Category / Data Pribadi

by st.jozua

Menanti Kelahiran Lembaga Pelindungan Data Pribadi

Masyarakat menaruh harapan besar adanya sistem pelindungan data pribadi yang lebih baik melalui pengundangan UU PDP. Mata negara-negara sahabat juga tertuju pada Indonesia untuk melihat bagaimana negara ini akan melakukan pengawasan dan penegakan hukum yang baru disahkan DPR beberapa waktu lalu. Lahirnya Lembaga Pelindungan Data Pribadi diharapkan menjadi jawaban dalam memenuhi harapan masyarakat dan memperkuat kerja sama antara Indonesia dan negara-negara lain dalam pemrosesan data pribadi lintas batas.

Reformasi hukum dan praktik

RUU PDP yang disahkan oleh DPR akan berlaku dalam waktu dekat. Legislasi ini akan mereformasi sistem pelindungan data pribadi di Indonesia baik dari aspek hukum maupun praktik. Reformasi terhadap hukum mungkin lebih mudah dibandingkan dengan reformasi praktik pemrosesan data pribadi yang telah berlangsung selama ini. Reformasi praktik akan berkaitan erat dengan perubahan kultur dan kebiasaan manajerial maupun sumber daya manusia.

Reformasi sistem pelindungan data pribadi diawali dengan dikukuhkannya hak atas pelindungan data pribadi sebagai bagian dari hak konstitusional warga negara Indonesia. Pentingnya pengukuhan ini ialah karena sama seperti hak atas privasi, hak atas pelindungan data pribadi tidak disebutkan secara tegas dalam Konstitusi Indonesia. Salah satu implikasinya ialah ketentuan-ketentuan dalam UU PDP akan diterapkan tidak hanya kepada sektor privat tetapi juga sektor publik. Implikasi lainnya ialah sebagai bagian dari hak konstitusional, hak atas pelindungan data pribadi akan mendapatkan pelindungan konstitusional. Pembatasan terhadap hak juga harus dilakukan secara konstitusional.

Penerapan UU PDP juga akan mengubah praktik pemrosesan data pribadi. Keberagaman pengaturan dalam regulasi sektor juga secara gradual akan diharmonisasikan dengan UU PDP. Dasar hukum pemrosesan data pribadi tidak hanya persetujuan subjek data pribadi, tetapi juga berdasarkan pelaksanaan kontrak, kewajiban hukum pengendali, kepentingan publik, kepentingan vital subjek data pribadi, dan kepentingan pengendali yang sah. Semua dasar hukum tersebut sebenarnya sudah digunakan dalam praktik yang dimungkinkan berdasarkan berbagai peraturan perundang-undangan. UU PDP menandaskan dan membakukan keenam dasar hukum pemrosesan tersebut. Dengan adanya kejelasan mengenai dasar hukum pemrosesan, pengendali atau prosesor data pribadi lebih memiliki kepastian hukum dan fleksibilitas dalam menyelenggarakan aktivitasnya.

Reformasi terhadap praktik pemrosesan data pribadi juga akan semakin terlihat dengan penerapan prinsip-prinsip pemrosesan. Sebagai contoh, UU PDP mengatur pengumpulan data pribadi dilakukan secara terbatas dan spesifik. Oleh karena itu, praktik yang menggunakan klausul-klausul pengumpulan data pribadi secara fleksibel (meliputi tetapi tidak terbatas pada) akan dipertanyakan, digugat, atau bahkan dapat dibatalkan. Contoh lain adalah pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan yang tidak sah. Implikasi dari prinsip ini ialah pengendali dan prosesor data pribadi harus menerapkan pengamanan dari segi teknis dan teknologi serta manajerial.

Reformasi sistem pelindungan data pribadi juga diharapkan akan terlihat dari pemenuhan hak-hak subjek data pribadi yang diatur dalam UU PDP. Mengingat hak atas pelindungan data pribadi merupakan hak konstitusional, hak-hak subjek data pribadi juga merupakan bagian dari hak konstitusional. Beberapa hak tersebut ialah hak mendapatkan informasi mengenai pemrosesan serta identitas pengendali atau prosesor data pribadi. Hak lainnya ialah hak mengakses dan memperbaiki data pribadi, termasuk hak untuk menghentikan atau menunda pemrosesan data pribadi. Subjek data pribadi juga berhak untuk mengajukan keberatan dalam pengambilan keputusan terkait dirinya berdasarkan pemrosesan data pribadi secara otomatis. Lebih jauh lagi, UU PDP juga mengatur hak portabilitas data, yaitu hak subjek data pribadi untuk mentransfer data pribadinya dari satu pengendali ke pengendali lain. Pembatasan terhadap hak-hak tersebut dimungkinkan. Akan tetapi, mengingat hak-hak tersebut adalah bagian dari hak konstitusional, maka pembatasannya juga didasarkan pada undang-undang.

