Pemerintah kebut RUU Perlindungan Data Pribadi

Media sosial menawarkan banyak manfaat, tetapi juga mengandung bahaya kebocoran data pribadi. Hak atas foto KIRILL KUDRYAVTSEV/AFP/Getty Images
Image caption Media sosial menawarkan banyak manfaat, tetapi juga mengandung bahaya kebocoran data pribadi.

Berbagai praktik penyalahgunaan data pribadi -terutama setelah skandal bocornya 87 juta pengguna Facebook- memantik kekhawatiran pemerintah Indonesia dan anggota dewan hingga tergerak untuk mempercepat pembuatan Undang-undang Perlindungan Data Pribadi.

"'Dapat data saya dari mana?'" hardik Fildzah, karyawati swasta, setiap menerima panggilan telepon berisi penawaran asuransi dari pihak tidak dikenal. "Karena (telepon) ini bukan dari bank saya, dia dari perusahaan asuransi lain," terangnya kepada Rivan Dwiastono dari BBC News Indonesia, Kamis (20/12).

"Yang saya tangkap, karena dia menyebutkan (penawaran) kartu kredit, (saya pikir) apa dari bank (saya) ya? Cuma kok bank besar kayak gini, apa memang biasa memberi data kepada pihak lain?" herannya.

Setali tiga uang dengan Fildzah, Chrystine yang merupakan pebisnis jasa konstruksi juga sering mengalami hal serupa.

"Mereka ada yang jawabnya 'sebelumnya saya karyawan bank (yang) ini, bu, jadi saya tahu nomor ibu dari bank tersebut'," bebernya kepada BBC pada kesempatan berbeda.

Chrystine mengaku, dalam seminggu, dua hingga tiga penawaran kartu kredit masuk ke nomor telepon genggamnya. Padahal, dirinya cukup berhati-hati dalam urusan berbagi data pribadi.

"Lumayan takut lah, karena kan makin detail data-data yang mereka tahu. Bahkan sampai, misalnya, kalau buat (urusan) perusahaan saja, mereka sudah tahu data-datanya segala macam," ujarnya.

Cerita Fildzah dan Chrystine adalah representasi dari pengalaman sebagian masyarakat Indonesia yang kerap menerima telepon dari pihak-pihak yang entah dari mana mendapatkan informasi pribadi mereka. Kekhawatiran akan penyalahgunaan data yang dibagikan kepada pihak lain sangat beralasan.

Hak atas foto Thinkstock/KOMPAS.COM

Lembaga Bantuan Hukum (LBH) Jakarta mengendus adanya penyalahgunaan data pribadi dalam sejumlah laporan kasus pinjaman online (pinjol) yang mereka terima sejak tahun 2016. Modusnya, pemberi pinjaman memanfaatkan data kontak pribadi yang dibagikan kreditur di awal perjanjian di dalam aplikasi, untuk menagih utangnya kepada teman dan koleganya.

Seperti suami Agustin Cahyani -kisahnya BBC laporkan November lalu- yang harus menanggung malu, bahkan dikeluarkan dari pekerjaannya. Debt collector menyebarluaskan informasi perihal utang yang belum dilunasinya kepada orang-orang di daftar kontaknya.

"Saya kan nggak ingin orang-orang tahu, saya takut nanti jadi omongan, sampai ke mertua nanti tambah stroke lagi. Itu sebar data sudah di semua kontak WA suami saya, jadi semua orang itu tanya ke saya. Jadi saya bilang nomor suami dibajak," ujar Agustin.

Kejadian-kejadian tersebutlah yang membuat pemerintah Indonesia mencoba mengantisipasi dengan mendorong Rancangan Undang-undang Perlindungan Data Pribadi atau RUU PDP. Dengan adanya undang-undang tersebut, pengumpulan, penyimpanan, hingga pemanfaatan data pribadi akan diatur agar bisa melindungi hak privasi seseorang.

"Dalam konteks Indonesia, urgensi pengaturan untuk memberikan perlindungan data pribadi secara menyeluruh menjadi penting mengingat pengaturan perlindungan hak atas privasi warga masih tersebar dan berdiaspora dalam berbagai pengaturan sektoral," ungkap Lembaga Studi dan Advokasi Masyarakat (ELSAM) dalam hasil studi mereka tentang 'Perlindungan Data Pribadi di Indonesia: Usulan Pelembagaan Kebijakan dari Perspektif HAM' (2016).

