DPR belum lama ini mengesahkan revisi atas Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik melalui Undang-Undang No. 19 Tahun 2016 (UU 19/2016). Perubahan usulan pemerintah dan DPR ini mendapat banyak dan beragam tanggapan dari masyarakat. Namun, satu ketentuan baru yang menarik untuk diperhatikan adalah pasal yang disebut oleh pihak Kementerian Kominfo (Kominfo) sebagai ‘right to be forgotten’ (hak untuk dilupakan).
Ketentuan mengenai right to be forgotten dimuat sebagai ayat tambahan dalam Pasal 26 UU 19/2016 dan ayat tersebut berbunyi sebagai berikut: setiap penyelenggara sistem elektronik wajib menghapus informasi mengenai seseorang yang tidak relevan yang berada di bawah kendalinya atas permintaan orang tersebut dan berdasarkan penetapan pengadilan (Pasal 26 ayat (3)).
Sebagai informasi, right to be forgotten merupakan konsep hukum yang berasal dari dan berkembang di negara-negara Uni Eropa sejak tahun 1970-an (Gabriela Zanfir, 2014). Tapi, konsep ini baru menjadi buah bibir beberapa tahun belakangan karena kasus di Pengadilan Uni Eropa (Court of Justice of the European Union) yang melibatkan perusahaan informasi teknologi raksasa asal Amerika Serikat, Google Inc.
Karena pihak Kominfo menggunakan istilah right to be forgotten untuk menggambarkan ketentuan Pasal 26 ayat (3) UU 19/2016, pertanyaan yang kemudian timbul adalah apakah secara substansi pasal tersebut sama dengan konsep right to be forgotten yang berlaku di negara-negara Uni Eropa?
Untuk mendapatkan jawaban atas pertanyaan di atas, konsep right to be forgotten perlu dipahami terlebih dahulu dan kasus Google Inc. di pengadilan Luxembourg sebagaimana disinggung di atas dapat digunakan sebagai acuan untuk mengetahui seluk beluk konsep right to be forgotten.
Kasus Google Spain SL dan Google Inc.
Berawal dari pemberitaan La Vanguardia terkait sebuah kasus kepailitan yang dialami oleh seorang warga negara Spanyol di tahun 1998, Mario Costeja González mengajukan gugatan pada tahun 2010 ke Agencia Española de Protección de Datos (AEPD) – instansi di Spanyol yang berwenang menangani kasus-kasus pelanggaran data pribadi – terhadap La Vanguardia dan Google Inc. serta anak perusahaan Google di Spanyol, Google Spain SL.
Google Inc. dan Google Spain SL turut digugat karena setiap kali pengguna internet memasukkan nama González ke dalam mesin pencari Google, Google menampilkan link yang mengarahkan pengguna ke laman web La Vanguardia yang berisi berita kepailitan González pada tahun 1998.
Di dalam gugatannya, González meminta (i) La Vanguardia untuk menghapus atau mengubah laman web yang memuat berita tentang dirinya dan (ii) Google Inc. atau Google Spain SL untuk menghapus atau menyembunyikan informasi menyangkut dirinya sehingga setiap kali pengguna internet melakukan pencarian, link berita mengenai pailitnya González tidak muncul di daftar hasil pencarian.
González mengajukan gugatan ini karena kasus kepailitan yang dialaminya sudah terselesaikan sehingga pemberitaan atas dirinya menjadi tidak lagi relevan.
Dalam putusannya, walaupun permohonan pertama González ditolak karena La Vanguardia melakukan pemberitaan tersebut sesuai ketentuan yang berlaku di Spanyol dan dilakukan dalam rangka mencari peserta lelang sebanyak-banyaknya, AEPD mengabulkan permohonan kedua González.
Merasa dirugikan dengan putusan AEPD, Google Inc. dan Google Spain SL mengajukan upaya hukum dengan cara mengajukan gugatan kepada pengadilan tinggi Spanyol, Audiencia Nacional.
