Mengenal Pokok-pokok Aturan Baru PP PSTE

Acara diskusi Hukumonline dengan topik “Perkembangan Terbaru Penyelenggaraan Sistem dan Transaksi Elektronik Berdasarkan PP 71 Tahun 2019 (PSTE)” di Jakarta, Selasa (3/12). Foto: RES

Peraturan baru penyelenggaraan sistem dan transaksi elektronik (PSTE) telah terbit dalam Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 yang merevisi aturan sebelumnya mengenai hal serupa, yakni PP 82/2012. Aturan ini dianggap memberi kepastian hukum bagi pelaku usaha yang mengoperasikan PSTE dalam kegiatan bisnisnya. Selain itu, aturan ini juga dapat memperkuat perlindungan data pribadi masyarakat.

 

Sebelum masuk lebih jauh mengenai pokok aturan, dunia bisnis tidak bisa lepas dari penggunaan sistem dan transaksi elektronik. Pelaku usaha menghimpun data pribadi dari masyarakat sebagai konsumen. Beberapa contoh sistem dan transaksi elektronik yang saat ini sering dijumpai yaitu industri jasa keuangan, situs online (website), perdagangan barang dan jasa online (e-commerce) hingga sistem informasi kependudukan.

 

Tanpa pengaturan yang komprehensif terdapat kekhawatiran data-data pribadi tersebut disalahgunakan sehingga merugikan masyarakat. Tidak hanya itu, persoalan kebocoran data juga menjadi isu utama dalam PSTE. Sehingga, pelaku usaha yang menghimpun data-data pribadi masyarakat harus bertanggung jawab terhadap kerahasiaan data. Ragam persoalan ini menjadi latar belakang pemerintah memperbarui PP PSTE yang disusun sejak 2016.

 

Direktur Jenderal Aplikasi dan Informatika Kementerian Komunikasi dan Informatika (Kemenkominfo), Samuel Abrijani Pangerapan, mengatakan terdapat dua jenis penyelenggara sistem elektronik (PSE), yaitu publik dan privat.

 

PSE Lingkup Publik yaitu instansi penyelenggara negara dan institusi yang ditunjuk instansi. Sedangkan PSE Lingkup Privat merupakan penyelenggara yang diawasi Kementerian/Lembaga dan penyelenggara yang memiliki portal, situs atau aplikasi daring meliputi penawaran/perdagangan barang/jasa, layanan transaksi keuangan, pengiriman muatan digital berbayar, pengoperasian layanan komunikasi, layanan mesin pencari dan pemrosesan data pribadi.

 

“PSE Lingkup Publik dan Lingkup Privat wajib melakukan pendaftaran diajukan kepada Menteri melalui pelayanan perizinan berusaha terintegrasi secara elektronik sesuai dengan ketentuan peraturan perundang-undangan,” jelas Samuel dalam acara diskusi Hukumonline dengan topik “Perkembangan Terbaru Penyelenggaraan Sistem dan Transaksi Elektronik Berdasarkan PP 71 Tahun 2019 (PSTE)” di Jakarta, Selasa (3/12).

 

Dia menjelaskan kewajiban pendaftaran tersebut merupakan salah satu bentuk kontrol pemerintah terhadap data-data yang dihimpun pelaku usaha. Bahkan, penyelenggara juga diwajibkan memberi akses sistem elektronik (SE) dan data elektronik (DE) dalam rangka pengawasan dan penegakan hukum.

 

(Baca: PP PSTE Dikhawatirkan Ganggu Kedaulatan Data)

 

Pokok aturan lainnya dalam PP tersebut mengenai penempatan data. Bagi  PSE Lingkup Publik wajib melakukan pengelolaan, pemrosesan, dan/atau penyimpanan SE/DE di wilayah Indonesia. PSE tersebut juga dapat melakukan pengelolaan, pemrosesan, dan/atau penyimpanan SE/DE di luar wilayah  Indonesia dalam hal teknologi penyimpanan tidak tersedia di dalam negeri. Kriteria ‘teknologi penyimpanan tidak tersedia di dalam negeri” nantinya ditentukan oleh komite yang terdiri dari Kemenkominfo, BSSN, BPPT dan K/L terkait lainnya.

 

Sedangkan, PSE Lingkup Privat dapat melakukan pengelolaan, pemrosesan, dan/atau penyimpanan SE/DE di wilayah Indonesia dan/atau di luar wilayah Indonesia. Dalam hal SE dan DE dilakukan pengelolaan, pemrosesan, dan/atau penyimpanan di luarwilayah Indonesia, Penyelenggara Sistem Elektronik Lingkup Privat wajib memastikan efektivitas pengawasan oleh Kementerian atau Lembaga dan penegakan hukum.

