Hingga tulisan ini dimuat, Indonesia belum memiliki aturan komprehensif (dalam satu UU) tentang perlindungan data pribadi. Akan tetapi, Prolegnas di DPR telah merencanakan dan Pemerintah telah menyusulkan draf awal soal RUU tentang perlindungan data pribadi.
Secara implisit, konstitusi Indonesia (UUD NRI 1945) memuat norma tentang perlindungan data pribadi. Pasal 28G ayat (1) memuat “setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya,…”.
Hak yang dimuat dalam norma ini tidak bersifat absolut, tapi berlaku pembatasan berdasarkan ketentuan Pasal 28J. MK RI memberikan tafsir terhadap Pasal 28G ayat (1) perihal hak privasi yang dapat dikaitkan dengan hak atas perlindungan data pribadi dalam Putusan 20/PUU-XIV/2016. Walaupun dalam konsep privacy and data protection, dua hak tersebut memiliki perbedaan.
Dalam Putusan No.5/PUU-VIII/2011, MK juga menulis bahwa right to privacy merupakan bagian dari hak asasi manusia (derogable rights) dan cakupan dari right to privacy meliputi informasi atau right to information privacy, disebut juga data privacy (data protection). Sejumlah peraturan dan putusan pengadilan juga meneguhkan hak privasi.
Di antaranya, Pasal 32UU 39/1999 tentang HAM dan UU No. 12 Tahun 2005 tentang Pengesahan International Covenant on Civil and Political Rights 1976. MK pun telah memberikan argumentasi hukum tentang hak privasi dalam tiga putusannya, yaitu, PMK No. 006/PUU-I/2003, PMK No. 012-016-019/PUU-IV/2006 dan PMK No. 5/PUU-VIII/2010.
Data pribadi dalam UU ITE
UU ITE (11/2008 yo. 19/2016) sebagai UU generik memuat norma perlindungan data pribadi pada Pasal 26, yang pada intinya, penggunaan setiap informasi di media elektronik yang terkait dengan data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan atau berdasarkan hukum positif (peraturan perundang-undangan). Pada dasarnya ketentuan ini memuat dua dasar legitimasi pemrosesan data pribadi yaitu (a) consent/ persetujuan; dan (b) norma hukum positif. Kedua prinsip ini adalah dasar lawful data processing.
Penjelasan/tafsir resmi dari pasal ini tertulis bahwa perlindungan data pribadi adalah bagian dari privacy rights dengan pengertian (i) hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan; (ii) hak untuk dapat berkomunikasi dengan orang lain (perseorangan dan/atau badan hukum) tanpa tindakan memata-matai; (iii) hak untuk mengawasi akses tentang kehidupan pribadi dan data seseorang. Selain itu, tanggung jawab dan kewajiban perlindungan data pribadi lebih utama diupayakan/wujudkan kepada setiap pengguna data pribadi di media elektronik (the users of data, either data controller or data processor).
Data is the new oil
Mengingat bahwa di era revolusi empat ini, data menjadi driver (penentu/pengendali) dalam hampir setiap keputusan bisnis, sosial dan pemerintahan. Artikel dari majalah the Economist, pada 6 Mei 2017, telah menulis dengan judul: The world’s most valuable resource is no longer oil, but data. Pada Tahun 2009, Meglena Kuneva, European Consumer Commissioner, menyatakan bahwa personal data is the oil of the Internet and the new currency of the digital world.
Selain itu, diskusi dan debat soal data pribadi mulai mendominasi dibanding hak privasi saat ini karena selain data is the new gold, kajian data pribadi juga terkait dengan fenomena media sosial, reformasi hukum (big data on government), menyangkut pemberitaan negatif atas reputasi perusahaan plus upaya perusahaan atas klaim-klaim ganti kerugian, data protection dan privasi menjadi unique selling point, pelanggaran atas perlindungan data pribadi sebagai bagian dari pelanggaran privasi, aturan denda yang cukup tinggi bagi perusahaan yang tidak mematuhi (contoh: denda GDPR up to 4% of worldwide turnover), data pribadi juga lebih kongkret (tangible) dibandingkan privasi, dan alasan lain sebagainya.
