Jekson Simanjuntak
JAKARTA, MEDIAJAKARTA.COM – Awal tahun ini masyarakat dikejutkan dengan kasus kebocoran data pribadi milik pasien Covid-19 yang dikelola oleh Kementerian Kesehatan.
Tidak hanya data pribadi, data yang bocor meliputi foto, rekam medis pasien, CT scan, hasil tes Covid-19 hingga hasil roentgen yang dikumpulkan dari berbagai rumah sakit di Indonesia. Data berisi 6 juta pasien dengan ukuran mencapai 720GB itu kemudian dijual bebas di situs RaidForum.
Penjual data yang diduga bernama Astarte mengaku menjual data yang berasal dari server terpusat Kemenkes RI. Kasus ini menambah daftar panjang kasus kebocoran data pribadi yang terjadi di Tanah Air.
Merespons pemberitaan yang beredar terkait dugaan kebocoran data, Menteri Komunikasi dan Informatika Johnny G. Plate memerintahkan jajarannya untuk berkomunikasi secara intensif dengan Kementerian Kesehatan.
“Menteri Johnny juga meminta proses penelusuran lebih lanjut sesuai peraturan perundang-undangan yang berlaku,” ujar Dedy Permadi, Juru Bicara Kementerian Kominfo, Kamis (6/1).
Menurut Dedy, Kementerian Kesehatan tengah melakukan langkah-langkah internal merespons dugaan kebocoran yang terjadi termasuk salah satunya melakukan koordinasi dengan Badan Siber dan Sandi Negara (BSSN).
Selanjutnya, Kementerian Kominfo meminta seluruh penyelenggara sistem elektronik (PSE) baik publik maupun privat yang mengelola data pribadi untuk secara serius memerhatikan kelayakan dan keandalan pemrosesan data pribadi.
“PSE perlu memperhatikan ulang aspek teknologi, tata kelola, dan sumber daya manusia,” terangnya.
Munculnya kasus kebocoran data pribadi yang berulang, menurut Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar sebagai alarm tentang pentingnya aturan terkait perlindungan data pribadi. Menurut dia, sama seperti di kasus-kasus sebelumnya, ketidakjelasan penyelesaian mungkin akan terjadi.
Wahyudi menilai, kebocoran data pribadi tidak serta-merta dilakukan oleh pihak luar, namun terbuka kemungkinan adanya keterlibatan pihak internal. “Jika melihat kecenderungan insiden kebocoran data pribadi belakangan, itu kan juga banyak melibatkan aktor publik, melibatkan kementerian/ lembaga. Misalnya, terakhir data pribadi kesehatan yang melibatkan Kementerian Kesehatan,” katanya.
Hal senada diungkapkan oleh Ruby Alamsyah, Founder dan CEO Digital Forensic Indonesia. Menurutnya, ancaman kebocoran data yang terjadi selama ini, berpotensi dilakukan oleh kalangan sendiri maupun pihak luar (eksternal) melalui peretasan.
“Utamanya berasal dari internal hingga peretasan yang cukup masif, sehingga data breach (pelanggaran data) bisa terjadi,” tegasnya.
Kondisi itu menguatkan dugaan bahwa hampir seluruh data pribadi individu di Indonesia sudah bocor. Dan tak sedikit yang telah diperjualbelikan di forum-forum online.
“Kita bisa berkaca dari kasus-kasus besar yang terjadi dalam beberapa tahun terakhir ini,” ujarnya.
CEO PT Digital Forensic Indonesia itu mengatakan, data yang berada di internet kemungkinan besar selalu bisa diakses oleh pihak lain. Hal itu terjadi karena sifat internet adalah global dan publik. Selain itu, internet bisa diakses oleh siapapun, memiliki sifat anonymity, dan memiliki kontrol yang terbatas meskipun ada aturan di masing-masing negara.
“Namun dengan adanya deep web, dark web, kontrol yang sangat terbatas bagi negara-negara, membuat aturan yang ada sudah tertutupi,” katanya.
Hal itu semakin menegaskan bahwa Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) menjadi kebutuhan yang sangat mendesak. Sebab, instrumen hukum yang ada saat ini belum mampu memberikan perlindungan secara menyeluruh. Sementara RUU PDP pembahasannya sudah molor dari target yang ditentukan.
Siap Melanjutkan Pembahasan
Saat menghadiri Rapat Kerja bersama Komisi I DPR RI, Menteri Komunikasi dan Informatika Johnny G. Plate menegaskan, pihaknya terus berkomitmen untuk melanjutkan pembahasan RUU PDP. Untuk itu, ia menunggu jadwal undangan dari Komisi I DPR RI, mengingat RUU PDP merupakan implementasi program prioritas Kementerian Kominfo.
“RUU PDP kan jadwalnya ada di DPR Komisi I DPR. Pemerintah menunggu dari Komisi I dan pemerintah tentu siap untuk menyelesaikannya secepat-cepatnya,” kata Johnny, di Jakarta, Selasa (18/01/2022).
Sebelumnya, pemerintah telah menyampaikan RUU PDP kepada Komisi I DPR RI melalui Surat Presiden pada Februari 2020. Pemerintah selalu hadir untuk melanjutkan pembahasan Daftar Inventarisasi Masalah (DIM).
