Belakangan ini isu kebocoran data pribadi dan penawaran transaksi terhadap data pribadi yang bocor kembali merebak. Insiden tersebut tidak hanya melanda data pribadi yang dikelola korporasi melainkan juga lembaga Pemerintah. Tentu publik menjadi khawatir dan mempertanyakan mengapa insiden tersebut seringkali terjadi dan seakan tidak ada penegakan hukumnya. Semua insiden kebocoran data pribadi seakan selesai cukup dengan adanya pemberitaan saja. Korporasi dan instansi terkait seakan cukup memberitahukan kepada publik cukup hanya dengan mengeluarkan pernyataan dan klarifikasi saja. Walhasil, seakan pelaku pencurian data pribadi melenggang dengan leluasa melakukan tindakan tersebut dan seakan merasa sah-sah saja bebas melakukan jual beli data pribadi sebagai mata pencahariannya melakukan penawaran melalui situs darknet.
Sementara itu, suatu insiden kebocoran data, tentu kemungkinannya tidak hanya terjadi karena serangan dari luar saja, karena boleh jadi merupakan suatu tindakan pengungkapan dari dalam organisasi itu sendiri. Untuk memperjelas hal itu tentu diperlukan pembuktian yang tidak mungkin digantungkan hanya dari pernyataan satu pihak saja, melainkan harus juga dibuktikan oleh audit dari pihak lain ataupun instansi yang terkait. Pemerintah melalui instansi sektoral yang sesuai dengan kewenangan yang diberikan oleh undang-undang, memiliki tugas dan fungsi serta kewenangan untuk melakukan pengawasan atas pelindungan data pribadi masyarakat. Khawatirnya, publik justru akan menilai seakan-akan tidak ada kesadaran hukum bagi korporasi dan instansi terkait untuk melindungi data pribadi masyarakat.
Seakan tiada upaya yang dapat dilakukan oleh masyarakat untuk menuntut pelindungan yang lebih baik, karena terkesan bahwa korporasi dan instansi terkait hanya memandang remeh hal tersebut, karena kejadian itu berulang kali terjadi tanpa penegakan hukum yang jelas. Apakah memang tidak ada aturan pertanggungjawaban hukum oleh penyelenggara sistem elektronik terhadap kebocoran tersebut? Apakah publik harus menunggu Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) disahkan dulu baru tindakan tersebut dapat dimintakan pertanggungjawaban hukumnya? Tulisan ini mencoba mengingatkan semua pihak terkait adanya pertanggungjawaban hukum terhadap kebocoran data pribadi, baik secara perdata, administratif maupun pidana.
Pelindungan Privasi dan Data Pribadi serta Keamanan Sistem Elektronik
Secara historis, istilah privasi dan data pribadi sebenarnya bukanlah hal yang baru. Meskipun International Covenant on Civil and Political Rights (ICCPR) tidak secara tegas menyebutkan istilah ‘data pribadi’, namun secara substansial pelindungan atas data pribadi adalah bagian dari privasi atau kehidupan pribadi setiap orang. Pelindungan atas data pribadi tidak hanya diatur di konvensi regional Uni Eropa (General Data Protection Regulation/GDPR), melainkan juga regional lainnya seperti Afrika (African Union Convention on Cyber Security and Personal Data Protection) dan juga Asia. Di dalam ASEAN Declaration of Human Rights (2012)secara tegas dinyatakan bahwa data pribadi adalah bagian dari privasi meski tidak diuraikan lebih detail.
Di Indonesia sendiri, secara filosofis penghargaan atas privasi selayaknya juga dipahami sebagai perwujudan dari sila kedua Pancasila, yakni Kemanusian Yang Adil dan Beradab. Istilah privasi dan data pribadi juga telah dikenal dan dicantumkan sejak adanya UU No. 39 Tahun 1999 tentang HAM. Selanjutnya ‘data pribadi’ juga disebutkan dan diatur dalam berbagai peraturan perundang-undangan berikutnya, seperti antara lain; UU No. 23 Tahun 2006 jo. UU No. 24 Tahun 2013 tentang Administrasi Kependudukan, UU No. 36 Tahun 2009 tentang Kesehatan, UU No. 43 Tahun 2009 tentang Kearsipan, UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) beserta amandemennya.