Minggu lalu, 11 September 2017, Otoritas Perlindungan Data Pribadi Spanyol (Spanish DPA–Data Protection Authority) memberi sanksi denda kepada Facebook di Uni Eropa sebesar 1.200.000 Euro (sekitar 19 miliar rupiah) karena melanggar ketentuan perlindungan data pribadi. Pada Desember 2014 lalu, Google pernah diancam akan diberi sanksi sebesar 18.600.000 Euro (sekitar 29 miliar rupiah) oleh DPA Belanda bila tidak mengubah cara pengumpulan data pribadi untuk tujuan target advertising. Penulis mengumpulkan sejumlah kasus-kasus serupa di CJEU (Court of Justice of the European Union) dan ECtHR selama menempuh studi di Tilburg University, Belanda.
Pengertian data pribadi
Di era internet of things, big data, blockchain, 3D printing, cloud computing dan machine learning saat ini, pengertian tentang data pribadi semakin berkembang (expanding concept) karena kadang sulit menentukan data yang secara tidak langsung menjadi bagian dari data pribadi. Atau pertanyaan what data are personal? dianggap semakin tidak mudah untuk dirumuskan dalam kalimat hukum, khususnya dalam menentukan, suatu data yang secara tidak langsung menjadi bagian dari data pribadi (identifiability concept). Bahkan telah terjadi dalam praktik big data processing bahwa non-personal data dapat dicari/diubah menjadi personal data (diketahui pemilik data tersebut).
UU ITE tidak memberi definisi hukum tentang data pribadi. Akan tetapi, jika dilihat dari tafsir resmi tentang hak pribadi (pivacy right) dalam Pasal 26 ayat (1), data pribadi meliputi urusan kehidupan pribadi termasuk (riwayat) komunikasi seseorang dan data tentang seseorang. Padahal dalam konsep, data pribadi tidak melulu informasi tentang urusan pribadi seseorang (domestik sphere), tetapi juga informasi tentang riwayat profesional dan kehidupan publik seseorang (professional and public life) karena urusan pribadi seseorang juga beririsan dengan urusan publik yang bersangkutan (interpesonal relationships dan juga fakta-fakta yang terjadi di ruang publik).
Peraturan delegasi dari UU ITE, PP No. 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik, memuat definisi data pribadi yaitu data perseorangan tertentu yang disimpan, dirawat, dijaga kebenaran serta dilindungi kerahasiaannya (Pasal 1 angka 27).
Kewajiban semua penyelenggara sistem elektronik antara lain: (a) menjaga kerahasiaan, akses dan keutuhannya (data integrity); (b) menjamin bahwa consent atas penggunaan data pribadi telah didapat, atau legalitas pemrosesannya berdasarkan hukum (lawful data processing); (c) tujuan penggunaan data pribadi hanya berdasarkan persetujuan pada saat data tersebut diberikan (purpose limiation). Karena telah mengatur perihal data integrity, maka setiap terjadi kegagalan (kebocoran data) dalam perlindungan data pribadi wajib memberitahukan secara tertulis kepada data subjek tersebut. Demikian materi muatan Pasal 15 PP 82/2012.
Kemudian, Peraturan Menteri tentang Perlindungan data pribadi (Perkominfo 20/2016) memberi definisi hukum tentang “data perseorangan tertentu”, meliputi unsur-unsur: pertama “data” adalah “setiap keterangan yang benar dan nyata”, kedua setiap keterangan tersebut melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu; dan ketiga, segala pemanfaatannya harus sesuai dengan perundang-undangan yang berlaku. Pengertian tersebut mengandung konsep derajat identifikasi data pribadi (identifiability) dan jika ditafsir menurut argumentum a contratio juga ditemukan data anonimus (data bukan perseorangan tertentu) atau non-peronal data.