“Pemerintah menunggu kelanjutan pembahasan dari rapat Panitia Kerja (Panja) untuk menyelesaikan Daftar Inventarisasi Masalah (DIM),” ujarnya.
Menteri Johnny juga menegaskan kesiapan pemerintah untuk mengikuti setiap proses yang berlangsung di DPR. “Pemerintah tentu sangat siap untuk menyelesaikannya, itu salah satu substansi yang dibicarakan di rapat Panja,” terangnya.
Sementara terkait spekulasi yang berkembang, Johnny memastikan, pihaknya tidak ambil pusing namun terus berkoordinasi dengan Komisi I DPR RI. Mereka akan bersama-sama menyelesaikan pembahasan DIM di RUU PDP.
“Saya tidak memberikan komentar terhadap spekulasi-spekuasi substansi DIM, itu dibicarakan di rapat Panja dan tentu komunikasi berlangsung terus dengan DPR,” tukasnya.
Sebelumnya, Ketua Panja RUU PDP Abdul Kharis Almasyhari mengatakan, Komisi I DPR RI telah melakukan konsinyering dalam rangka membahas RUU tentang Perlindungan Data Pribadi (RUU PDP). Konsinyering dilaksanakan bersama panitia kerja RUU PDP Komisi I DPR dengan ketua Panja RUU PDP Pemerintah yang dipimpin oleh Dirjen Aptika Kominfo Semuel Abrijani Pangerapan.
Dari seluruh total 371 DIM, Komisi I DPR RI telah menyelesaikan pembahasan sebanyak 143 DIM, dengan 125 DIM yang telah disetujui dan disepakati.
“Sementara itu, 10 DIM dipending, 6 DIM perubahan substansi dan 2 DIM usulan baru. Jadi kira-kira totalnya sekitar 40 persen,” terangnya. Sedangkan yang belum dibahas berjumlah 228 DIM. Mayoritas berkaitan dengan lembaga pengawasan pelaksanaan UU PDP.
Pada saat pembahasan kelembagaan dalam konsinyering itu, Komisi I DPR RI dan pemerintah pada awalnya memilki kesepahaman bahwa penting untuk membentuk lembaga yang bertanggungawab langsung kepada presiden.
“Namun saat masuk dalam pembahasan, panja pemerintah yang dipimpin Dirjen Aptika Kominfo tidak konsisten dengan kesepahaman yang sudah disepakati sebelumnya,” ujar Kharis yang juga Wakil Ketua Komisi I DPR.
Panja pemerintah kemudian mengajukan konsep lembaga yang berada di bawah Kementerian Kominfo. Akibatnya, konsinyering ditutup dengan tidak tercapainya titik temu antara panja DPR dengan panja pemerintah.
“Panja DPR menilai panja pemerintah tidak serius dan tidak konsisten dengan kesepahaman yang sudah disepakati berkaitan dengan kelembagaan,” ucapnya.
Hal ini dibuktikan dengan paparan yang disampaikan oleh panja pemerintah tentang kelembagaan yang ternyata sangat berbeda dengan yang sebelumnya dipahami bersama.
Pro – Kontra OPD
Anggota Komisi I DPR RI M. Farhan menjelaskan tentang pentingnya lembaga pengawas yang dikenal sebagai Otoritas Perlindungan Data (OPD) tetap berada dibawah Kementrian Kominfo melalui Dirjen Aplikasi Informatika (Dirjen Aptika). Menurutnya, Kementrian Kominfo selaku lembaga pemerintah memiliki kewenangan terkait hal itu.
“Jadi istilahnya gini, kalo kita melihat sudut pandang pemerintah, bahwa lembaga ini nanti atau otoritas perlindangan data akan menjadi otoritas yang memberikan legalitas terhadap penguasa data,” terangnya.
Jika nantinya otoritas diberikan kepada lembaga yang independen, dikhawatirkan lembaga tersebut justru tidak independen. “Ditakutkan malah pengaruh dari kelompok asingnya lumayan besar,” ujarnya.
Sementara jika berada dibawah presiden, “Penanggungjawabnya Menkominfo di bawah kendali presiden dan pertanggungjawabannya langsung ke DPR, jadi memiliki kekuatan politik yang sangat kuat.”
Seandainya OPD yang dibentuk merupakan lembaga independen, Farhan khawatir, lembaga tersebut tidak akan kuat berhadapan dengan berbagai kepentingan global yang hadir melalui perjanjian-perjanjian internasional.
“Karena bagaimana pun juga Indonesia terikat pada perjanjian-perjanjian itu. Dan satu-satunya lembaga yang berhak mewakili negara melakukan perjanjian internasional adalah presiden dan para menterinya,” ujar anggota dewan dari Fraksi Nasdem itu.
Ini yang kemudian menjadi alasan dan pertimbangan penting dari sisi pemerintah. Sedangkan dari DPR, secara mayoritas memilih bertahan untuk membentuk lembaga perlindungan data independen.
Ketika kata sepakat belum dicapai, Nasdem menurut Farhan tetap menginginkan agar OPD berada dibawah kendali Kementerian Kominfo. Alasannya dami efektifitas dan ruang lingkup operasional yang dinilai senafas dengan tupoksi kementerian tersebut.
“Tinggal kita cari mekanisme pengawasan oleh DPR terhadap OPD tersebut, sesuai kewenangannya,” katanya.