Akan tetapi, Audiencia Nacional tidak langsung meladeni gugatan Google oleh karena adanya aspek hukum yang membutuhkan kejelasan. Alhasil, Audiencia Nacional meminta Pengadilan Uni Eropa sebagai pengadilan tertinggi di Uni Eropa untuk memberikan pencerahan terkait kasus ini.
Pada 13 Mei 2014, Pengadilan Uni Eropa akhirnya memberikan penetapan terkait kasus Google. Sehubungan dengan right to be forgotten, berikut adalah kesimpulan Pengadilan Uni Eropa:
Ketentuan mengenai right to be forgotten dimuat sebagai ayat tambahan dalam Pasal 26 UU 19/2016 dan ayat tersebut berbunyi sebagai berikut: setiap penyelenggara sistem elektronik wajib menghapus informasi mengenai seseorang yang tidak relevan yang berada di bawah kendalinya atas permintaan orang tersebut dan berdasarkan penetapan pengadilan (Pasal 26 ayat (3)).
Sebagai informasi, right to be forgotten merupakan konsep hukum yang berasal dari dan berkembang di negara-negara Uni Eropa sejak tahun 1970-an (Gabriela Zanfir, 2014). Tapi, konsep ini baru menjadi buah bibir beberapa tahun belakangan karena kasus di Pengadilan Uni Eropa (Court of Justice of the European Union) yang melibatkan perusahaan informasi teknologi raksasa asal Amerika Serikat, Google Inc.
Karena pihak Kominfo menggunakan istilah right to be forgotten untuk menggambarkan ketentuan Pasal 26 ayat (3) UU 19/2016, pertanyaan yang kemudian timbul adalah apakah secara substansi pasal tersebut sama dengan konsep right to be forgotten yang berlaku di negara-negara Uni Eropa?
Untuk mendapatkan jawaban atas pertanyaan di atas, konsep right to be forgotten perlu dipahami terlebih dahulu dan kasus Google Inc. di pengadilan Luxembourg sebagaimana disinggung di atas dapat digunakan sebagai acuan untuk mengetahui seluk beluk konsep right to be forgotten.
Kasus Google Spain SL dan Google Inc.
Berawal dari pemberitaan La Vanguardia terkait sebuah kasus kepailitan yang dialami oleh seorang warga negara Spanyol di tahun 1998, Mario Costeja González mengajukan gugatan pada tahun 2010 ke Agencia Española de Protección de Datos (AEPD) – instansi di Spanyol yang berwenang menangani kasus-kasus pelanggaran data pribadi – terhadap La Vanguardia dan Google Inc. serta anak perusahaan Google di Spanyol, Google Spain SL.
Google Inc. dan Google Spain SL turut digugat karena setiap kali pengguna internet memasukkan nama González ke dalam mesin pencari Google, Google menampilkan link yang mengarahkan pengguna ke laman web La Vanguardia yang berisi berita kepailitan González pada tahun 1998.
Di dalam gugatannya, González meminta (i) La Vanguardia untuk menghapus atau mengubah laman web yang memuat berita tentang dirinya dan (ii) Google Inc. atau Google Spain SL untuk menghapus atau menyembunyikan informasi menyangkut dirinya sehingga setiap kali pengguna internet melakukan pencarian, link berita mengenai pailitnya González tidak muncul di daftar hasil pencarian.
González mengajukan gugatan ini karena kasus kepailitan yang dialaminya sudah terselesaikan sehingga pemberitaan atas dirinya menjadi tidak lagi relevan.
Dalam putusannya, walaupun permohonan pertama González ditolak karena La Vanguardia melakukan pemberitaan tersebut sesuai ketentuan yang berlaku di Spanyol dan dilakukan dalam rangka mencari peserta lelang sebanyak-banyaknya, AEPD mengabulkan permohonan kedua González.