Hak atas foto BBC News Indonesia
Image caption Pemerintah, menurut Dirjen Aptika Kementerian Kominfo Semuel Abrijani Pangerapan, tengah memfinalisasi draft RUU Perlindungan Data Pribadi yang masuk ke dalam prolegnas 2019 di DPR. (20/12)

Hingga Kamis (20/12), pemerintah masih memfinalisasi draft RUU PDP yang masuk ke dalam program legislasi nasional alias prolegnas 2019.

"Sekarang lagi finalisasi tentang sanksi. Jadi harapannya, awal tahun depan sudah kita kirim ke DPR," tutur Direktur Jenderal Aplikasi Informatika Kementerian Kominfo Semuel Abrijani Pangerapan kepada BBC News Indonesia, Kamis (20/12). "Sanksinya ada hukuman pidananya, badannya (penjara), ada juga dendanya."

'Masyarakat belum paham pentingnya melindungi data pribadi'

Menurut Semuel, kebutuhan penyusunan RUU PDP ini tidak hanya kuat dirasakan oleh pemerintah, tetapi juga para legislator, terutama setelah bocornya data 87 juta pengguna Facebook pertengahan tahun lalu. Ia menuturkan, selain studi banding telah dilakukan anggota DPR untuk mempelajari perlindungan data pribadi, sejumlah caleg juga menggunakan isu ini sebagai materi kampanye.

Hak atas foto Yasin Ozturk/Anadolu Agency/Getty Images
Image caption CEO sekaligus pendiri Facebook, Mark Zuckerberg, bersaksi di gedung parlemen AS Capitol Hill di Washington DC terkait bocornya data 87 juta pengguna Facebook (11/4).

Terlepas dari urgensi pembentukan undang-undang, Semuel berpendapat, masalah utama yang harus diselesaikan adalah pemahaman publik tentang pentingnya perlindungan data pribadi mereka. Jika tidak, fungsi UU PDP nantinya tak akan maksimal.

"Masyarakat harus tahu, bahwa di era digital, data kita bisa disalahgunakan. Apalagi (misalnya) anak baru lahir, fotonya, namanya (diunggah ke media sosial)," beber Semuel.

Hal ini diamini ELSAM. Menurut mereka, transformasi digital Indonesia yang terhitung cepat selama satu dekade terakhir, tidak diimbangi dengan kemampuan masyarakat untuk memahami implikasi penggunaan data pribadi dalam teknologi informasi dan komunikasi.

"Bagi publik, bagaimana mereka meminimalisir, bagaimana meminimalkan mereka mengekspose data-data pribadinya, nah, itu yang masih berat di Indonesia," terang Wahyudi Djafar, deputi direktur riset ELSAM, kepada Rivan Dwiastono, wartawan BBC News Indonesia, Kamis (20/12).

Hak atas foto NurPhoto/Getty Images
Image caption Seringkali pengguna media sosial tak menyadari ada data pribadi mereka yang diunggah untuk publik di akun media sosial mereka.

Tidak hanya dalam jaringan internet, masyarakat juga harus memahami bahwa data pribadi dalam ranah offline pun rawan disalahgunakan.

"Di mobil itu dipasangin stiker (kartun) keluarganya, semua orang bisa tahu itu kan, penjahat di belakangnya bisa mengikuti bahwa di keluarganya ada sekian orang, ada binatang peliharaannya," Wahyudi mencontohkan.

Dalam pandangan Wahyudi, tugas pemerintah lah untuk mendidik warganya soal hak privasi. Caranya dengan membebani korporasi, sebagai pihak yang memiliki kepentingan untuk mengumpulkan data pribadi konsumen, kewajiban untuk mencerdaskan konsumen mereka, alih-alih hanya memperbesar pasar.

"Karena yang punya resources (sumber daya) besar kan negara dan korporasi," tutur Wahyudi. "Kalau berharap pada masyarakat konsumen ya akan lama sekali untuk menunggu kita cerdas, (untuk) memiliki posisi tawar dengan si penyedia layanan."