Kendati demikian, dia tidak menampik adanya pertanyaan besar terkait kewenangan lebih Kemenkominfo yang sarat kepentingan dan bersinggungan dengan kementerian lain.
Oleh sebab itu, Farhan menekankan, penyelesaian RUU PDP merupakan perdebatan konseptual. Untuk itu, baik pemerintah maupun DPR khususnya Komisi I harus duduk bersama untuk mencari jalan tengah terbaik.
Soal mayoritas fraksi yang mendukung OPD agar bersifat independen diamini oleh Junico Siahaan, anggota Komisi I dari Fraksi PDIP. Menurutnya, mayoritas fraksi telah menyadari pentingnya lembaga pengawas yang independen dan tidak terbelenggu oleh kepentingan apapun.
“Kemarin, semua teman-teman di komisi sebenarnya hampir sama. Semua setuju dengan badan independen,” katanya.
Dia juga menegaskan bahwa tidak ada niat dari Fraksi PDIP untuk menggagalkan RUU yang pembahasannya telah melewati lima masa sidang sepanjang 2020-2021 itu. Terbukti dari beberapa kali pembahasan, fraksinya selalu hadir. “Artinya, tidak benar jika hanya PDIP yang mau badan ini independen,” kata Junico yang akrab disapa Nico.
Bahkan dalam pertemuan terakhir, menurut Nico, fraksinya telah berdialog dengan Menteri Kominfo Johnny G. Plate. Pembicaraan dilakukan dari hati ke hati, karena sebelumnya, perwakilan pemerintah lebih banyak diwakilkan poleh Dirjen Aptika, sehingga mungkin ada saluran komunikasi yang terhambat.
“Artinya, setelah kami ketemu dengan pak dirjen, coba kalo ngomong dengan pak menterinya langsung. Kami bicara, duduk, mencari solusi untuk UU ini cepat diselesaikan,” paparnya.
Di meja perundingan tidak terjadi titik temu, meskipun secara mayoritas fraksi di Komisi I DPR RI mendukung agar badan tersebut bersifat independen.
“Mengapa independen? Karena kita perlu netralitas dalam mengatasi ini, Itu yang kita minta,” tegas Nico.
Jika nantinya lembaga pengawas ada di bawah kementerian, “Jadinya ewuh pakewuhnya terlalu tinggi. Itu yang kami coba menghindari sebenarnya.”
Kedepan, pengelolaan data pribadi warga negara menjadi begitu krusial, karena berhubungan dengan kedaulatan data dan berkaitan dengan ketepatan program pemerintah.
Selama ini, menurut Nico, masing-masing instansi mengumpulkan dan mengelola data pribadi warga, sehingga seringkali tidak sinkron dengan program yang sedang dijalankan pemerintah. “Sehingga program tersebut kadang tidak tepat sasaran, karena berbeda antar masing-masing setiap kementerian,” ujarnya.
Nico menambahkan, “Itu yang sebenarnya coba kita pecahkan, dengan adanya satu pusat data nasional misalnya. Kemudian adanya badan otoritas data yang akan bertanggungjawab terhadap pengaturan penyimpanan data, termasuk datanya kominfo.”
Karena menjadi janggal, jika ternyata kebocoran data justru bersumber dari server pemerintah. Nico mengatakan, jika data yang bocor misalnya data kominfo, lalu siapa yang berhak melakukan investigasi. “Yang ngadilin siapa? Itu makanya kita mau ada badan yang independen.”
Masyarakat Sipil Dukung OPD Independen
Wahyudi Djafar menegaskan, RUU PDP sangat dibutuhkan karena akan mengikat tidak hanya sektor privat, namun juga sektor publik. Juga akan mengatur seluruh institusi pemerintah, baik pemerintah pusat maupun daerah.
Peran pemerintah di RUU tersebut dijelaskan sebagai pengawas perlindungan data pribadi sebagaimana tertuang di pasal 58 dan 59. Pada Pasal 58 disebutkan, pemerintah berperan dalam mewujudkan penyelenggaraan Perlindungan Data Pribadi sesuai dengan ketentuan Undang-Undang ini. Penyelenggaraan pelindungan Data Pribadi dilaksanakan oleh Menteri.
Lalu di Pasal 59, demi kepentingan umum dan/atau kepentingan nasional, kejaksaan selaku pengacara negara berwenang bertindak untuk dan atas nama negara atau pemerintah atas pelanggaran terhadap pelindungan Data Pribadi baik yang dilakukan di dalam negeri maupun di luar negeri. Pelaksanaan kewenangan dilakukan baik di dalam maupun di luar pengadilan.
Hal inilah yang menjadi masalah. Sebab, RUU ini juga memosisikan pemerintah sebagai pengendali dan prosesor data pribadi. “Artinya, jika OPD sebagai pengawas dan penegak hukum di dalam memastikan kepatuhan terhadap UU PDP ada pada Kominfo, itu sama halnya, pemain merangkap wasit,” terangnya.
Ketika Kementerian Kominfo melakukan pemrosesan data pribadi warga negara, dan waktu yang bersamaan melakukan pengawasan dan perlindungan data pribadi, hal itu, menurut Wahyudi tidak logis dan menjadi kontradiksi.