Merasa dirugikan dengan putusan AEPD, Google Inc. dan Google Spain SL mengajukan upaya hukum dengan cara mengajukan gugatan kepada pengadilan tinggi Spanyol, Audiencia Nacional.
Akan tetapi, Audiencia Nacional tidak langsung meladeni gugatan Google oleh karena adanya aspek hukum yang membutuhkan kejelasan. Alhasil, Audiencia Nacional meminta Pengadilan Uni Eropa sebagai pengadilan tertinggi di Uni Eropa untuk memberikan pencerahan terkait kasus ini.
Pada 13 Mei 2014, Pengadilan Uni Eropa akhirnya memberikan penetapan terkait kasus Google. Sehubungan dengan right to be forgotten, berikut adalah kesimpulan Pengadilan Uni Eropa:
- Apabila data yang mengenai seseorang diproses oleh penyelenggara mesin pencarian dan hal tersebut melanggar hak asasi (fundamental rights) orang tersebut, maka penyelenggara mesin pencarian tidak dapat melakukan pemprosesan dengan dalih adanya kepentingan yang sah (legitimate interests) (misalnya mencari keuntungan). Sekedar informasi, memproses data dalam konteks ini artinya mengumpulkan, merekam, mengatur, menyusun, menyimpan, mengubah, menggunakan, mengumumkan dan/atau kegiatan lainnya menyangkut data pribadi seseorang (umumnya menggunakan metode otomatisasi);
- Individu dapat meminta penyelenggara mesin pencarian untuk menghapus link ke laman web pihak ketiga yang berisi informasi mengenai individu tersebut yang muncul atas hasil pencarian yang dilakukan oleh pengguna internet melalui mesin pencarian milik pihak penyelenggara, sepanjang informasi tersebut dianggap (a) tidak akurat (inaccurate), (b) tidak memadai (inadequate), (c) tidak lagi relevan (no longer relevant) atau (d) menyimpang (excessive) dari tujuan awal informasi tersebut digunakan; dan
- Dalam hal informasi mengenai seseorang dirasa sangat perlu untuk diketahui oleh khalayak ramai atau demi kepentingan umum (contoh: informasi yang dimaksud berkaitan dengan orang yang memiliki peran atau kedudukan penting di suatu negara, sehingga masyarakat perlu untuk mengetahui informasi tentang dirinya), ketentuan di atas dapat disimpangi dan pihak penyelenggara tidak perlu menghapus atau melakukan apapun.
Kasus di atas dianggap sebagai preseden penting karena konsep right to be forgotten diuji dan diaplikasikan untuk pertama kalinya dalam sebuah kasus riil. Walapun konsep ini sudah ada lebih dari 40 tahun, right to be forgotten baru diatur secara eksplisit dalam peraturan perundang-undangan Uni Eropa pada 27 April 2016, melalui Regulation 2016/679 atau dikenal dengan sebutan General Data Protection Regulation.
General Data Protection Regulation
Umumnya dikenal dengan singkatan GDPR, peraturan ini diterbitkan oleh Parlemen Eropa (European Parliament) dan Dewan Uni Eropa (Council of the European Union) untuk menciptakan harmonisasi pengaturan mengenai perlindungan data pribadi di seluruh negara anggota Uni Eropa.
Perlu diketahui, GDPR baru akan berlaku tanggal 25 Mei 2018. Oleh karena itu, ketentuan yang terdapat di Directive 95/46/EC (aturan tentang perlindungan data pribadi yang berlaku di Uni Eropa sejak tahun 1995) akan tetap valid sebelum GDPR berlaku efektif.
Pasal 17 GDPR memuat ketentuan tentang right to be forgotten.
