyai komisi khusus yaitu Personal Information Protection Commission Japan yang bertugas melindungi hak-hak dan kepentingan individu ketika memasukkan data pribadi termasuk My Number (Nomor ponsel yang terintegrasi di Jepang). Hampir sama dengan Jepang, Korea Selatan juga telah memiliki regulasi mengenai perlindungan data pribadi yaitu Personal Information Protection Act (PIPA).

Aturan itu menjunjung tinggi hak privasi individu masyarakat Korea dengan komisi khusus Personal Information Protection Commission (PIPC) yang bertugas dalam melindungi hak privasi individu dengan mengkaji dan menyelesaikan kebijakan terkait data pribadi, mengkordinasikan perbedaan di antara lembaga-lembaga negara dalam memproses data pribadi, agar hak privasi dan keamanan data informasi tetap terjaga.

​Di regional ASEAN pun sudah banyak negara-negara yang telah mengadopsi dan memiliki regulasi mengenai Perlindungan Data Pribadi. Seperti Malaysia yang mempunyai regulasi Perlindungan Data Pribadi sejak 2010 dengan Personal Data Protection Act Number 709 bahkan sudah dibentuk Komisi Perlindungan Data Pribadi.

Sedangkan Singapura dengan Personal Data Protection Act Singapore yang dikeluarkan pada 2012 yang mengatur mulai dari pengumpulan, penggunaan, informasi apa saja yang boleh diperlihatkan, dan keamanan data pribadi, regulasi ini bertujuan untuk melindungi data pribadi individu termasuk hak akses dan koreksi data, kebolehan yang mengatur tentang kebutuhan organisasi yang digunakan untuk pengumpulan, penggunaan untuk tujuan yang sah dan tidak bertentangan dengan hak privasi.

Singapura juga telah memiliki komisi Perlindungan Data Pribadi. Tercatat sampai tahun 2016 hanya ada 2 negara di ASEAN yang belum memiliki Undang-Undang Perlindungan Data Pribadi yaitu Laos dan Indonesia. Namun Laos sudah masuk pada Baleg untuk RUU Perlindungan Data Pribadi, sedangkan Indonesia belum jelas RUU Perlindungan Data Pribadi yang digagas Pemerintah melalui Kominfo dan diajukan kepada DPR apakah akan masuk Prolegnas atau tidak.

Sebetulnya Indonesia telah memiliki regulasi mengenai Perlindungan Data Pribadi namun masih terpecah-pecah di beberapa sektor dan tumpang tindih sehingga belum memiliki satu undang-undang yang mengatur secara tersendiri dan menyeluruh yang dapat diterapkan pada semua sektor secara pasti dan jelas.

Sedikitnya Indonesia telah memiliki 30 regulasi yang memiliki keterkaitan dengan pengumpulan dan pengelolaan data pribadi, termasuk penyadapan. Kewenangan tersebut dilakukan untuk berbagai macam bidang, seperti media telekomunikasi, pertahanan dan keamanan, penegakan hukum, kesehatan, kependudukan, perdagangan, serta perekonomian.

Tapi tidak seluruhnya memberikan perlindungan hukum yang nyata dengan prosedur yang jelas. Misalnya, dalam bidang perbankan, pengakuan kewajiban perlindungan data nasabah ditemukan dalam UU Perbankan dan UU Perbankan Syariah. Setelah kehadiran UU Otoritas Jasa Keuangan, kewajiban Bank Indonesia untuk melindungi data nasabah digantikan oleh lembaga independen OJK.

Tapi UU tersebut belum menjelaskan mekanisme pemulihan jika terjadi pelanggaran. Hal itu juga belum diatur dalam UU Perlindungan Konsumen, yang seharusnya mengakomodasi kerugian konsumen dalam hal kebocoran data. Proyek e-KTP dari pemerintah yang mengumpulkan hampir seluruh jenis data pribadi dari warga negara, bahkan sampai dengan ciri-ciri khusus biometriknya, melalui perekaman data retina mata.

Sedangkan, pemerintah sendiri hingga saat ini tidak pernah bisa secara baik menjelaskan mengenai prosedur pengelolaan, pengolahan, penyimpanan, dan perlindungan data pribadi warga negara yang telah dikumpulkan. Peraturan Presiden No. 67/2011 yang menjadi rujukan proyek ini sendiri, tidak sekalipun mengatur mengenai mekanisme perlindungan data pribadi yang terkait e-KTP.