Dengan kata lain, dalam sistem hukum nasional sekarang ini telah terdapat pelindungan privasi dan data pribadi, namun kondisinya memang tersebar sesuai karakteristik sektor masing-masing. Meskipun belum ada UU khusus, bukan berarti tidak ada ketentuan sama sekali (kevakuman hukum) terhadap tindakan pencurian maupun pembocoran data pribadi tersebut. Apalagi dengan telah adanya PP No. 71 Tahun 2019 dan juga PP No. 80 Tahun 2019 yang juga mengatur aspek pelindungan data pribadi, maka setiap penyelenggara sistem elektronik selayaknya memenuhi kepatuhan hukum atas pelindungan data pribadi yang ditentukan dalam peraturan perundang-undangan tersebut. Dalam kedua PP tersebut diuraikan asas-asas pelindungan data pribadi berdasarkan kelaziman (best practices) telah diakomodir dalam Pasal 2 ayat (5) PP No. 71/2019 dan Pasal 33 PP No. 80/2019 serta juga terdapat ancaman sanksi administratif terhadap ketidakpatuhan atas aturan tersebut.
Tanggung Jawab Hukum Perdata
Pasal 26 UU ITE telah menyatakan bahwa setiap orang dapat melakukan gugatan terhadap perolehan data pribadi tanpa persetujuannya. Setidaknya terhadap pelanggaran PDP dapat digugat sebagai Perbuatan Melawan Hukum (PMH) atas dasar kesalahan berdasarkan ketentuan UU (1365 KUHPerdata), maupun atas dasar ketidakpatutan atau ketidakhati-hatian (1366 KUHPerdata). Pasal 3 UU ITE telah menyatakan adanya prinsip kehati-hatian dan juga memberikan tanggung jawab kepada setiap Penyelenggara Sistem Elektronik (PSE) baik korporasi maupun pemerintah untuk menerapkan akuntabilitas sistem elektronik, yakni harus andal, aman dan bertanggung jawab.
Sebagaimana halnya UU Perlindungan Konsumen (UU 8/199), dalam Pasal 15 UU ITE terdapat prinsip presumed-liability, artinya setiap PSE senantiasa bertanggung jawab secara hukum, kecuali pada saat kesalahan bukan terjadi karena mereka melainkan karena kesalahan konsumen atau pengguna sistem elektronik atau karena kejadian alam (force majeure). Beban pembuktian tentunya diemban oleh PSE, sekiranya ternyata PSE tidak berbicara yang sebenarnya terhadap insiden kebocoran data pribadi, maka justru akan berpotensi timbul masalah berikutnya yaitu kebohongan publik dan melanggar hak atas kejelasan informasi kepada pengguna/konsumen selaku pemilik data pribadi yang bersangkutan.
Pasal 14-18 dari PP No.71/2019 setidaknya telah memberikan standar pelindungan data pribadi yang wajib dilakukan oleh PSE. Terdapat kewajiban notifikasi bagi PSE apabila terjadi kebocoran data. Namun, hal tersebut tidak cukup dilakukan hanya dengan konferensi pers melainkan selayaknya dalam konteks hubungan korespondensi langsung dengan pengguna/subyek data yang bersangkutan. Selain itu, PP 80/2019 juga relatif mengatur lebih komprehensif terkait dengan pelindungan data pribadi, hal ini dapat kita lihat dengan adanya ketentuan pelindungan data pribadi dalam satu bab tersendiri, bila dibandingkan dengan PP 71/2019. PP 80/2019 memberikan kewajiban kepada setiap PMSE untuk melakukan pelindungan data sesuai kaidah yang ditentukan dalam PP dengan mengacu kepada best practices ataupun kelaziman yang berlaku.
Berdasarkan uraian di atas maka setiap pengguna dapat menggugat ganti kerugian kepada korporasi dan/atau instansi pemerintah yang membocorkan data tersebut. Hanya saja untuk membuktikan kerugian immaterial relatif bukanlah hal yang mudah. Terlebih setiap pengguna tentu mempunyai kendala waktu dan biaya untuk menegakkan haknya, sehingga sangat diperlukan kesadaran pemilik data untuk melakukan gugatan baik secara sendiri maupun secara bersama-sama dengan class action. Upaya tersebut tentu secara administratif akan cukup memakan biaya, waktu, dan tenaga bagi para pengguna dan juga pengacaranya. Oleh karena itu, sangat diperlukan bantuan dari pengacara yang membidangi kepentingan konsumen untuk melakukan gugatan agar kebocoran data agar kedepannya tidak lagi menjadi kebiasaan bagi para penyelenggara, baik swasta maupun pemerintah.
