Bincang Negara: Kebijakan Privasi Data Masih Mengkhawatirkan

Reading Time: 4 minutes

Cambridge Analytica (CA). Pernah dengar? Harusnya sih sudah karena kasus CA yang berhasil mendapat data dari pengguna Facebook (FB), plus ada dugaan penggunaannya yang mempengaruhi pemilu di USA tahun 2016 ini muncul baru saja tahun lalu, 2018. Efeknya tentu saja sangat besar, terutama di USA. Beberapa petinggi perusahaan, khususnya Facebook, harus dipanggil untuk menjelaskan, dan hal ini masih terus berlangsung hingga saat ini.

Bertepatan pada tahun itu(2018), GDPR Law dari Uni Eropa pun mulai diterapkan per 25 Mei 2018. Praktis kesadaran privasi data menjadi tinggi di berbagai belahan dunia. GDPR sendiri adalah update dari peraturan yang ada sebelumnya, tapi perubahan yang ada memang membuat banyak layanan di Internet harus mengubah proses dan aturan yang mereka terapkan.

Nah sekarang kita kembali ke bahasan di judul, yaitu tentang kebijakan perlindungan data di Indonesia. Apakah ada? Sebenarnya ada, tapi agak tercecer dan beberapa hanya di tingkat peraturan menteri (permen) yang tidak memiliki sanksi pidana. Berikut adalah daftar aturan yang mengatur tentang perlindungan data pribadi di Indonesia.

Produk HukumJumlah Pasal
1.        Rancangan Undang-Undang Tentang Perlindungan Data dan Informasi Pribadi48 Pasal
2.        Peraturan Menteri Komunikasi dan Informasi Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik37 Pasal
3.        Peraturan Pemerintah Nomor 37 Tahun 2007 Tentang Pelaksanaan Undang-Undang Nomor 23 Tahun 2006 Tentang Administrasi Kependudukan13 Pasal
4.        Undang-Undang Nomor 23 Tahun 2006 Tentang Administrasi Kependudukan8 Pasal
5.        Peraturan Pemerintah Nomor 82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik6 Pasal
6.        Peraturan Pemerintah Nomor 83 Tahun 2012 Tentang Pertuubahan Atas Peraturan Pemerintah Nomro 5 Tahun 2009 Tentang Bantuan Keuangan Kepada Partai Politik6 Pasal
7.        Undang-Undang Nomor 24 Tahun 2013 Tentang Revisi Administrasi Kependudukan4 Pasal
8.        Peraturan Menteri Komunikasi dan Informasi Nomor 11 Tahun 2016 Tentang Klasifikasi Permainan Interaktif Elektronik3 Pasal
9.        Undang-Undang Nomor 19 Tahun 2016 Tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik3 Pasal
10.    Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik2 Pasal
11.    Undang-Undang Nomor 43 Tahun 2009 Tentang Kearsipan2 Pasal
12.    Undang-Undang Nomor 56 Tahun 1999 Tentang Rakyat Terlatih2 Pasal
13.    Peraturan Menteri Komunikasi dan Informasi Nomor 4 Tahun 2016 Tentang Sistem Manajemen Pengaman Informasi1 Pasal
14.    Peraturan Menteri Komunikasi dan Informasi Nomor 36 Tahun 2014 Tentang Tata Cara Pendaftaran Penyelenggara Sistem Elektronik1 Pasal
15.    Peraturan Menteri Komunikasi dan Informasi Nomor 11 Tahun 2010 Tentang Penyelenggaraan Layanan Televisi Protokol Internet (Internet Protocol Television / IPTV)1 Pasal
16.    Undang-Undang Nomor 36 Tahun 2009 Tentang Kesehatan1 Pasal
17.    Undang-Undang Nomor 11 Tahun 2012 Tentang Sistem Peradilan Pidana Anak1 Pasal
18.    Undang-Undang Nomor 3 Tahun 1997 Tentang Pengadilan Anak1 Pasal
19.    Undang-Undang Nomor 10 Tahun 2011 Tentang Perubahan Atas Undang-Undang Nomor 32 Tahun 2007 Tentang Perdagangan Berjangka Komoditi1 Pasal
20.    Undang-Undang Nomor 32 Tahun 2007 Tentang Perdagangan Berjangka Komoditi1 Pasal

Setidaknya ada 20 pasal yang berhubungan dengan perlindungan data. Apa saya sudah baca semua? Nggak sih, hanya beberapa yang menurut saya penting. Sayangnya RUU Tentang Perlindungan Data dan Informasi Pribadi belum bisa diakses draftnya (kalau ada yang tahu dan memang boleh dipublikasikan kasitau saya ya).

Dengan adanya 20 aturan(19, karena satu masih berupa RUU) apakah data pribadi penduduk sudah menjadi perhatian pemerintah ataukah masih sekedar wacana dan formalitas? Mari kita bahas. Oiya, tolong dibaca secara penuh, jangan asal potong.

Kenapa perlu dibahas? Sebagian tweet berikut cukup menjelaskan.