“Tentu akan muncul conflict of interest, karena dia sebagai aktor di dalam pemrosesan data dan juga sebagai pengendali data pribadi. Itu tidak tepat,” katanya.
Ini sama saja dengan Kementerian Kominfo mengawasi dirinya sendiri. Sebuah situasi yang tidak lazim. Sementara itu, maraknya insiden kebocoran data pribadi seperti peristiwa bocornya data Polri, BPJS Kesehatan, e-HAC, termasuk peretasan web pemerintah (Setkab) dan DPR, membuktikan bahwa belum ada kesiapan di sektor publik.
Jika hal itu tetap dipaksakan, Wahyudi khawatir terjadinya kekacauan pola koordinasi. Pasalnya, kurang etis jika Menteri Kominfo memberikan sanksi atau teguran kepada Menteri Kesehatan, atau kepada kementerian lainnya. “Itu kan tidak mungkin,” ucapnya.
Hal itu hanya dimungkinkan jika ada badan independen. Badan tersebut yang berhak memberikan teguran kepada semua instansi pemerintah dan swasta, sesuai dengan kewenangan dan tanggungjawabnya kepada presiden. “Bukan kemudian sesama menteri,” imbuhnya.
Aspek lainnya adalah berkaca dari pengalaman dari banyak negara. Sepengamatan Wahyudi, dari 145 negara yang telah memiliki UU PDP, sebanyak 80 persen diantaranya telah membentuk otoritas perlindungan data pribadi yang bersifat independen.
Peneliti Yayasan TIFA Sherly Haristya juga memiliki pendapat serupa. Menurutnya, RUU PDP harus memberikan kejelasan tentang badan perlindungan data, sehingga menjamin adanya kepastian hukum tentang siapa yang berhak menjalankan fungsi perlindungan data pribadi.
“Jika merujuk pada RUU PDP yang beredar di masyarakat (versi Setneg 2019), disana belum ada pengaturan terkait otoritas sama sekali. Baru dituliskan bahwa otorias ini akan berada di bawah Kominfo,” katanya.
Sherly berharap, pemerintah dan DPR mampu menunjukkan dan membuktikan konsep terkait otoritas khusus di dalam RUU PDP. Sekaligus menguji apakah benar jika kominfo diberi kewenangan untuk memegang otoritas tersebut, maka akan berlaku adil dalam menindak para pelaku pelanggaran data pribadi, yang mungkin saja dilakukan oleh sektor privat maupun sektor publik.
“Beberapa elemen diantaranya harus ada penjelasan mengenai kepemimpinan yang independen, sumber daya dan anggota-anggota yang independen,” pintanya.
Lebih jauh, Sherly mengatakan, “Kami mengharapkan bisa melihat isinya, supaya bisa benar-benar diyakinkan bahwa otoritas ini kelak bisa menjalankan fungsinya secara efektif dan adil.”
Hal itu perlu dijelaskan secara rinci, karena masyarakat relatif awam terhadap isu-isu perlindungan data pribadi. Banyak yang belum memahami tentang pentingnya menjaga privasi ketika berhubungan dengan dunia digital.
Selain itu, perlu ada panduan tentang privasi, baik untuk perusahaan, data processor, termasuk panduan legal basis (persetujuan) serta dasar pemrosesan data pribadi yang memang sangat diperlukan oleh sektor privat dan publik.
Sementara bagi Ruby Alamsyah, konsep otoritas perlindungan data harus didiskusikan secara matang dan diputuskan dengan bijak. Jika tidak ada titik temu antara pemerintah dan DPR berakibat pada pembahasan RUU PDP yang berlarut-larut
Ketika pemerintah ingin otoritas tersebut berada dibawah Kementerian Kominfo, Ruby menilai hal itu berpotensi menimbulkan polemik. Selama ini, Kominfo merupakan entitas yang diawasi oleh parlemen, sehingga sangat mungkin terjadi konflik kepentingan di dalamnya.
“Walaupun alasan Kominfo, data-data di instansi pemerintah merupakan data-data penting dan rahasia. Itu ada caranya kok gak perlu dari luar, pengawasnya bisa berasal dari instansi pemerintah itu sendiri,” terang Ruby.
Lebih jauh dia mengatakan, “Base practisenya yang diluar juga tetap yang independen. Tidak dipimpin oleh pemerintah.”
Hal lainnya terkait dengan agregasi data yang seharusnya mendapatkan persetujuan dari kedua belah pihak. “Tapi yang pertama yang paling krusial, terkait dengan otoritas pengawas pengelolaan data pribadi,” kata Ruby.
Koordinator Divisi Representasi Parlemen Indonesian Parliamentary Center (IPC) Arif Adiputro menilai, perdebatan mengenai otoritas atau kelembagaan dalam pembahasan RUU Pelindungan Data Pribadi (PDP) di DPR perlu mengarah pada satu titik temu dan sebaiknya dibentuk otoritas independen.
“Aspek kelembagaan penting untuk dibahas secara serius dan mendalam oleh pembuat undang-undang (DPR dan Pemerintah), karena kegagalan dalam merumuskan kelembagaan akan berdampak pada efektivitas implementasi undang-undang yang akan disahkan nantinya,” terangnya.
Dalam konteks RUU Pelindungan Data Pribadi, lembaga independen diperlukan dengan berbagai pertimbangan, yakni banyaknya jumlah warga negara sebagai subyek hukum yang akan dilindungi.