Tanggung Jawab Hukum Administratif
Berdasarkan peraturan perundang-undangan yang telah diuraikan pada bagian-bagian sebelumnya, setidaknya ada kewajiban administratif dari Kementerian/Lembaga yang memiliki kewenangan yang terkait pelindungan data pribadi yaitu antara lain Kementerian Kominfo, Kementerian Perdagangan serta Badan Pelindungan Konsumen Nasional, karena tentunya pemilik data pribadi adalah pengguna sistem sebagai konsumen. Mereka mempunyai kewenangan, tugas pokok dan fungsi sesuai sektornya masing-masing untuk melakukan pembinaan, pengawasan, pencegahan dan penindakan untuk itu.
Korporasi menurut PP 71/2019 seharusnya dapat diberikan sanksi administratif oleh Kominfo, dan juga dapat diadukan oleh BPKN kepada Menteri Perdagangan untuk dimasukkan sebagai blacklist sesuai mekanisme PP 80/2019 karena tidak mengindahkan hak konsumen atas keamanan dan kenyamanan. Selanjutnya Kominfo juga dapat melakukan blocking terhadap sistem korporasi tersebut guna mencegah terjadinya hal yang serupa kepada pengguna yang lain. Kondisi pemulihan/normalisasi untuk keluar dari daftar hitam, selayaknya hanya dapat diperkenankan jika semua permasalahan kebocoran data telah jelas fakta sesungguhnya berikut penyelesaian atau penanganan insidennya, serta telah memulihkan kembali hak-hak dari pengguna/konsumen yang dirugikan.
Selain itu, karena pelindungan data pribadi adalah juga bagian dari sektor keamanan siber, maka hal tersebut juga tidak lepas dari kewenangan instansi terkaitnya, antara lain; Polri, BSSN, BIN dan Kementerian Pertahanan. Penggunaan anggaran negara yang merupakan uang rakyat untuk mengadakan alat dan perangkat keamanan serta diklat para aparat tentu tidaklah murah. Maka menjadi pertanyaan bagi publik, bagaimana dan sejauh mana penggunaan perangkat tersebut telah dapat menciptakan manfaat bagi kepentingan publik.
Masyarakat berhak meminta kejelasan dan akuntabilitas dalam proses pencegahan dan penegakan hukumnya, serta mempertanyakan mengapa situasi kebocoran data pribadi seakan terus berulang kali terjadi. Apakah insiden akan terus terjadi karena berbagai instansi yang terkait tersebut seakan lupa atau sangat sulit berkoordinasi demi menjaga kepentingan publik. Bukan suatu hal yang tidak mungkin bagi setiap warga negara yang dirugikan untuk menggugat PMH kepada instansi yang terkait, karena tidak menjalankan kewenangannya sebagaimana mestinya. Hal tersebut dapat dipersepsikan sebagai tindakan pembiaran yang telah merugikan publik.
Dalam suatu negara hukum modern, pemberian kewenangan dan penggunaan anggaran negara serta adanya pemberian tugas pokok dan fungsi untuk melindungi bangsa dan negara bukanlah suatu hal yang diberikan tanpa pertanggungjawaban administratif yang akuntabel. Tampaknya, masyarakat memang harus lebih proaktif mendesak hal tersebut, yang salah satunya adalah terpaksa menggugat administrasi pemerintahan yang abai dengan kewenangan dan tugas yang tugas yang diamanatkan kepadanya.
Tanggung Jawab Hukum Pidana
Secara umum, kebocoran data bisa saja terjadi karena kegiatan intrusi dari luar (illegal access) ke dalam sistem atau di luar sistem (interception ataupun man in the middle attack). Namun boleh jadi, kebocoran mungkin juga terjadi dari tindakan pembocoran dari pihak orang dalam yang mengirimkan data tersebut ke luar sistem, di mana pihak orang dalam tersebut seharusnya menjaga kerahasiaan data penggunanya. Selaku pengendali dan pemroses data, maka korporasi harus bertanggung jawab atas sistem keamanan baik secara fisik maupun logis. Setidaknya perbuatan pencurian ataupun pembocoran tersebut pada dasarnya dapat mengoptimalkan ketentuan pasal 30 dan 32 dalam UU ITE, mengenai akses ilegal dan interferensi data.