Pemenuhan hak-hak tersebut merupakan tanggung jawab pengendali data pribadi. Reformasi akan terjadi secara dinamis seiring dengan pemahaman subjek data pribadi tentang hak-haknya dan penggunaan serta pemenuhannya. Mungkin akan ada ketidaksepahaman atau sengketa antara subjek dan pengendali data pribadi. Akan tetapi, sengketa tersebut dapat menjadi satu tahap yang produktif dalam membuka tabir, menilai dan mereformasi praktik yang telah ada.

Lembaga Pelindungan Data Pribadi

Lembaga Pelindungan Data Pribadi hadir sebagai pihak yang akan menjalankan fungsi pengawasan dan penegakan UU PDP. Lembaga ini juga berfungsi memfasilitasi penyelesaian sengketa di luar pengadilan. Untuk menjalankan fungsinya, Lembaga PDP telah diperlengkapi dengan berbagai kewenangan yang progresif dan koersif.

Lembaga PDP berwenang menyusun kebijakan pelindungan data pribadi, membantu aparat penegak hukum dalam menyelesaikan tindak pidana, bekerja sama dengan lembaga pelindungan data pribadi negara lain. Selain itu, lembaga ini juga diberi kewenangan untuk melakukan pemeriksaan terhadap sistem elektronik, meminta akses terhadap data, memberikan perintah untuk menindaklanjuti hasil pengawasan, melakukan penilaian terhadap pemenuhan persyaratan transfer lintas batas, dan menjatuhkan sanksi administratif.

Sebelum RUU PDP disahkan tanggal 20 September 2022, Pemerintah dan DPR telah berdialog alot mengenai status dan kedudukan Lembaga PDP selama sekitar satu tahun. Waktu panjang in merupakan usaha untuk mencari rumusan terbaik dalam mengakomodasi tingginya ekspektasi masyarakat serta strategisnya tugas dan fungsi lembaga tersebut. Perlu ditekankan bahwa peran Lembaga PDP tidak hanya menjangkau Indonesia, tetapi juga menjangkau negara ke mana data pribadi Indonesia akan diproses.

Permasalahan Independensi Lembaga PDP

Masyarakat menginginkan Lembaga PDP merupakan institusi yang independen. Meskipun independensi merupakan elemen penting, tetapi permasalahan muncul ketika mengkonkretkan mengenai apa yang dimaksud dengan independen. Apabila yang dimaksud dengan independen ialah bahwa lembaga tersebut tidak berada di bawah pemerintah, maka pemahaman tersebut tidak sejalan dengan Konstitusi. Pasal 28I ayat (4) Konstitusi menegaskan bahwa perlindungan, pemajuan, penegakan, dan pemenuhan hak asasi manusia adalah tanggung jawab negara, terutama pemerintah. Rumusan Pasal 58 ayat (4) UU PDP telah selaras dengan Konstitusi, yaitu lembaga bertanggung jawab kepada Presiden yang merupakan cerminal utama cabang eksekutif.

Apakah dengan bertanggung jawab kepada Presiden akan secara otomatis menjadikan Lembaga PDP menjadi tidak independen? Kembali, independen tidaknya lembaga harus dimulai dengan penjelasan konsep independen yang dimaksud. Pertanyaan pragmatis ini perlu dijawab dalam peraturan presiden yang mengamanatkan pengaturan lebih lanjut lembaga tersebut. Yang jelas, aspek organisasi dan prosedur pertanggung jawaban, anggaran, sumber daya manusia, hubungan dengan kementerian atau lembaga lain akan menjadi elemen-elemen penting dalam membangun Lembaga PDP yang dapat dipercaya dan akuntabel.

Menanti Kelahiran Lembaga

Meskipun UU PDP berlaku pada tanggal diundangkan, legislasi tersebut memberikan masa tenggang paling lama dua tahun bagi pengendali dan prosesor data pribadi untuk menyesuaikan kebijakan dan praktik pemrosesan data pribadinya dengan UU PDP. Masa tenggang tersebut juga merupakan waktu menanti lahirnya Lembaga PDP.