“Sebanyak 270,20 juta jiwa penduduk Indonesia (BPS: 2020) adalah subjek data atau pemilik data yang harus dilindungi,” ujarnya.
Selain itu, pengendali atau prosesor data pribadi sangat banyak, meliputi Badan Publik, lembaga non Badan Publik atau korporasi/swasta, maupun individu/orang perseorangan. “Termasuk entitas Indonesia maupun asing dengan beragam kepentingan atau kebutuhan penggunaan/ pemanfaatan data pribadi,” katanya.
Juga ditemukan adanya variasi standar pengaturan pelindungan data pribadi di setiap sektor. Saat ini, berbagai sektor melakukan pengaturan data pribadi secara mandiri sehingga memerlukan standarisasi, harmonisasi dan sinkronisasi, termasuk kekosongan regulasi.
Alasanya berikutnya, lemahnya kesadaran masyarakat tentang pentingnya pelindungan data pribadinya, sekaligus data pribadi orang lain yang ada dalam penguasaannya.
“Terakhir, akses asimetris antara individu/perseorangan sebagai pemilik data dengan Pengendali atau Prosesor yang umumnya korporasi/badan/organisasi,” papar Arif.
Berdasarkan pertimbangan di atas, maka IPC mengusulkan pengaturan soal otoritas kelembagaan PDP yang independen, proaktif (stelsel aktif), kolaboratif, fungsi regulasi dan supervisi, penegakan tindakan korektif, dan dukungan pendanaan independen.
Mengenal GDPR
Pejabat ekonomi dan perdagangan Uni Eropa untuk Indonesia Joko Tirto Raharjo menjelaskan, isu terkait data proteksi merupakan sesuatu yang sangat dinamis dan selalu berkembang dengan cepat di seluruh dunia.
Bahkan di Eropa yang sistemnya sudah sangat mapan, setiap harinya selalu ada penambahan yurisprudensi dari european court terkait perlindungan data pribadi. Semua itu demi memperkuat General Data Protection Regulation (GDPR).
“Bagaimana mem-balancing antara fundamental right dari data protection dengan fundamental right yang lain seperti hak akses dan sebagainya, itu terus berkembang di masyarakat Eropa,” katanya
Sejauh ini, Uni Eropa dan Indonesia berbagi nilai yang sama terkait hak atas privasi dan perlindungan data. Kedua entitas tersebut sama-sama memasukkan perlindungan atas privasi dan perlindungan data di dalam konstitusinya.
Jika Uni Eropa memiliki the Chapter of Fundamental Right of the European Union dan the Treaty on the Functioning of The European Union yang khusus melindungi data pribadi, Indonesia juga memiliki hal serupa.
Pengakuan hak atas privasi tercantum jelas di dalam pasal 28 ayat (1) dan pasal 28H ayat (4) dari UUD 1945. Selain itu ada UU no.29 tahun 1999 tentang konvensi internasional tentang penghapusan segala bentuk diskriminasi rasial.
Khusus Uni Eropa, Joko mengatakan, pasal 7 dan pasal 8 dari The Chapter of Fundamental Right secara eksplisit menyebutkan bahwa hak atas privasi sebagai hak dasar. “Berlaku mengikat di seluruh UE dan seluruh member state UE,” ujarnya.
Sementara artikel 16 dari the Treaty on the Functioning of The European Union menegaskan kewajiban untuk memasukkan pengaturan data, baik dalam data processing maupun data transfer.
“Dalam hal ini UE memiliki keunikan, dimana konstitusinya merupakan satu-satunya di dunia yang memasukkan secara eksplisit kewajiban tersebut,” ungkap Joko.
Itu sebabnya, Uni Eropa memandang privasi sebagai elemen penting terhadap human dignity sekaligus elemen kunci dalam kebebasan demokrasi. Ini juga sejalan dengan transisi digital yang menuntut adanya data protection dan privasi, security and safety, transparansi dan right democracy.
Berdasarkan sejarah, penerapan data protection di Uni Eropa telah berlangsung lama. Setidaknya sudah 50 tahun ketika mereka mengadopsi aturan data protection di Hesel (negara bagian Jerman).
“Sejak itu bermunculan aturan perlindungan data pribadi di berbagai negara Uni Eropa. Namun aturannya masih bersifat sektoral dan terfragmentasi di sejumlah member state saja,” paparnya
Baru di tahun 1995 muncul Europian Data Protection yang berlaku di Uni Eropa dengan sistem yang sangat basic dan belum komprehensif. Seiring perkembangan internet dan tekonolgi, pada tahun 2012, Komisi Uni Eropa mengajukan proposal untuk memperkuat hak privasi online dengan mengajukan reformasi atas data protection narative yang sebelumnya.
Setelah melalui proses legislasi yang panjang, Uni Eropa menghadirkan GDPR di tahun 2016. Dua tahun berselang (2018), Uni Eropa mengadopsi GDPR sebagai hukum. “Setelah itu, implementasi penuh diberlakukan,” terang Joko.
Jika dibandingkan antara GDPR dengan peraturan directive sebelumnya (1995), GDPR yang ada saat ini memberikan kekuasaan penuh bagi lembaga pengawas independen (data protection authorities) untuk melakukan penegakan hukum dan perlindungan data pribadi.