 

Sammy menjelaskan ketentuan mengenai pengelolaan, pemrosesan dan/atau penyimpanan SE/DE bagi PSE Lingkup Privat sektor keuangan diatur lebih lanjut oleh otoritas pengatur dan pengawas sektor keuangan (BI dan OJK).

 

PP PSTE ini juga mengatur soal penempatan data center. Perlu diketahui, PP ini juga mengklasifikasikan data menjadi tiga jenis yaitu data strategis, data risiko tinggi, dan risiko rendah. Data strategis wajib hukumnya penempatan data berada di Indonesia. Sebab data tersebut merupakan data yang begitu penting bagi negeri ini seperti keamanan dan pertahanan. 

 

Sehingga, data-data yang dibiayai oleh APBN, dana publik, dan sejenisnya maka  tetap ditempatkan di dalam negeri. Sedangkan data elektronik berisiko tinggi yang memiliki dampak terbatas pada kepentingan pemilik data elektronik dan sektornya dapat ditempatkan di dalam dan luar negeri namun berdasarkan persetujuan regulator. Sedangkan, data elektronik risiko rendah diperbolehkan penempatan datanya di luar negeri.

 

Bagi penyelenggara yang melanggar terdapat sanksi administratif mulai dari teguran tertulis, penghentian sementara, pemutusan akses hingga dikeluarkan dari daftar. Salah satu pelanggaran tersebut apabila penyelenggara melakukan penyebarluasan dan penggunaan informasi dan/dokumen elektronik berkonten terlarang sesuai ketentuan peraturan perundang-undangan.

 

Senior Associate AKSET Law, Prihandana Suko Prasetyo Adi, mengatakan kehadiran PP PSTE ini memberi kepastian hukum bagi dunia usaha. Dia menilai penggunaan teknologi informasi semakin masif digunakan dalam bisnis namun pengaturan PSTE masih bersifat sektoral sehingga tidak terdapat standar.

 

“Saat ini banyak perusahaan-perusahaan gunakan teknologi menggunakan data pribadi untuk komersial. Data pribadi itu bisa di-monetize. Data prbadi ini penting dan harus dilindungi. Di luar sudah ada standar seperti GDPR dan LGDP. Standardisasi ini penting. UU Perbankan dan Telekomunikasi sudah mengatur namun perlu peningkatan dari sisi enforcement-nya,” jelas Prihandana dalam acara yang sama.

 

Dalam paparannya, Prihandana menyampaikan pentingnya bagi pelaku usaha menerapkan prinsip akuntabilitas dalam mengelola data masyarakat. Hal tersebut diperlukan bagi pelaku usaha tidak melanggar ketentuan pengelolaan data sekaligus menjaga kerahasiaan data masyarakat agar tidak bocor atau disalahgunakan.

 

Menurutnya, perlindungan data pribadi merupakan sesuatu yang wajib diperhatikan secara serius. Rezim perlindungan Data Pribadi merupakan pengaturan dengan ketentuan yang kompleks dan memiliki ruang lingkup yang luas serta mencakup seluruh aspek kegiatan perusahaan/Penyelenggara Sistem Elektronik.

 

Kepatuhan dan pertanggungjawaban merupakan asas penting dalam rezim perlindungan Data Pribadi yang wajib dianut oleh setiap perusahaan/Penyelenggara Sistem Elektronik. Pelaku usaha juga perlu meninjau kepatuhan terhadap perlindungan data pribadi dalam sistem elektronik secara berkala.

 

Praktisi telekomunikasi dan informatika (TIK), Tony Seno Hartono, juga menyambut positif aturan baru tersebut. Menurutnya, fleksibilitas penempatan data center dapat memudahkan pelaku usaha. Selain itu, penggunaan komputasi awan atau cloud dalam penyimpanan data juga dianggap jauh lebih aman. Dia juga mengimbau agar pelaku usaha memenuhi standar keamanan dalam pengelolaan data masyarakat. Hal yang perlu diperhatikan seperti keamanan perangkat dan kompetensi sumber daya manusia.

 

“Pelaku usaha perlu memperkuat sumber daya manusianya. Harus ada dua divisi yang bisa menyerang dan bertahan. Harus ada penguatan agar tidak sistem tidak diserang, data tidak dicuri. Lalu, harus membangun pertahanan berlapis pada data center berlapis dan data juga harus dikunci enksripsi,” jelas Tony.