Waktu dua tahun penting untuk digunakan secara maksimal sampai dengan Lembaga PDP dapat beroperasi secara efektif. Efektif di sini tidak hanya menekankan pada pembentukan Lembaga PDP secara de jure atau formalitas, yaitu sampai dengan diundangkannya peraturan presiden yang memuat struktur organisasi dan penjabaran lebih lanjut tugas dan fungsi Lembaga PDP. Efektif juga menekankan pada aspek de facto, yaitu lembaga telah menjalankan fungsinya untuk melakukan pengawasan dan penegakan hukum. Itu artinya, Lembaga PDP telah memiliki prosedur operasi standar, sumber daya manusia dan anggaran.

Beroperasinya secara efektif satu organisasi baru membutuhkan waktu dan pengembangannya perlu didasarkan pada evaluasi yang diikuti penyesuaian secara progresif, dari segi hukum maupun nonhukum. Akan tetapi, ada hal-hal yang seharusnya selesai sebelum Lembaga PDP berdiri. Berkaitan dengan hukum, pertama-tama, harus ditentukan bentuk lembaga tersebut. Apakah Lembaga PDP akan berbentuk kementerian, badan, atau bentuk lain yang dikenal dalam peraturan perundang-undangan. Apakah Lembaga PDP akan bertanggung jawab kepada Presiden atau kepada Presiden melalui kementerian/lembaga. Setiap pilihan bentuk lembaga memiliki kekuatan dan kelemahan masing-masing.

Kedua, bagaimana hubungan antara Lembaga PDP dan kementerian/lembaga lain yang memiliki kewenangan dan telah menjalankan pengawasan atau bahkan penegakan hukum sebelum Lembaga PDP lahir. Sebagai contoh, Kementerian Komunikasi dan Informatika, Kementerian Dalam Negeri, Kementerian Kesehatan memiliki kewenangan pengawasan dan penegakan hukum di sektor nya masing-masing. Apakah setelah Lembaga PDP terbentuk, seluruh kewenangan yang ada di kementerian/lembaga tersebut akan berakhir dan diambil alih oleh Lembaga PDP? Ataukah Lembaga PDP akan menjadi institusi induk yang akan mengawasi pelaksanaan pengawasan dan penegakan hukum yang dilakukan oleh kementerian/lembaga tersebut?

Berkaitan dengan nonhukum, kultur organisasi yang akan dibangun dalam lembaga tersebut yang sesuai dengan tugas dan fungsinya juga menjadi aspek penting. Kultur tersebut juga merefleksikan sumber daya manusia yang diperlukan untuk menjadi bagian dari lembaga. Apakah Lembaga akan diisi oleh para birokrat, pelaku industri, akademisi, penegak hukum, atau diisi oleh para pejabat sesuai dengan tugas dan fungsinya? Dalam hal Lembaga PDP sudah terbentuk dan sumber daya manusia telah terisi, dapat diprediksi bahwa organisasi ini pun membutuhkan waktu untuk memahami kultur, menyusun kebijakan internal, menggunakan anggaran, merencanakan program, menyiapkan sistem, dan sebagainya.

Sebelum Lembaga PDP beroperasi dengan efektif, kementerian/lembaga yang memiliki fungsi pengawasan dan penegakan hukum dalam penyelenggaran pelindungan data pribadi perlu tetap menjalankan tugas dan fungsinya tersebut. Hal ini dimaksudkan untuk mencegah kekosongan hukum dan memastikan bahwa hak-hak subjek data pribadi dapat tetap terlindungi.

Reformasi hukum dan praktik pelindungan data pribadi membutuhkan kemauan politik yang kuat, pertimbangan yang mendalam, kegigihan, serta konsistensi. Setelah UU PDP diundangkan, waktu akan terus berjalan dalam mempersiapkan kelahiran Lembaga PDP. Penguatan benih Lembaga PDP melalui regulasi dan perencanaan anggaran, sumber daya manusia, dan organisasi harus menjadi prioritas.

 

Artikel ini telah diterbitkan di kompas 22 Oktober 2022

https://www.kompas.com/tren/read/2022/10/12/092735265/menanti-kelahiran-lembaga-perlindungan-data-pribadi

by st.jozua

Penggunaan Data Pribadi dari Internet

Ada begitu banyak informasi pribadi yang bisa kita temukan di Internet, mulai dari nomor telepon, website, alamat email, dan akun twitter atau facebook. Dalam banyak kasus pengguna sendiri yang memberikan informasi tersebut. Apakah diperbolehkan berdasarkan peraturan perundang-undangan untuk menyalin dan menggunakan informasi tersebut (yang bebas diperoleh) untuk digunakan demi kepentingan bisnis, seperti promosi produk atau iklan? Dari perspektif Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE), setidaknya ada dua hal yang dapat dikembangkan dalam diskusi mengenai “penggunaan data” kali ini, yaitu:

  1. penggunaan data mengenai produk atau informasi yang bukan merupakan data pribadi, misalnya informasi mengenai jenis dan spesifikasi barang dan jasa, atau mengenai konsep usaha, website, dan logo;
  2. penggunaan data pribadi, yaitu informasi atau dokumen elektronik mengenai atau yang terkait dengan, baik langsung maupun tidak langsung, pribadi kodrati. Informasi tersebut dapat berupa informasi nama, alamat, jenis kelamin, pekerjaan, kondisi kesehatan, ekonomi, dan budaya;

Terkait penggunaan data yang pertama, Pasal 25 UU ITE mengatur bahwa Informasi atau Dokumen Elektronik yang disusun menjadi karya intelektual, situs internet, dan karya intelektual yang ada di dalamnya dilindungi sebagai Hak Kekayaan Intelektual berdasarkan ketentuan Peraturan Perundang-undangan. Pengaturan ini menekankan bahwa perlindungan terhadap HAKI dalam dunia fisik juga diterapkan dalam ruang siber (cyberspace).

Oleh karena itu, pada prinsipnya, semua informasi yang bersifat publik, artinya informasi yang dapat diakses secara bebas oleh publik dapat digunakan sepanjang tetap mencantumkan sumber, dan tunduk pada ketentuan peraturan perundang-undangan di bidang hak kekayaan intelektual, seperti hak cipta atau merek.

Selain itu, penting untuk digarisbawahi kewajiban pelaku usaha dalam diseminasi informasi mengenai penawaran produk dalam UU ITE. Pasal 9 UU ITE mengatur bahwa pelaku usaha yang menawarkan produk melalui Sistem Elektronik harus menyediakan informasi yang lengkap dan benar berkaitan dengan syarat kontrak, produsen, dan produk yang ditawarkan. Yang dimaksud dengan “informasi yang lengkap dan benar” meliputi:

  1. informasi yang memuat identitas serta status subjek hukum dan kompetensinya, baik sebagai produsen, pemasok, penyelenggara maupun perantara;
  2. informasi lain yang menjelaskan hal tertentu yang menjadi syarat sahnya perjanjian serta menjelaskan barang dan/atau jasa yang ditawarkan, seperti nama, alamat, dan deskripsi barang/jasa.

Tidak lengkapnya data yang diberikan mengenai produk dalam suatu website dapat menimbulkan permasalahan hukum antara para pihak yang dapat berujung pada gugat-menggugat (misalnya wanprestasi) atau laporan dugaan tindak pidana (seperti dugaan penipuan online).

Sedangkan hal penggunaan data pribadi untuk kepentingan komersial –khususnya dalam transaksi elektronik– dalam konteks hukum Indonesia masih merupkan diskusi yang kompleks. Indonesia belum memiliki undang-undang yang secara khusus mengatur mengenai data pribadi atau privasi. Namun demikian, remah-remah pengaturan mengenai data pribadi telah tersebar di berbagai peraturan perundang-undangan. Sebut saja dalam UU Perbankan, UU ITE, dan UU Keterbukaan Informasi Publik.

Pasal 26 ayat (1) UU ITE mengatur bahwa kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan. Ketentuan ini dijabarkan lebih lanjut dalam Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP PSTE”).

Pasal 15 PP PSTE memberikan kewajiban kepada Penyelenggara Sistem Elektronik untuk:

  1. menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya;
  2. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain;
  3. menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data.

Oleh karena itu, secara normatif, penggunaan data pribadi orang lain harus berdasarkan persetujuan orang yang bersangkutan. Apakah dimungkinkan seseorang mengirimkan promosi ke email seseorang tanpa persetujuannya? Hal ini dapat menimbulkan diskusi yang panjang.

Ke depan, pandangan kami dibutuhkan pengaturan yang lebih jelas dan tegas mengenai penggunaan data pribadi, termasuk pengaturan SPAM, baik dalam bentuk undang-undang maupun peraturan yang lebih rendah.

 

Referensi:
  1. Sitompul, Josua. 2013. “Perlindungan Privasi dan Data Pribadi : Suatu Telaahan Awal”, Buletin Hukum Perbankan dan Kebanksentralan, Volume 11, Nomor 1, Januari-April 2013. (dapat diakses melalui http://www.bi.go.id/web/id/Publikasi/Publikasi+Lain/Hukum+Perbankan+dan+Kebanksentralan/bhpk_11010113.htm)
  2. Sitompul, Josua. 2012. Cyberspace, Cybercrimes, Cyberlaw : Tinjauan Aspek Hukum Pidana, Jakarta : Tatanusa.