“Termasuk juga mengenakan denda dan pinalti kepada perusahaan yang melanggar aturan data pribadi. Ini telah menciptakan market digital dimana hak azasi manusia dilindungi oleh sistem,” jelasnya.
Secara umum, GDPR menganut empat prinsip dasar. Pertama, sistem perlindungan data harus berlaku umum dan bersifat horizontal sehingga bisa diterapkan di seluruh sektor.
“Ini untuk mencegah terjadinya fragmentasi dan munculnya aturan yang lintas sektoral sehingga mengurangi keluhan dari perusahaan atau individu ataupun sektor publik terhadap aturan perlindungan data pribadi,” katanya.
Kedua, prinsip perlindungan data pribadi harus bisa bersifat teknologi netral. Artinya bisa diterapkan terlepas dari jenis teknologi apapun yang dipilih. “Jangan sampai teknologi menjadi kendala,” jelasnya
Ketiga, sistem perlindungan data yang modern harus memberikan kuasa kepada individu. Bagaimana individu bisa menggunakan datanya sesuai yang mereka mau.
“Ini selama tidak bertentangan dan bertabrakan dengan fundamental right yang lain,” ucap Joko.
Keempat, adanya lembaga pengawas yang independen yang memiliki enforcement power yang efektif.
Adapun penerapan GDPR dalam tiga tahun terakhir, menunjukkan perkembangan pesat, baik dari sisi aturan yang seragam, cross sector, cross member state sehingga terjadi kesetaraan atau level of playing field antara perusahaan Uni Eropa dan perusahaan non Uni Eropa yang beroperasi di Eropa.
Tak hanya itu, GDPR juga diaplikasikan untuk tekonologi terbaru seperti artificial inteligent, termasuk fleksibelitasnya dalam UMKM. Ketika bisnis dan institusi publik menumbuhkan budaya kepatuhan terhadap perlindungan data pribadi, hal itu otomatis menjadi keunggulan kompetitif mereka.
Indonesia Mengacu GDPR
Nico Siahaan mengakui jika RUU PDP yang saat ini sedang dibahas mengacu pada GDPR Uni Eropa. Termasuk usulan tentang pembentukan otoritas perlindungan data yang independen.
“Acuan kita GDPR Uni Eropa. GDPR itu dibuatnya di Uni Eropa dan dikendalikan kepada negara masing-masing. Tetapi kalau otoritas perlindungan data yang kami usulkan, penyelenggaranya harus independen,” katanya.
Nantinya, badan tersebut akan melakukan penyelidikan jika ada pelaporan terkait penyalahgunaan data. “Badan ini dari awal akan menjalankan aturan main, bagaimana mengelola data dan badan ini juga yang menjadi wasit,” terangnya.
Dirjen Aplikasi Informatika, Semuel A. Pangerapan mengatakan, penyusunan RUU PDP juga mengacu pada General Data Protection Regulation (GDPR) yang dimiliki Uni Eropa. Sebagai negara yang memiliki transaksi dengan negara-negara Uni Eropa tersebut, regulasi ini memiliki kekuatan yang sama dengan GDPR untuk melindungi penggunaan data pribadi masyarakat Indonesia.
“Bukan hanya dengan Uni Eropa, regulasi ini juga mampu melindungi pertukaran data dengan negara lainnya,” katanya.
Melalui regulasi tersebut, data pribadi warga negara Indonesia memperoleh perlindungan yang sama dengan negara lain. Seperti diketahui, Indonesia belum memiliki regulasi yang khusus menangani perlindungan data pribadi. Selama ini regulasi yang menyinggung data pribadi masih tersebar di beberapa sektor.
“Regulasi itu kurang kuat, kita perlu regulasi lebih tinggi dan bisa menjadi payung untuk mempermudah pengaturan pertukaran data dengan negara lain. Begitu juga sebaliknya,” ujar Semuel A. Pangerapan dalam webinar Urgensi General Data Protection Regulation (GDPR) di Indonesia, Selasa (03/11/2020).
Wahyudi Djafar mengamini jika materi RUU PDP mengacu pada GDPR Uni Eropa. Nantinya UU Perlindungan Data Pribadi tidak hanya mengikat terhadap pemrosesan data pribadi yang bersifat elektronik, namun juga menjangkau semua bentuk pemrosesan terhadap data pribadi, baik yang sifatnya elektronik (otomatis) maupun data yang bersifat analog, ketika ditujukan untuk kepentingan pengarsipan dan dilakukan secara terus menerus.
“Jadi pemrosesan data terkena kewajiban dari pelaksanaan RUU PDP, kecuali memang pemrosesan data ditujukan untuk rumah tangga, baru tidak terkena kewajiban dari UU ini,” katanya.
Topik Penting di RUU PDP
Hal lain yang menurut Wahyudi masih diperdebatkan adalah keberadaan data sensitif. Di dalam RUU PDP ditemukan kategorisasi terkait data pribadi yang bersifat umum dan data pribadi yang sifatnya spesifik (sensitif).