Selain itu, Perkominfo juga mengatur kewajiban keterwakilan data center dan disaster recovery center luar negeri untuk represent di wilayah Indonesia. Hal lain seperti, data breach notification dan overseas data transfer secara sederhana juga telah diatur. Penulis telah memetakan norma dalam Perkominfo 20/2016 dalam bentuk MindMap (akses link ini),yakni:
Secara implisit, konstitusi Indonesia (UUD NRI 1945) memuat norma tentang perlindungan data pribadi. Pasal 28G ayat (1) memuat “setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya,…”.
Hak yang dimuat dalam norma ini tidak bersifat absolut, tapi berlaku pembatasan berdasarkan ketentuan Pasal 28J. MK RI memberikan tafsir terhadap Pasal 28G ayat (1) perihal hak privasi yang dapat dikaitkan dengan hak atas perlindungan data pribadi dalam Putusan 20/PUU-XIV/2016. Walaupun dalam konsep privacy and data protection, dua hak tersebut memiliki perbedaan.
Dalam Putusan No.5/PUU-VIII/2011, MK juga menulis bahwa right to privacy merupakan bagian dari hak asasi manusia (derogable rights) dan cakupan dari right to privacy meliputi informasi atau right to information privacy, disebut juga data privacy (data protection). Sejumlah peraturan dan putusan pengadilan juga meneguhkan hak privasi.
Di antaranya, Pasal 32UU 39/1999 tentang HAM dan UU No. 12 Tahun 2005 tentang Pengesahan International Covenant on Civil and Political Rights 1976. MK pun telah memberikan argumentasi hukum tentang hak privasi dalam tiga putusannya, yaitu, PMK No. 006/PUU-I/2003, PMK No. 012-016-019/PUU-IV/2006 dan PMK No. 5/PUU-VIII/2010.
Data pribadi dalam UU ITE
UU ITE (11/2008 yo. 19/2016) sebagai UU generik memuat norma perlindungan data pribadi pada Pasal 26, yang pada intinya, penggunaan setiap informasi di media elektronik yang terkait dengan data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan atau berdasarkan hukum positif (peraturan perundang-undangan). Pada dasarnya ketentuan ini memuat dua dasar legitimasi pemrosesan data pribadi yaitu (a) consent/ persetujuan; dan (b) norma hukum positif. Kedua prinsip ini adalah dasar lawful data processing.
Penjelasan/tafsir resmi dari pasal ini tertulis bahwa perlindungan data pribadi adalah bagian dari privacy rights dengan pengertian (i) hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan; (ii) hak untuk dapat berkomunikasi dengan orang lain (perseorangan dan/atau badan hukum) tanpa tindakan memata-matai; (iii) hak untuk mengawasi akses tentang kehidupan pribadi dan data seseorang. Selain itu, tanggung jawab dan kewajiban perlindungan data pribadi lebih utama diupayakan/wujudkan kepada setiap pengguna data pribadi di media elektronik (the users of data, either data controller or data processor).
Data is the new oil
Mengingat bahwa di era revolusi empat ini, data menjadi driver (penentu/pengendali) dalam hampir setiap keputusan bisnis, sosial dan pemerintahan. Artikel dari majalah the Economist, pada 6 Mei 2017, telah menulis dengan judul: The world’s most valuable resource is no longer oil, but data. Pada Tahun 2009, Meglena Kuneva, European Consumer Commissioner, menyatakan bahwa personal data is the oil of the Internet and the new currency of the digital world.