Apa hanya ini alasan harus dibahas? Tentu saja tidak, anda pasti hingga saat ini masih menerima sms tawaran yang anda yakin bahwa anda tidak kenal nomor pengirimnya. Belum lagi kasus fintech ilegal yang menggunakan data kontak sebebasnya. Tahun lalu saya juga pernah menulis kasus situs lapor yang secara tidak sengaja membiarkan hak akses lampiran yang dilampirkan penggunanya yang beberapa berisi data ktp, kk, bpjs, dsb (nb: saat ini sudah diproteksi).

Untuk itu mari kita lihat beberapa peraturan tentang perlindungan data. UU No 19 Tahun 2016, perubahan atau UU No 11 Tahun 2008, Pasal 26 ayat 1, Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.

Lalu, berdasarkan Peraturan Menteri Komunikasi dan Informatika No 20 tahun 2016 Pasal 36 ayat 1 menyatakan bahwa,

Setiap Orang yang memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarluaskan Data Pribadi tanpa hak atau tidak sesuai dengan ketentuan dalam Peraturan Menteri ini atau peraturan perundang-undangan lainnya dikenai sanksi administratif sesuai dengan ketentuan peraturan perundang-undangan berupa: a. peringatan lisan; b. peringatan tertulis; c. penghentian sementara kegiatan; dan/ataud. pengumuman di situs dalam jaringan (website online).

Kalau melihat dari dua UU yang ada, harusnya sih sudah ada peraturan yang melindungi, iya kan? Benar, tapi juga salah. Kenapa? Karena dalam kedua peraturan tersebut tidak ada definisi “Data Pribadi” yang dimaksud.

Untuk itu mari merujuk pada penjelasan di situs kliklegal.com,

Selain itu, Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan juga mengatur perlindungan data pribadi. Pasal 1 ayat (22) mendefinisikan Data Pribadi sebagai “data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.”

Pasal 2 huruf (c) menegaskan bahwa salah satu hak penduduk yaitu memperoleh perlindungan atas data pribadi serta huruf (f) mengenai ganti rugi dan pemulihan nama baik sebagai akibat kesalahan dalam Pendaftaran Penduduk dan Pencatatan Sipil serta penyalahgunaan Data Pribadi oleh Instansi Pelaksana.

Sedangkan, data pribadi penduduk yang harus dilindungi, sebagaimana disebut Pasal 84 ayat (1), di antaranya adalah: a. nomor KK; b. NIK; c. tanggal/bulan/tahun lahir; d. keterangan tentang kecacatan fisik dan/atau mental; e. NIK ibu kandung; f. NIK ayah;dan g. beberapa isi catatan Peristiwa Penting.

Perhatikan, definisi Data Pribadi pada UU No 23 Tahun 2006 Pasal 1 ayat (22) mendefinisikan Data Pribadi sebagai “data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.”. Selanutnya, pada pasal 84 ayat 1, Data Pribadi Penduduk yang harus dilindungi memuat: a. nomor KK; b. NIK; c. tanggal/bulan/tahun lahir; d. keterangan tentang kecacatan fisik dan/atau mental; e. NIK ibu kandung; f. NIK ayah;dan g. beberapa isi catatan Peristiwa Penting;

Kalau merujuk pada definisi data pribadi di UU No 23 Tahun 2006, maka beberapa kasus seperti jual beli data NIK dan KK mungkin bisa dituntut. Tapi penggunaan data di luar definisi itu maka bisa jadi akan susah diproses secara hukum. Belum lagi aturan perlindungan data pribadi hanya setingkat peraturan menteri yang hanya memiliki sanksi administratif. Sedangkan UU ITE hanya mengatur pada ranah di media elektronik.

Dengan kondisi seperti ini, maka sebenarnya wajar jika masyarakat masih perlu untuk mempertanyakan komitmen pemerintah dalam melindungi data milik masyarakat. Meskipun begitu, seperti yang dilansir oleh Tempo, Kominfo sendiri berharap RUU Perlindungan Data Pribadi bisa diterbitkan pada tahun 2019. Tapi hal ini masih menimbulkan banyak pernyataan, karena hingga saat ini belum ada draft yang terlihat. Karena jika hanya mengubah dari peraturan menteri yang ada, dan menaikkan tingkat sanksi yang diberikan, maka bisa jadi perlindungan data pribadi sifatnya masih terbatas. Jadi jangan kaget kalau banyak kasus data, pemerintah seakan kurang serius menanggapi. Karena memang tidak ada payung hukumnya.

Berdasarkan kondisi yang ada, jika nantinya draft RUU Perlindungan Data Pribadi telah ada, maka ada beberapa hal yang harus diperhatikan:

  1. Definisi Data Pribadi
  2. Peraturan yang mengatur pengumpulan, pengelolaan, penyebaran, penghapusan tentang data pribadi, termasuk jika data dikelola pihak di luar pemerintah, yaitu : lembaga/perusahaan domestik, lembaga/perusahaan internasional
  3. (….)

Ada kesalahan penjelasan tentang interpretasi UU atau peraturan yang disebut? Laporkan melalui komentar atau kirim ke alamat gamalan[at]empat[dot]id.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.