Jangan sampai jadi 'pasal karet'

Peraturan soal perlindungan data pribadi bukannya tak ada di Indonesia. Jaminan perlindungan tersebut tertuang ke dalam sekitar 30 undang-undang bersifat sektoral, seperti dalam UU Kesehatan yang berbunyi: "Setiap orang berhak atas rahasia kondisi kesehatan pribadinya yang telah dikemukakan kepada penyelenggara pelayanan kesehatan."

Hak atas foto BBC News Indonesia
Image caption Deputi Direktur Riset ELSAM, Wahyudi Djafar, memandang UU PDP harus dibuat sebagai payung yang menjadi acuan bagi berbagai peraturan perundangan sektoral terkait perlindungan data pribadi.

Menurut ELSAM, RUU PDP harus dirancang untuk menjadi payung perlindungan data pribadi yang tersebar di beberapa peraturan perundang-undangan tersebut.

"Prinsip dan keseluruhan hal-hal yang sifatnya mendasar terkait dengan hak dan kewajiban subjek data, lalu hak dari si pemilik data itu diatur dalam UU PDP, termasuk tadi, kewajiban data controller (pengelola data), data processor (pemroses data)," papar Wahyudi.

"Kemudian jika terjadi kebocoran atau penyalahgunaan data, bagaimana mekanisme komplainnya, bagaimana notifikasinya, terus pemulihannya seperti apa, itu yang diatur di dalam UU PDP, sehingga aturan-aturan yang sektoral itu juga harus merujuk ke dalam prinsip-prinsip yang ada dalam UU PDP ini."

Pemerintah sendiri memandang pentingnya pembentukan otoritas khusus yang bertugas mengawasi pelaksanaan undang-undang tersebut.

"Memang harus ada, namanya komisi itu harus ada. Tapi bentuknya bagaimana, kita bisa mengambil referensi dari yang ada sekarang ini. EU (Uni-Eropa) punya, Singapura punya, yang terdekat, Filipina juga punya. Nah, itu yang kita lagi pelajari," ujar Semuel.

Menurutnya, yang penting, otoritas khusus tersebut harus mengemban prinsip akuntabilitas, transparansi, dan integritas. Untuk mencapai itu, pemerintah berencana melibatkan berbagai pemangku kepentingan untuk duduk sebagai komisioner.

"Jadi biar tidak bias, ada koreksi dari kepentingan ini. Kan yang berkepentingan ada masyarakat, bisnis berkepentingan, pemerintah berkepentingan, nah ini dijaga keseimbangannya," ujarnya.

Hak atas foto BBC News Indonesia
Image caption Setelah memasukkan data berupa nomor KTP dan Kartu Keluarga, nomor SIM telepon dianggap sudah teregistrasi dalam data pemerintah.

ELSAM menilai keberadaan otoritas khusus tersebut harus independen, terbebas dari intervensi politik. Ia pun menyarankan agar pemilihan komisioner tersebut tidak diseleksi melalui DPR dan tidak berada di bawah lembaga pemerintahan.

"Ketika itu di (bawah) pemerintah, jadi rawan, karena pemerintah sendiri kan data controller dan data processor. Mereka kan mengumpulkan data, semua kementerian mengumpulkan data kita. Ketika terjadi data breach (kebobolan data), mereka akan laporan ke diri sendiri? Atau menangani diri sendiri? Kan tidak mungkin," jelas Wahyudi.

Selain itu, Wahyudi juga menekankan pentingnya pendefinisian data pribadi untuk menghindari terjadinya ekses dari pelaksanaan UU PDP setelah disahkan nanti. Tumpang tindih dan penafsiran berbeda akan apa yang dimaksud dengan data pribadi dalam berbagai peraturan perundang-undangan sektoral harus segera diselaraskan. Ia tak mau undang-undang tersebut menjadi pasal karet yang bisa menjerat pihak-pihak yang tidak sepatutnya diadili.

"Nah ini proses harmonisasinya yang harus lebih ketat agar kekhawatiran soal ekses-ekses, penafsiran secara lentur itu tidak terjadi. Bagaimana di dalam perumusan materinya benar-benar memenuhi prinsip lex certa (hukum pidana harus jelas), lex stricta(hukum harus dimaknai secara rigid) tidak mudah ditafsirkan secara semena-mena," pungkasnya.

Berita terkait