Selain itu, diskusi dan debat soal data pribadi mulai mendominasi dibanding hak privasi saat ini karena selain data is the new gold, kajian data pribadi juga terkait dengan fenomena media sosial, reformasi hukum (big data on government), menyangkut pemberitaan negatif atas reputasi perusahaan plus upaya perusahaan atas klaim-klaim ganti kerugian, data protection dan privasi menjadi unique selling point, pelanggaran atas perlindungan data pribadi sebagai bagian dari pelanggaran privasi, aturan denda yang cukup tinggi bagi perusahaan yang tidak mematuhi (contoh: denda GDPR up to 4% of worldwide turnover), data pribadi juga lebih kongkret (tangible) dibandingkan privasi, dan alasan lain sebagainya.
Minggu lalu, 11 September 2017, Otoritas Perlindungan Data Pribadi Spanyol (Spanish DPA–Data Protection Authority) memberi sanksi denda kepada Facebook di Uni Eropa sebesar 1.200.000 Euro (sekitar 19 miliar rupiah) karena melanggar ketentuan perlindungan data pribadi. Pada Desember 2014 lalu, Google pernah diancam akan diberi sanksi sebesar 18.600.000 Euro (sekitar 29 miliar rupiah) oleh DPA Belanda bila tidak mengubah cara pengumpulan data pribadi untuk tujuan target advertising. Penulis mengumpulkan sejumlah kasus-kasus serupa di CJEU (Court of Justice of the European Union) dan ECtHR selama menempuh studi di Tilburg University, Belanda.
Pengertian data pribadi
Di era internet of things, big data, blockchain, 3D printing, cloud computing dan machine learning saat ini, pengertian tentang data pribadi semakin berkembang (expanding concept) karena kadang sulit menentukan data yang secara tidak langsung menjadi bagian dari data pribadi. Atau pertanyaan what data are personal? dianggap semakin tidak mudah untuk dirumuskan dalam kalimat hukum, khususnya dalam menentukan, suatu data yang secara tidak langsung menjadi bagian dari data pribadi (identifiability concept). Bahkan telah terjadi dalam praktik big data processing bahwa non-personal data dapat dicari/diubah menjadi personal data (diketahui pemilik data tersebut).
UU ITE tidak memberi definisi hukum tentang data pribadi. Akan tetapi, jika dilihat dari tafsir resmi tentang hak pribadi (pivacy right) dalam Pasal 26 ayat (1), data pribadi meliputi urusan kehidupan pribadi termasuk (riwayat) komunikasi seseorang dan data tentang seseorang. Padahal dalam konsep, data pribadi tidak melulu informasi tentang urusan pribadi seseorang (domestik sphere), tetapi juga informasi tentang riwayat profesional dan kehidupan publik seseorang (professional and public life) karena urusan pribadi seseorang juga beririsan dengan urusan publik yang bersangkutan (interpesonal relationships dan juga fakta-fakta yang terjadi di ruang publik).
Peraturan delegasi dari UU ITE, PP No. 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik, memuat definisi data pribadi yaitu data perseorangan tertentu yang disimpan, dirawat, dijaga kebenaran serta dilindungi kerahasiaannya (Pasal 1 angka 27).
Kewajiban semua penyelenggara sistem elektronik antara lain: (a) menjaga kerahasiaan, akses dan keutuhannya (data integrity); (b) menjamin bahwa consent atas penggunaan data pribadi telah didapat, atau legalitas pemrosesannya berdasarkan hukum (lawful data processing); (c) tujuan penggunaan data pribadi hanya berdasarkan persetujuan pada saat data tersebut diberikan (purpose limiation). Karena telah mengatur perihal data integrity, maka setiap terjadi kegagalan (kebocoran data) dalam perlindungan data pribadi wajib memberitahukan secara tertulis kepada data subjek tersebut. Demikian materi muatan Pasal 15 PP 82/2012.
Kemudian, Peraturan Menteri tentang Perlindungan data pribadi (Perkominfo 20/2016) memberi definisi hukum tentang “data perseorangan tertentu”, meliputi unsur-unsur: pertama “data” adalah “setiap keterangan yang benar dan nyata”, kedua setiap keterangan tersebut melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu; dan ketiga, segala pemanfaatannya harus sesuai dengan perundang-undangan yang berlaku. Pengertian tersebut mengandung konsep derajat identifikasi data pribadi (identifiability) dan jika ditafsir menurut argumentum a contratio juga ditemukan data anonimus (data bukan perseorangan tertentu) atau non-peronal data.
