Jakarta – Beredarnya data pribadi Presiden Joko Widodo, seperti sertifikat vaksinasi COVID-19 kembali menjadi sinyal tanda bahaya dari tidak terlindunginya data pribadi masyarakat di ruang digital. Sulit untuk mendapat rasa aman atas data yang kita simpan di ruang digital ketika informasi pribadi milik Presiden pun dapat dicuri dan dibocorkan kepada publik. Kasus kebocoran data pribadi bukan merupakan hal yang pertama kali terjadi, baik yang dialami oleh sektor swasta maupun lembaga pemerintah.

Setidaknya dalam waktu yang berdekatan, pemerintah mengalami dua kali kebocoran data pribadi milik masyarakat. Pertama, dugaan kebocoran data dua juta nasabah BRI Life yang merupakan perusahaan asuransi dari anak perusahaan salah satu Badan Usaha Milik Negara (BUMN) pada Juli 2021 (detikcom, 27/7). Kedua, data 1,3 juta pengguna aplikasi Electronic Health Alert Card (eHAC) dari Kementerian Kesehatan (Kemenkes). Bahkan Kepala Pusat Daya dan Informasi Kemenkes mengakui bahwa aplikasi eHAC versi terdahulu memiliki celah yang dapat menjadi sumber kebocoran data (detikcom, 31/8).

Terus berulangnya kasus kebocoran data pribadi –walaupun selalu hanya dalam tahap dugaan– merupakan salah satu akibat dari ketiadaan regulasi hukum spesifik yang memberikan perlindungan data pribadi, serta ketidakjelasan proses investigasi dan pihak yang bertanggung jawab ketika terjadi kebocoran data.

Salah satu faktor yang membuat pembahasan RUU PDP masih menggantung adalah perbedaan persepsi tentang posisi otoritas perlindungan data pribadi (OPDP). Badan yang nantinya berfungsi sebagai sebuah otorisasi yang dapat melakukan investigasi penegakan hingga pemberian sanksi terkait dengan perlindungan data pribadi tersebut masih belum menemukan kejelasan bentuk serta posisinya. DPR dan Pemerintah menawarkan rancang bangun yang berbeda terkait dengan pengaturan OPDP.

Terkait dengan pembentukan OPDP, pemerintah menginginkan agar kewenangan atas otoritas yang akan dibentuk tersebut berada di bawah Kementerian Komunikasi dan Informatika (Kominfo), karena selama ini Kominfo merupakan organ yang mengurus persoalan terkait dengan data pribadi masyarakat di ruang digital. Sementara itu, DPR meminta agar lembaga tersebut harus bersifat independen agar lepas dari intervensi lembaga negara atau cabang kekuasaan lainnya.

Berdasarkan penalaran yang wajar, pembentukan OPDP sebagai sebuah lembaga independen merupakan pilihan terbaik untuk mengatasi persoalan di seputar perlindungan data pribadi. Pasalnya, pelanggaran atas data pribadi dapat dilakukan individu, pihak swasta, hingga pemerintahan.

Pembentukan OPDP yang bersifat independen dibutuhkan agar otoritas tersebut dapat bekerja tanpa ada campur tangan dari lembaga lain yang berada di atasnya, serta mampu berlaku objektif ketika melakukan investigasi suatu kasus seperti kebocoran data pribadi. Ketentuan dalam undang-undang tentang perlindungan data pribadi nantinya harus secara tegas dan eksplisit merumuskan bahwa otoritas tersebut merupakan lembaga negara yang mandiri dan bebas dari intervensi dan kepentingan individu, bisnis, dan lembaga negara lain.

Pembahasan posisi OPDP yang dibicarakan antara DPR dan Pemerintah harus segera menemukan titik temu. Para pembentuk undang-undang harus menyadari bahwa ketika mereka berlama-lama membahas tentang rencana pembentukan OPDP, pada saat bersamaan masyarakat akan terus dibayangi oleh kebocoran dan pelanggaran atas data pribadi. Tarik ulur pembahasan tentang OPDP dalam RUU PDP harus segera diakhiri agar publik mendapatkan perlindungan atas data pribadi yang mereka miliki, khususnya di ruang digital yang rentan mengalami kebocoran.