Pasal 17 ayat (1) GDPR memberikan hak kepada pemilik data pribadi (data subject) untuk meminta data atau informasi mengenai dirinya yang berada di bawah kendali pengelola data (data controller) untuk dihapus atas dasar salah satu butir di bawah ini:
General Data Protection Regulation
Umumnya dikenal dengan singkatan GDPR, peraturan ini diterbitkan oleh Parlemen Eropa (European Parliament) dan Dewan Uni Eropa (Council of the European Union) untuk menciptakan harmonisasi pengaturan mengenai perlindungan data pribadi di seluruh negara anggota Uni Eropa.
Perlu diketahui, GDPR baru akan berlaku tanggal 25 Mei 2018. Oleh karena itu, ketentuan yang terdapat di Directive 95/46/EC (aturan tentang perlindungan data pribadi yang berlaku di Uni Eropa sejak tahun 1995) akan tetap valid sebelum GDPR berlaku efektif.
Pasal 17 GDPR memuat ketentuan tentang right to be forgotten.
Pasal 17 ayat (1) GDPR memberikan hak kepada pemilik data pribadi (data subject) untuk meminta data atau informasi mengenai dirinya yang berada di bawah kendali pengelola data (data controller) untuk dihapus atas dasar salah satu butir di bawah ini:
- Data atau informasi yang bersangkutan tidak lagi diperlukan guna mencapai tujuan awal penggunaan data atau informasi tersebut oleh pihak pengelola data;
- Pemilik data pribadi mencabut persetujuan yang sebelumnya diberikan kepada pengelola data sehubungan dengan penggunaan data atau informasi mengenai dirinya; atau
- Pemilik data pribadi berkeberatan data atau informasi mengenai dirinya diproses lebih lanjut oleh pengelola data.
Tetapi, right to be forgotten di GDPR memiliki batasan. Permohonan yang diajukan oleh pemilik data pribadi dalam rangka right to be forgotten tidak serta merta harus diamini oleh pengelola data. Pengelola data tidak wajib menghapus data yang dimohonkan selama dapat dibuktikan bahwa pemprosesan data atau informasi mengenai seseorang memenuhi salah satu alasan dalam Pasal 17 ayat (3) GDPR sebagai berikut:
- Dalam rangka menjalankan hak kebebasan berekspresi;
- Demi kepentingan umum di bidang kesehatan; atau
- Untuk kepentingan (a) kegiatan pengarsipan yang berhubungan dengan kepentingan umum, (b) penelitian atau (c) statistik.
Jika dibandingkan dengan right to be forgotten di kasus Google, right to be forgotten di Pasal 17 GDPR jelas memiliki cakupan yang lebih luas dan berisi beberapa hal yang baru. Meskipun demikian, terdapat dua benang merah di antara right to be forgotten di kasus Google dan Pasal 17 GDPR, yaitu pelaksanaan right to be forgotten (i) harus bisa dijustifikasi atau beralasan dan (ii) tidak berlaku mutlak atau memiliki batasan.
Right to be ForgottenAla Kadarnya
Kembali ke pertanyaan di awal: apakah secara substansi right to be forgotten versi UU 19/2016 sama dengan right to be forgotten yang berlaku di negara-negara Uni Eropa (sebagaimana diatur dalam putusan kasus Google dan Pasal 17 GDPR)?
Singkat kata, jawabannya tidak.
Aturan right to be forgotten berdasarkan putusan kasus Google dan Pasal 17 GDPR tidak melulu tertuju pada pemilik data. Kedua sumber hukum tersebut mengatur right to be forgotten sedemikian rupa agar penerapannya berimbang dan tidak melanggar atau mendiskreditkan hak atau kepentingan pihak lain. Selain itu, aturan check and balance ini dijabarkan dengan jelas, sehingga mengurangi potensi penyalahgunaan right to be forgotten.
Sedangkan, right to be forgotten versi UU 19/2016 dibuat ala kadarnya. Para perancang UU 19/2016 di Senayan tampaknya tidak memperhatikan banyak hal ketika membahas dan memasukkan aturan right to be forgotten.