Selain itu, Perkominfo juga mengatur kewajiban keterwakilan data center dan disaster recovery center luar negeri untuk represent di wilayah Indonesia. Hal lain seperti, data breach notification dan overseas data transfer secara sederhana juga telah diatur. Penulis telah memetakan norma dalam Perkominfo 20/2016 dalam bentuk MindMap (akses link ini),yakni:
Derajat identifikasi tersebut tidak dirinci/diklarifikasi lebih lanjut kapan dan bagaimana suatu data secara tidak langsung dapat/mungkin diidentifikasi pada seseorang. Penulis telah melakukan riset tentang identifiability of personal data dalam konteks big data di Uni Eropa, juga Indonesia. Silahkan akses link ini untuk membacanya (“Personal and non-personal data in the context of big data”).
Postscriptum: between technological determinism and technological constructionism
Di era revolusi keempat ini (menurut Luciano Floridi, the Google’s Philosopher) bahwa kehidupan masyarakat informasi global dalam jaringan (online) dan luar jaringan (offline) saling terkait dan bergabung sehingga membentuk onlife personality, dan semakin berkembangnya ubiquitous computing (kapabilitas microchip, apps, dancloud computing), data menjadi semakin penting dalam segala aspek kehidupan manusia.
Di Indonesia, pengaturan atas perlindungan data pribadi tidak dimaksud untuk mencegah kegiatan pemrosesan data pribadi, tapi dimaksudkan untuk menghindari pemrosesan data pribadi yang tidak adil dan tidak transparan bagi pemilik data (unlawful and disproporionate data processing).
Norma dalam Pasal 26 UU ITE adalah kondisi atau syarat-syarat yang harus dipenuhi dalam pemrosesan data pribadi, tetapi ide aslinya tidak disusun secara proskriptif, melainkan permisif. Adanya ketentuan legalitas dua dasar pemrosesan data pribadi yaitu (1) persetujuan dan/atau (2) berdasarkan hukum positif, menjadi pedoman dasar perlindungan hukum terhadapnya. Bidang baru dalam profesi advokat dan sertifikasidata protection officer (DPO).
Walaupun consent juga memiliki kelemahan dan problematika didalamnya (misal, seberapa banyak orang yang membaca Ketentuan Privasi dan Perlindungan Data ketika akan meng-install app di smartphone, dan/atau mengakses website? Sepertinya banyak yang langsung “accept” atau “agree” atau “setuju” tanpa mengerti dahulu). Inilah yang dikenal dengan salah satu dari tiga data protection paradox.
Upaya sementara yang dapat ditempuh adalah membuat formulir persetujuan pemrosesan data pribadi secara explisit, berlapis-lapis dan terstruktur. Kajian ini memberi pengantar mengenai hukum positif dan konsep perlindungan data pribadi, dan penulis belum menguraikan sisi-sisi lain kajian perlindungan data pribadi. Technology is an enabler.
*)Daniar Supriyadi, SH, LLM, graduated Master of Law and Technology (LLM) in 2017, TILT, Tilburg University, The Netherlands. He had been succesfully enrolling entirecourses in the field of law and technology (not a mere digital tech). [email protected]| LPDP Awardee
| Catatan Redaksi: Artikel Kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline |
Referensi
Daniar Supriyadi, ‘Personal and Non-Personal Data in the Context of Big Data’ (Universiteit van Tilburg Recht, Technologie en Samenleving 2017)
‘Nowhere to hide: What machines can tell from your face’ (The Economist, 9 Sep 2017)
‘The Spanish DPA Fines Facebook for Violating Data Protection Regulations’ (Agencia Española de Protección de Datos, 11 September 2017)