Demikian pula dalam konteks data pribadi secara viral di Internet. Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) sebagai salah satu regulasi hukum Internet juga belum memberikan perlindungan data pribadi. Pasal 26 UU ITE memberikan gambaran umum mengenai persyaratan persetujuan pemilik data dalam segala akses data pribadi di media elektronik, tapi tidak mengatur secara jelas mengenai mekanisme internal yang harus dilakukan pengumpul data dan tindakan setelah terjadinya pelanggaran.

​Gambaran di atas menunjukkan bahwa Indonesia masih absen dalam perlindungan data pribadi. Dampaknya, mekanisme pengumpulan dan pengelolaan data yang dilakukan oleh swasta ataupun negara tidak memiliki kepastian hukum dan berpotensi membuka ruang kesewenang-wenangan.

Alhasil, warga kembali dirugikan karena data privasinya tidak dapat dilindungi. Berbeda dengan negara-negara tetangga yang sudah memiliki regulasi mengenai perlindungan data pribadi, Indonesia jelas telah ketinggalan karena belum mempunyai regulasi atau payung hukum Perlindungan Data Pribadi. Apalagi dengan terbongkarnya skandal kebocoran data pengguna Facebook yang disalahgunakan oleh pihak ketiga, semakin menegaskan pentingnya memiliki suatu Undang-Undang mengenai Perlindungan Data Pribadi.

Apalagi dengan kasus dugaan kebocoran e-KTP soal selisih 45 juta data e-KTP pasca pendaftaran nomor telepon seluler yang akan berakhir 1 Mei mendatang. Terdapat perbedaan data di Direktorat Jenderal (Dirjen) Kependudukan dan Catatan Sipil (Dukcapil) dan operator seluler. Setiap warga negara Indonesia yang sudah mengurus akte kelahiran pasti memiliki NIK.

Berdasarkan NIK ini nanti akan dikelola semua data setiap individu warga negara untuk mengurus berbagai keperluan salah satunya adalah registrasi telepon seluler didasarkan pada NIK. Perlindungan terhadap NIK sangat penting karena jika disalahgunakan bisa digunakan untuk menipu hingga merampok rekening uang milik orang lain di bank.

Terlebih jika masa depan sistem pemungutan suara menggunakan e-voting, manipulasi suara bisa saja dilakukan dengan menggunakan NIK. Jika tidak diantisipasi sejak sekarang, akan merugikan negara dan masyarakatnya. Oleh karena itu Indonesia seharusnya memiliki aturan mengenai Perlindungan Data Pribadi yang dibuat oleh Pemerintah bersama DPR dalam bentuk Undang-Undang Perlindungan Data Pribadi.

​Aturan semacam ini sangat dibutuhkan agar adanya kepastian dan kejelasan bagi masyarakat karena saat ini aturan-aturan yang ada di Indonesia tersebar di berbagai peraturan perundang-undangan sektoral (perbankan, kesehatan, teknologi dan informatika, telekomunikasi, dsb.) – dan umumnya aturan-aturan tersebut tidak mengatur soal data pribadi secara mendalam.

Undang-undang ini diharapkan akan menjadi payung hukum bagi aturan-aturan berbagai sektoral dengan tujuan mengharmonisasi aturan terkait perlindungan data pribadi sehingga menghindari tumpang tindih aturan dan akan memberikan perlindungan yang layak bagi pemilik data pribadi atas data pribadi miliknya yang disimpan atau dikelola oleh pihak penyelenggara data pribadi.

Keberadaan Undang-Undang ini juga penting dari sisi kerjasama ekonomi internasional untuk memfasilitasi perdagangan antar negara karena negara-negara di Uni Eropa yang memberlakukan EU General Data Protection Regulation bisa menolak melakukan transfer data kepada negara yang tidak memiliki atau tidak memberikan perlindungan data pribadi secara setara. (www.prihatwono.co.id)


TOPIK BERITA TERKAIT: #opini 

Berita Terkait

Permainan Suit Jokowi, Prabowo dan Anies

Opini

Zohri Sebentar Lagi

Opini

Koalisi Istana Akan Pecah?

Opini

Jangan Politisasi Ojol Penumpang

Opini

Trend Baru: Bayar Bagasi Apa Lagi

Opini

TGB Berlabuh di Istana, Fakta atau Ilusi?

Opini

IKLAN