Ketentuan mengenai right to be forgotten di UU 19/2016 hanya menitikberatkan pada pemberian hak kepada individu untuk menuntut penghapusan informasi atau data mengenai individu tersebut (Pasal 26 ayat (3)). Minimnya pengaturan right to be forgotten berpotensi menyebabkan ketidakpastian hukum, dan pihak penyelenggara sistem elektronik kemungkinan besar menjadi pihak yang paling merasakan dampaknya.
Lebih lanjut, bukannya memasukkan ketentuan mengenai limitasi penggunaan right to be forgotten, para arsitek UU 19/2016 malah membuat penetapan pengadilan sebagai bentuk check and balance atas penggunaan right to be forgotten (Pasal 26 ayat (3)).
“The blind are not good trailblazers”(seorang tunanetra bukan perintis yang mahir), demikian kata seorang hakim pengadilan tinggi asal Amerika Serikat bernama Frank Hoover Easterbrook. Check and balance di Pasal 26 ayat (3) mengkhawatirkan karena tanpa adanya aturan main yang jelas mengenai pelaksanaan right to be forgotten, hakim tidak memiliki acuan dan berpotensi memberikan penetapan hukum yang kebablasan – bak seorang tunanetra yang merintis hutan belantara, yang kemungkinan besar akan tersesat.
*) Mohammad Iqsan Sirie, pemerhati hukum di bidang perlindungan data pribadi.
Right to be ForgottenAla Kadarnya
Kembali ke pertanyaan di awal: apakah secara substansi right to be forgotten versi UU 19/2016 sama dengan right to be forgotten yang berlaku di negara-negara Uni Eropa (sebagaimana diatur dalam putusan kasus Google dan Pasal 17 GDPR)?
Singkat kata, jawabannya tidak.
Aturan right to be forgotten berdasarkan putusan kasus Google dan Pasal 17 GDPR tidak melulu tertuju pada pemilik data. Kedua sumber hukum tersebut mengatur right to be forgotten sedemikian rupa agar penerapannya berimbang dan tidak melanggar atau mendiskreditkan hak atau kepentingan pihak lain. Selain itu, aturan check and balance ini dijabarkan dengan jelas, sehingga mengurangi potensi penyalahgunaan right to be forgotten.
Sedangkan, right to be forgotten versi UU 19/2016 dibuat ala kadarnya. Para perancang UU 19/2016 di Senayan tampaknya tidak memperhatikan banyak hal ketika membahas dan memasukkan aturan right to be forgotten.
Ketentuan mengenai right to be forgotten di UU 19/2016 hanya menitikberatkan pada pemberian hak kepada individu untuk menuntut penghapusan informasi atau data mengenai individu tersebut (Pasal 26 ayat (3)). Minimnya pengaturan right to be forgotten berpotensi menyebabkan ketidakpastian hukum, dan pihak penyelenggara sistem elektronik kemungkinan besar menjadi pihak yang paling merasakan dampaknya.
Lebih lanjut, bukannya memasukkan ketentuan mengenai limitasi penggunaan right to be forgotten, para arsitek UU 19/2016 malah membuat penetapan pengadilan sebagai bentuk check and balance atas penggunaan right to be forgotten (Pasal 26 ayat (3)).
“The blind are not good trailblazers”(seorang tunanetra bukan perintis yang mahir), demikian kata seorang hakim pengadilan tinggi asal Amerika Serikat bernama Frank Hoover Easterbrook. Check and balance di Pasal 26 ayat (3) mengkhawatirkan karena tanpa adanya aturan main yang jelas mengenai pelaksanaan right to be forgotten, hakim tidak memiliki acuan dan berpotensi memberikan penetapan hukum yang kebablasan – bak seorang tunanetra yang merintis hutan belantara, yang kemungkinan besar akan tersesat.
*) Mohammad Iqsan Sirie, pemerhati hukum di bidang perlindungan data pribadi.