RUU Pelindungan Data Pribadi sesuai dengan Bab II pasal 3 ayat (1) RUU PDP membagi kategori data pribadi atas dua jenis yakni yang bersifat umum dan yang bersifat spesifik. Data Pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama dan/atau Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Sedangkan Data Pribadi yang bersifat spesifik meliputi data dan informasi kesehatan, data biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
“Secara konsep sebenarnya tidak ada kategorisasi begitu, semua yang menyangkut tentang pribadi seseorang yang bisa mengidentifikasi seseorang, baik secara langsung atau tidak langsung, itu adalah data pribadi yang harus dilindungi,” terangnya.
Hanya saja, di dalam perlindungan data pribadi ditemukan data yang masuk kualifikasi khusus dan membutuhkan tingkat perlindungan yang tinggi. “Itu yang sering disebut sebagai data sensitif,” kata Wahyudi.
Data sensitif biasanya mengacu kepada hukum anti-diskriminasi di suatu negara. Karena seringkali jika data sensitif dibuka akan menimbulkan praktik diskriminasi terhadap pihak tertentu.
Selain itu, RUU PDP masih menyisakan persoalan, ketika memasukkan data pribadi anak sebagai data sensitif. Sementara itu, fakta di lapangan menunjukkan, pemrosesan data pribadi anak marak dilakukan untuk berbagai tujuan, seperti pendidikan, kesehatan bahkan game online.
Semestinya RUU PDP memuat rumusan khusus terkait dengan perlindungan data anak. Di sejumlah negara maju, hal itu dikenal sebagai The Protection Of Minors. “Sayangnya, perlindungan terhadap hal-hal minor, seperti data anak belum dirumuskan,” kata Wahyudi.
Adapun Nico lebih menekankan soal perlindungan data pribadi setiap warga negara yang berlaku umum bagi semua subjek data. “Jangan sampai menguntungkan koorporasi dan mengorbankan hak privasi dari subjek data. Itu permasalahannya,” ujarnya.
Setiap subjek data hendaknya ditawari persetujuan jika melakukan migrasi data. “Kalau saya misalnya ditanya hanya nama, nomor telepon, nama orang tua, okelah saya berikan kepada pengelola data. Tapi jika data itu digunakan untuk misalnya, dia punya anak perusahaan. Perusahaan A, punya anak perusahaan B, kemudian data digunakan oleh anak perusahaan. Nah itu tidak boleh,” tegas Nico
Hal lainnya terkait ancaman hukuman atau sanksi di dalam RUU PDP masih terbuka untuk didiskusikan. Misalnya, apakah sanksi yang diterapkan dalam bentuk ancaman pidana atau denda.
Aturan di RUU PDP telah menghilangkan sanksi pidana bagi Lembaga Negara, atau disebut Badan Publik, bila melakukan pelanggaran data pribadi, mengacu kepada pasal 51 sampai pasal 54 dalam beleid tersebut. Sementara itu perseorangan berpeluang mendapatkan sanksi pidana dan denda sebagaimana dicantumkan dalam pasal 61 sampai pasal 69. Ancaman penjara menanti, bervariasi antara 1 – 5 tahun dengan denda terendah Rp10.000.000.000,00 (sepuluh miliar rupiah) hingga tertinggi Rp70.000.000.000,00 (tujuh puluh miliar rupiah).
“Walaupun ada perbedaan, kita masih bisa ketemu di tengah, karena teman-teman dari fraksi lain pasti punya pemikiran yang berbeda mengenai sanksi, apakah tahanan badan atau hanya denda administrasi,” ungkap Nico.
Sementara itu, Wahyudi memiliki pandangan yang berbeda. Menurutnya, penerapan sanksi pidana versus sanksi denda perlu dimaknai secara cermat. Ketika RUU PDP yang diusulkan pemerintah cenderung pada sanksi pidana, hal itu berpotensi menghasilkan tindak pidana baru.
Itulah sebabnya di dalam RUU PDP, Wahyudi mendorong hadirnya sanksi yang bersifat administratif ataupun denda administratif. Jangan sampai RUU PDP justru mengatur tindak pidana baru.
Secara umum, ketentuan di pasal 30-35 UU ITE telah mengatur terkait tindak pidana sistem elektronik. “Termasuk di dalamnya tindak pidana terkait penyalahgunaan atau serangan terhadap data elektronik,” jelasnya.
Hal lain yang perlu diketahui dari RUU PDP adalah hak memperoleh informasi (pasal 4), hak untuk mendapatkan akses (pasal 6), hak untuk memperbaiki (pasal 7), dan hak untuk menghapus data dan/atau menarik kembali persetujuan pemrosesan data (pasal 8 dan 9).
Selanjutnya, hak untuk pembatasan proses data (pasal 12), hak untuk pemindahan data (pasal 14), hak untuk keberatan serta hak untuk profiling dan pembuatan keputusan secara otomatis (pasal 10).
Khusus hak-hak Pemilik Data Pribadi sebagaimana dimaksud dalam Pasal 8, Pasal 9, Pasal 10, Pasal 11, Pasal 12, dan Pasal 14 dapat dikecualikan untuk kepentingan pertahanan dan keamanan nasional, kepentingan proses penegakan hukum, kepentingan umum dalam rangka penyelenggaraan negara, kepentingan pengawasan sektor jasa keuangan, moneter, sistempembayaran, dan stabilitas sistem keuangan atau agregat data yang pemrosesan itu ditujukan guna kepentingan statistik dan penelitian ilmiah dalam rangka penyelenggaraan negara.
