Pemerintah, melalui Kementerian Komunikasi dan Informatika (Kemenkominfo) masih menggodok Rancangan Peraturan Menteri tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Hal itu diutarakan oleh Ketua Umum Indonesia Cyber Law Community (ICLC) Teguh Arifiyadi dalam pelatihan yang digelar hukumonline bertema “Aspek Hukum dan Teknis Penyelenggaraan Jasa Perbankan Berbasis Internet (Digital Banking)” di Jakarta, Rabu (18/5).
Menurut Teguh, rancangan peraturan menteri tersebut akan menggabungkan self regulation model yang diadopsi Amerika Serikat dan Eropa. Penggabungan itu disebut dengan safe harbour principles. Untuk self regulation yang diadopsi Amerika Serikat, perlindungan privasi dipandang secara subyektif dimana perlindungan tersebut didasarkan pada masing-masing ekspektasi setiap orang terhadap privasinya.
“Di Amerika Serikat, terdapat dua cara seseorang kehilangan privasinya, yaitu membuka kehidupan pribadinya kepada publik dan perbuatan orang lain yang dengan sengaja mempublikasikan informasi pribadinya,” katanya.
Sedangkan di Eropa, lanjut Teguh, mensyaratkan agar pengguna (user) dapat mengontrol dan mengatur pengumpulan, pemrosesan data pribadi termasuk informasi yang langsung maupun tidak langsung berhubungan dengannya. Pengumpulan data ini harus spesifik, eksplisit dan untuk tujuan yang legal.
Bukan hanya itu, pengumpulan data juga harus akurat dan bila perlu selalu mutakhir. Pihak yang terkait dengan data (subyek) harus memberikan persetujuan tegas untuk pemrosesan data dan penggunaan data lebih lanjut untuk hal yang tidak sesuai dengan tujuan yang tidak diperbolehkan. “Eropa paling ketat,” katanya.
Atas dasar itu, kata Teguh, Rancangan Peraturan Menteri tentang Perlindungan Data Pribadi dalam Sistem Elektronik akan mengatur mengenai pengumpulan dan peroleh data secara akurat, adanya persetujuan, opsi kerahasiaan kecuali diwajibkan oleh UU, hak pergantian data, verifikasi ke pemilik dan berbagasa Indonesia.
Untuk pengolahan dan analisa, akan disesuaikan dengan tujuan yang disampaikan pada awal pengumpulan data. Selain itu, data disimpan selama lima tahun sesuai amanat yang diatur UU No. 43 Tahun 2009 tentang Kearsipan. Data-data tersebut wajib disimpan di Indonesia.
“Menampilkan, mengumumkan, mengirimkan dan menyebarluaskan data pribadi hanya dapat dilakukan atas persetujuan kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan,” kata Teguh.
Dalam peraturan, juga akan diatur megenai hak pemilik data pribadi, seperti menghapus, mengubah dan memperbarui, meminta kembali dan melaporkan pengaduan. Sedangkan untuk kewajiban penyelenggaraan sistem elektronik, antara lain sertifikasi sistem elektronik, menjaga kerahasiaan dan memberitahukan secara tertulis kepada pemilik data pribadi jika terjadi kegagalan perlindungan rahasia data, melaporkan pengaduan disertai alasan, dapat secara elektronik, wajib memastikan diterima jika ada potensi kerugian.
Tandatangan Elektronik
Sementara itu, Kasubdit Teknologi Keamanan Informasi Ditjen Aplikasi Telematika Kemenkominfo, Riki Arif Gunawan, mengatakan pentingnya keberadaan tandatangan elektronik dalam menyambut era digital banking. Ia berharap, setiap nasabah dalam digital banking melakukan tandatangan elektronik.
“Regulasi ini masih digodok, semua orang akan diverifikasi cukup melalui file P12 (tandatangan elektronik yang sudah disertifikasi),” katanya.
Namun, lanjut Riki, perlu ada pihak ketiga atau Certificates Authority (CA) dalam menerbitkan sertifikat tandatangan elektronik tersebut. Syaratnya, pihak ketiga itu wajib memperoleh sertifikasi dari Kemenkominfo dan 100 persen milik dalam negeri, dan tidak boleh asing atau penanaman modal asing (PMA). Hal yang tengah digodok lainnya adalah satu sertifikat tandatangan elektronik bisa digunakan untuk seluruh layanan.
“Fungsi tandatangan ada jaminan identitas, jaminan integritas konten dan jaminan nirsangkal pemilik. Jadi jangan pernah mau berikan file P12 ini kepada orang lain, jika orang lain menggunakan dianggap kita yang menggunakan,” tutupnya.