Perlindungan Hukum

Munculnya usaha untuk memberikan perlindungan terhadap data pribadi di ruang digital tidak terlepas dari kesadaran tentang pemenuhan hak atas privasi. Alan Westin (1967) secara sederhana mendefinisikan hak privasi sebagai klaim dari individu, kelompok, atau lembaga untuk menentukan sendiri mengenai kapan, bagaimana, dan sampai sejauh mana informasi tentang mereka dikomunikasikan kepada orang lain.

Perlindungan hak privasi di tengah perkembangan teknologi informasi menjadi sebuah kebutuhan yang mendesak, karena tanpa perlindungan hukum maka pelbagai bentuk penyalahgunaan data pribadi dapat dilakukan oleh pihak yang tidak bertanggung jawab.

Penyalinan data dan informasi kartu ATM (skimming), pinjaman online yang menggunakan data pribadi milik orang lain yang berakhir dengan intimidasi, hingga penyebarluasan informasi pribadi kepada publik (doxing) merupakan contoh pelanggaran terhadap hak privasi yang terjadi di ruang digital. Namun, masih belum terdapat undang-undang spesifik tentang perlindungan data pribadi. Saat ini, regulasi hukum yang menyinggung terkait dengan hak privasi pemilik data digital terdapat dalam Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE).

Perlindungan hukum terkait dengan data masyarakat dalam bentuk elektronik hanya diatur dalam Pasal 26 ayat (1) UU ITE yang menjelaskan bahwa “penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.” Lebih lanjut, ketika terjadi pelanggaran maka dapat diajukan gugatan atas kerugian yang ditimbulkan berdasarkan undang-undang ini. UU ITE menyediakan mekanisme penyelesaian sengketa gugatan perdata dengan pilihan melalui jalur arbitrase atau lembaga penyelesaian sengketa alternatif lainnya.

Mekanisme yang disediakan oleh UU ITE tidak mampu untuk memberikan kepastian hukum terhadap data pribadi masyarakat di ruang digital. Salah satunya adalah minimnya pengaturan tentang jalur yang dapat ditempuh oleh masyarakat ketika terjadi pelanggaran terhadap data pribadinya, karena jalan yang dapat ditempuh hanyalah dalam ruang lingkup keperdataan. Sementara, institusi atau badan hukum yang menyimpan data tersebut yang akhirnya mengalami kebocoran tidak mendapatkan sanksi apapun.

Persoalan tersebut telah coba diselesaikan oleh RUU PDP yang memberikan ancaman sanksi administratif ketika terjadi masalah terkait data pribadi, termasuk dalam hal terjadi kebocoran. Bentuk sanksi administratif yang terdapat pada RUU PDP berupa peringatan tertulis; penghentian sementara kegiatan pemrosesan data pribadi; penghapusan atau pemusnahan data pribadi; ganti kerugian; dan/atau denda administratif. Artinya RUU PDP dapat memberikan efek jera terhadap pelaku, baik itu perorangan maupun badan hukum, dan bukan hanya ganti kerugian dalam konteks peradilan perdata.

Terjadinya kasus kebocoran data pribadi masyarakat hingga tidak adanya mekanisme penegakan hukum ketika terjadi pelanggaran merupakan alasan utama untuk segera mengesahkan RUU PDP. Hal ini seharusnya dapat dipahami oleh pembentuk undang-undang agar tidak terlalu lama melakukan tarik menarik kewenangan pembentukan OPDP. Harus disadari bahwa kepastian hukum perlindungan data pribadi masyarakat merupakan prioritas utama.

Hemi Lavour Febrinandez peneliti Bidang Hukum di The Indonesian Institute

https://news.detik.com/kolom/d-5781133/mengakhiri-tarik-ulur-ruu-perlindungan-data-pribadi