Pengecualian sebagaimana dimaksud pada paragraf sebelumnya, dilaksanakan hanya dalam rangka pelaksanaan ketentuan Undang-Undang.
Menagih Janji Presiden
Berlarut-larutnya pembahasan RUU PDP menurut Nico Siahaan tidak bisa dibiarkan begitu saja. Menurutnya, Presiden Joko Widodo harus turun tangan untuk menyelesaikan deadlock tersebut.
“Misalnya, supaya kita jangan polemik, pak Presiden ngomong deh. Maunya kemana. Nanti polemik, ntar katanya DPR mau begini, kementerian maunya begini,” ujarnya.
Sebelumnya, di momen peringatan Hari HAM Sedunia, Presiden Jokowi memastikan perlindungan data pribadi menjadi perhatian serius pemerintah. Jokowi bahkan memerintahkan Menkominfo segera menuntaskan pembahasan RUU tersebut.
“Perlindungan data pribadi menjadi perhatian serius pemerintah dan menjadi bagian yang tidak terpisahkan dari hak asasi manusia. Untuk itu, saya telah memerintahkan Menkominfo serta kementerian dan lembaga terkait untuk segera menuntaskan RUU Perlindungan Data Pribadi bersama DPR,” kata Jokowi pada Jumat (10/12/2021).
Jokowi juga menjelaskan bahwa RUU Perlindungan Data Pribadi dibuat untuk memberikan perlindungan hak asasi masyarakat agar tidak ada yang dirugikan, terutama di sektor digital.
Sehingga ketika terjadi kebuntuan terkait otoritas perlindungan data, seharusnya pembicaraan tingkat lanjut segera dilakukan oleh pemerintah (presiden) bersama DPR yang diwakili oleh pimpinan.
“Jika pembicaraan antara pemerintah dalam hal ini kementerian, dan tim DPR dalam hal ini Komisi I tidak bisa bertemu, maka yang harus bertemu adalah pimpinan DPR dengan presiden,” papar Nico.
Ketika pemerintah ngotot agar OPD berada dibawah Kementerian Kominfo, Nico mempertanyakan apakah Presiden Jokowi sudah mengatahui hal itu. Jangan sampai presiden belum dilaporkan soal perkembangan terkini.
“Saya bilang, kami mau dengar pemerintah, dalam hal ini Presiden Jokowi maunya apa? Pak Jokowi maunya gimana? Supaya ketika beliau sudah menyampaikan, ini harus segera diselesaikan,” ujarnya.
Sejauh ini, Nico tidak memahami dinamika yang terjadi di pemerintahan, karena pihaknya tidak berhubungan langsung dengan presiden. Namun jika presiden berinisiatif mengajak pimpinan DPR untuk bertemu, hal itu memang dinantikan.
Sependapat dengan Nico, Wahyudi mengusulkan agar Presiden Jokowi perlu bertindak menyikapi deadlock yang kian parah. Sebelumnnya, di hari HAM Internasional presiden secara tegas meminta Kemkominfo bersama DPR segera menyelesaikan RUU PDP.
“Nah, pernyataaan presiden itu kemudian diterjemahkan seperti apa? Artinya mungkin presiden perlu berdialog dengan pimpinan DPR untuk kemudian mencari titik temu, bagaimana yang paling ideal,” katanya.
Jika semuanya diserahkan kepada Menteri Kominfo, sementara publik tidak pernah tahu, apakah suara kominfo adalah sama dengan suara presiden, maka situasi sulit seperti sekarang ini akan berlangsung lama.
“Ini yang mau kita dengar, presiden ini maunya seperti apa? Untuk kemudian di proses bersama dengan DPR,” terang Wahyudi.
Dia juga menegaskan bahwa legislasi merupakan adalah proses bersama antara presiden dengan DPR. “Bukan DPR dengan menteri.” “Artinya, apa yang dikatakan menkominfo, tidak bisa juga kemudian dipersamakan sebagai suara dari presiden, atau sebagai sikap dari presiden,” imbuhnya.
Ketika Indonesia sedang berjuang untuk membangun transformasi digital, maka RUU PDP seharusnya hadir sebagai jawaban yang mampu melindungi warga negaranya. Hal itu menurut Sherly sebagai ruh dari RUU PDP yang tidak boleh dilupakan. “Kita harus membangun pondasi ini dengan benar,” katanya.
Pada situasi seperti sekarang ini, pembahasan RUU PDP terkesan lambat. Sementara kebocoran data terjadi silih berganti. Selalu saja masyarakat yang menjadi korban. Karena itu, Sherly mewanti-wanti agar pembahasannya dipikirkan secara matang. Termasuk pembentukan badan pengawas yang independen.
“Kita harus memastikan bahwa isinya juga benar, supaya kita jangan salah langkah. Jangan sampai pengalaman UU ITE terulang, karena kita memiliki pondasi hukum yang salah, lalu harga yang harus dibayar terlalu besar,” papar Sherly.
Oleh sebab itu, baik DPR maupun pemerintah perlu duduk bersama. “Harus saling dengar, bukan hanya buka kuping tetapi hati juga untuk memadukan kepentingan bersama,” tandasnya. (bersambung)
“Liputan ini merupakan hasil In-Depth Journalism Collaboration on Legislation Issues yang diselenggarakan oleh Indonesian Parliamentary Center.”