Selain itu, pertanggungjawaban pidana seharusnya juga tidak melepaskan siapa yang menjadi penadahnya, termasuk penyelenggara situs darknet yang menjadi black-market. Penawaran data pribadi yang diperoleh secara melawan hukum adalah laksana memperdagangkan barang curian di pasar gelap sebagaimana diatur dalam pasal 480 KUHP. Selain pelaku utama tentu ada tindakan penyertaan yang harus dikejar oleh para penegak hukum, seperti korporasi dan instansi yang dengan sengaja tidak memiliki dan menjaga sistem keamanan elektronik mereka terhadap pengelolaan data pribadi yang baik. Selayaknya juga dapat dikatakan harus turut serta bertanggung jawab sebagai penyedia sarana untuk melakukan kejahatan kepada publik. Lebih lanjut, dalam pasal 65 ayat (2) dalam UU Perdagangan juga terdapat ketentuan pidana korporasi, jika PMSE melakukan perdagangan yang tidak sesuai dengan apa yang telah dinyatakannya.
Ketentuan ini dapat dikaitkan dengan aspek pelindungan data pribadi dalam privacy statement yang dikemukakan oleh PSE tersebut. Pengenaan pidana korporasi sangat diperlukan penegakannya agar setiap PSE menyadari kewajiban hukumnya. Jika tidak, maka dengan kompleksitas sistem elektronik, PSE cenderung akan dapat melakukan penipuan kepada pengguna sistemnya, melalui rangkaian tipu muslihat via code pada sistem elektroniknya atau mungkin cenderung membiarkan penerobosan dan pencurian data yang dilakukan di depan mata. Bukan tidak mungkin ada potensi keuntungan atas klaim asuransi disana.
Sebagai penutup, tentu kita semua sangat miris dengan situasi dan kondisi yang terjadi. Di tengah kondisi pandemi yang memaksa setiap orang untuk mendadak online, maka seharusnya aspek keamanan harus menjadi perhatian dan prioritas utama dari instansi terkait. Sudah relatif terlalu lama, pelanggaran privasi dan data pribadi dan juga kenyamanan konsumen yang selalu terganggu dengan intersepsi iklan dalam menggunakan internet. Tampaknya semua itu harus menjadi upaya perjuangan bersama. Kemungkinan sasaran dan pelakunya, tentu sangat mengetahui besarnya nilai ekonomis dari keberadaan big data, baik itu korporasi maupun instansi publik.
Sesuai sejarahnya, pelindungan privacy dan data pribadi adalah terjadi karena adanya potensi penyalahgunaan (abuse) terhadap data pribadi, tidak saja hanya oleh korporasi multinasional melainkan juga instansi pemerintah itu sendiri. Oleh karena itu, seiring dengan dibahasnya RUU PDP di DPR, maka masyarakat tentu sangat berharap akan adanya Komisi Independen untuk PDP agar pemerintah juga tergerak kesadarannya untuk melindungi PDP penduduknya sesuai dengan kaedah hukum yang semestinya sehingga tidak dipandang rendah oleh negara lain.
Tentu akan menjadi lebih ideal, jika ditambah dengan pemberdayaan fungsi dan peranan Kejaksaan Agung sebagai pengacara negara dalam melindungi PDP. Ke depan lingkup keberlakuan PDP akan lebih efektif untuk menjangkau pertanggungjawaban pembocoran yang terjadi keluar batas negara yang sangat membutuhkan pengacara negara untuk memastikan penghapusan data pribadi di luar negeri. Bukankah dalam konteks cross-border, dibutuhkan upaya yang extra-territorial, sementara gugatan mandiri masyarakat tentu memiliki keterbatasan.
Demi kebaikan mutu penyelenggaraan sistem elektronik untuk menuju kesejahteraan dan keadilan, maka tampaknya para praktisi hukum harus memberikan pembelajaran bersama melalui gugatan perdata terhadap berbagai kasus PDP dan mendesak tanggung jawab administratif yang seharusnya secara optimal dijalankan dalam melakukan pencegahan dan pengamanan serta penindakan hukum yang akuntabel. Suatu keniscayaan untuk membangkitkan kesadaran hukum di masa mendatang, masyarakat berhak meminta kejelasan pertanggungjawaban terhadap kewenangan administratif dan mengawasi akuntabilitas penegakan hukum. Dengan demikian, sistem hukum nasional akan menjadi lebih baik dari waktu ke waktu.
*)Dr. Edmon Makarim, S.Kom., S.H., LL.M., Pengajar Mata Kuliah Cybernotary dan Dekan Fakultas Hukum Universitas Indonesia
Catatan Redaksi: Artikel kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. Artikel ini merupakan bagian dari Kolom 20 Tokoh menyambut Ulang Tahun Hukumonline yang ke-20. |