Kebocoran data pribadi yang terjadi belakangan terakhir mendapat perhatian serius publik. Misalnya, dugaan kebocoran data BPJS Kesehatan dan e-HAC, serta aplikasi belanja daring yang dikelola swasta. Pemerintah telah menerbitkan beragam kebijakan untuk melindungi data Pribadi, misalnya melalui PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Tapi kebijakan ini dinilai belum cukup memadai. Karena itu, kalangan masyarakat sipil mendorong pemerintah dan DPR untuk segera menuntaskan RUU Pelindungan Data Pribadi (PDP).
Praktisi Pelindungan Data Pribadi dan Pengurus Asosiasi Profesional Privasi Data Indonesia (APPDI), Brahmantyo Suryo Satwiko, menegaskan data pribadi penting untuk dilindungi. Pasal 28G UUD NRI Tahun 1945 mengatur setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.
“Intinya, pelindungan data pribadi itu dijamin konstitusi,” kata Brahmantyo Suryo Satwiko dalam Bootcamp Hukumonline 2021 bertajuk “Memahami Cyber Law, Cyber Crime, dan Strategi Perlindungan Data Pribadi,” Kamis (21/10/2021). (Baca Juga: Urgensi Dunia Hukum Mengejar Kecepatan Transformasi Siber)
Meski konstitusi menekankan pentingnya perlindungan data pribadi, Brahmantyo mengakui sampai saat ini Indonesia belum memiliki regulasi khusus terkait pelindungan data pribadi. Ketentuan perlindungan data pribadi itu masih tersebar di banyak regulasi. Mengutip kajian Lembaga Studi dan Advokasi Masyarakat (ELSAM), tercatat ada 30 peraturan yang mengatur pelindungan data Pribadi, seperti UU No.24 Tahun 2013 tentang Perubahan Atas UU No.23 Tahun 2006 tentang Administrasi Kependudukan. Beleid itu mendefinisikan data Pribadi sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
Untuk perlindungan data pribadi pada sistem elektronik, Brahmantyo menyebut sedikitnya ada 4 aturan terkait. Pertama, UU No.19 Tahun 2016 tentang Perubahan Atas UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik. Kedua, PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Ketiga, PP No.80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik. Keempat, Peraturan Menteri Komunikasi dan Informatika No.20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.
Menurut Brahmantyo, keempat peraturan itu yang paling spesifik dan komprehensif untuk saat ini yang mengatur tentang perlindungan data pribadi. Tapi sebagian ketentuan yang diatur dalam peraturan tersebut belum dapat dijalankan dengan baik karena saling bertentangan.
Setidaknya, dia mencermati 2 ketentuan yang belum dapat dilaksanakan dan patut menjadi perhatian. Pertama, Pasal 14 ayat (1) huruf a PP No.71 Tahun 2019 mengatur pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, adil, dengan sepengetahuan dan persetujuan dari pemilik data pribadi. Kata “adil” dalam ketentuan tersebut dinilai sulit ditafsirkan.
Kedua, ada perbedaan pengaturan terkait retensi atau penyimpanan data antara PP No.80 Tahun 2019 dan PP No.71 Tahun 2019. Ketentuan PP No.71 Tahun 2019 mengatur pemrosesan data pribadi dimusnahkan dan/atau dihapus, kecuali masih dalam masa retensi. Tapi, PP No.80 Tahun 2019 mengatur data bisa dihapus jika ada permintaan dari pemilik data sekalipun masa retensi belum berakhir.
“Beberapa ketentuan itu mengawang, tidak jelas sehingga sulit diimplementasikan,” kata Brahmantyo.
Untuk itu, RUU PDP diharapkan dapat mengatasi persoalan dalam pengaturan pelindungan data pribadi di Indonesia. Sayangnya pembahasan RUU PDP di DPR, Brahmantyo melihat mengalami deadlock terutama terkait isu otoritas lembaga pengawas data pribadi.
Standar keamanan
Salah satu pendiri APPDI, Raditya Kosasih, mengatakan pelindungan data pribadi sangat penting karena kerap menjadi sasaran kejahatan siber. Pelindungan data pribadi ini berkaitan dengan hak atas privasi. Hak atas privasi meliputi berbagai hak yang dimiliki individu. Pelindungan data pribadi itu mengenai akses terhadap informasi pribadi. Misalnya, menentukan informasi pribadi apa yang boleh dan tidak boleh untuk diakses.
“Misalnya data keuangan saya, bagaimana agar orang tidak bisa mengakses itu karena itu privasi saya, ini terkait pelindungan data pribadi,” ujarnya mencontohkan.
Mengacu Pasal 1 angka 29 PP No.71 Tahun 2019 menyebut data pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non elektronik.
Raditya mengatakan ada standar keamanan yang harus diterapkan untuk melindungi data pribadi. Hal tersebut menjadi tanggung jawab pihak yang mengelola data pribadi. Pelindungan itu misalnya mencegah akses ilegal terhadap data pribadi yang disimpan. “Ini tanggung jawab perusahaan, (lembaga pengawas, red) pengendali data pribadi untuk mencegah terjadinya kebocoran data pribadi,” imbuhnya.