JAKARTA, Kebocoran data pribadi terjadi dalam layanan publik atau jasa. Tak jarang publik dapat dihubungi sejumlah pihak yang tak terkait dengan dirinya tetapi mengetahui data pribadinya.
Masyarakat seringkali menerima layanan pesan singkat via telepon yang tak dikenal, mulai dari tawaran atas berbagai promosi, iming-iming menang undian berhadiah, kemudahan mendapatkan pinjaman tanpa bunga sebesar ratusan juta rupiah, hingga penipuan dengan modus menguras isi tabungan.
Belum lagi kebocoran-kebocoran data pribadi atas pengguna berbagai layanan surat elektronik dan pelanggan telepon selular.
Kerahasiaan data pribadi menjadi hal yang rentan. Pada 2018, misalnya, sekitar satu juta data pribadi pengguna media sosial facebook di Indonesia dinyatakan bocor dan masuk dalam daftar yang dicuri oleh firma asing.
Kasus terbaru menimpa wartawan senior Ilham Bintang pada Januari lalu. Kartu SIM Indosat miliknya dibobol oleh delapan orang yang kini jadi tersangka. Para pembobol kemudian menguras rekening bank milik Ilham senilai ratusan juta rupiah.
Di era disrupsi teknologi digital kini, data pribadi seseorang sangat mudah untuk dikumpulkan dan dipindahkan dari satu pihak ke pihak lain tanpa sepengetahuan pemilik data pribadi, sehingga mengancam hak atas privasi seseorang.
Padahal data pribadi merupakan hak asasi manusia yang harus dijunjung tinggi dan dirahasiakan dari kepentingan-kepentingan yang merugikan pemiliknya. UUD 1945 menjamin perlindungan atas diri pribadi, keluarga, kehormatan, martabat dan harta benda yang di bawah kekuasaannya sebagai hak asasi.
Perangkat hukum terkait data pribadi berserakan. Setidaknya Terdapat 30 undang-undang yang berderet terkait hal itu. Masing-masing pun saling tumpang tindih karena tidak terintegrasi dalam konsep besar perlindungan data pribadi yang komprehensif.
Mulai dari Kitab Undang-Undang Hukum Pidana, UU Nomor 8 Tahun 1981 tentang Kitab Undang-Undang Hukum Acara Pidana, UU Nomor 10 Tahun 1998 tentang Perubahan Atas UU Nomor 7 Tahun 1992 tentang Perbankan, UU Nomor 8 Tahun 1997 tentang Dokumen Perusahaan, UU Nomor 8 Tahun 1999 tentang Perlindungan Konsumen, UU Nomor 23 Tahun 1999 tentang Bank Indonesia.
Ada pula UU Nomor 31 Tahun 1999 Tentang Pemberantasan Tindak Pidana Korupsi, UU Nomor 36 Tahun 1999 tentang Telekomunikasi, UU Nomor 39 Tahun 1999 tentang Hak Asasi Manusia, UU Nomor 30 Tahun 2002 Tentang Komisi Pemberantasan Tindak Pidana Korupsi.
Begitu pula dengan UU Nomor 18 tahun 2003 tentang Advokat, UU Nomor 24 Tahun 2013 tentang Perubahan atas UU Nomor 23 Tahun 2006 tentang Administrasi Kependudukan, UU Nomor 29 Tahun 2004 tentang Praktik Kedokteran, UU Nomor 21 Tahun 2007 tentang Pemberantasan Tindak Pidana Perdagangan Orang, UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, UU Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik, UU Nomor 21 Tahun 2008 tentang Perbankan Syariah.
Kemudian UU Nomor 35 tahun 2009 tentang Narkotika, UU Nomor 36 Tahun 2009 tentang Kesehatan, UU Nomor 43 Tahun 2009 tentang Kearsipan, UU Nomor 44 Tahun 2009 tentang Rumah Sakit, UU Nomor 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang, UU Nomor 17 Tahun 2011 tentang Intelijen Negara, UU Nomor 18 Tahun 2011 tentang Perubahan Atas Undang-Undang Nomor 22 Tahun 2004 tentang Komisi Yudisial, UU Nomor 21 Tahun 2011 tentang Otoritas Jasa Keuangan.
Selain itu UU Nomor 9 Tahun 2013 tentang Pencegahan dan Pemberantasan Tindak Pidana Pendanaan Terorisme, UU Nomor 7 Tahun 2014 tentang Perdagangan, UU Nomor 18 Tahun 2014 tentang Kesehatan Jiwa, UU Nomor 36 Tahun 2014 tentang Tenaga Kesehatan, UU Nomor 5 Tahun 2018 tentang Perubahan Atas UU Nomor 15 Tahun 2003 tentang Penetapan Peraturan Pemerintah Pengganti UU Nomor 1 Tahun 2002 tentang Pemberantasan Tindak Pidana Terorisme Menjadi UU.
Kementerian Komunikasi dan Informatika sejak 2016 telah berusaha mengisi kekosongan regulasi yang komprehensif soal perlindungan data pribadi dengan mengeluarkan Peraturan Menteri Kominfo RI Nomor 20 Tahun 2016 tertanggal 1 Desember 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.
Isi RUU
Untuk memperkuat aturan hukum, pemerintah mengajukan Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi guna dibahas bersama DPR RI menjadi Undang-Undang.
Naskah RUU tentang Perlindungan Data Pribadi telah secara resmi diserahkan Presiden Joko Widodo kepada Ketua Dewan Perwakilan Rakyat RI melalui Surat Presiden No. R-05/Pres/01/2020 tanggal 24 Januari 2020 lalu. Presiden menugaskan Menkominfo Johnny G Plate, Mendagri Tito Karnavian, dan Menkumham Yasonna Laoly sebagai perwakilan pemerintah untuk mewakili Presiden dalam pembahasan RUU tersebut bersama DPR RI.
Menkominfo menyampaikan bila RUU itu telah menjadi UU maka Indonesia akan menjadi negara kelima di Asia Tenggara yang memiliki aturan terkait perlindungan data pribadi, setelah Singapura, Malaysia, Thailand, dan Filipina. Sementara di tingkat dunia, Indonesia bisa menjadi negara ke-127 dari 126 negara yang telah memiliki aturan yang biasa disebut sebagai GDPR (General Data Protection Regulation) itu.
Aturan itu akan menjadi standar pengaturan nasional tentang perlindungan data pribadi, baik data pribadi yang berada di Indonesia maupun data pribadi warga negara Indonesia yang berada di luar negeri.
RUU itu terdiri atas 15 Bab dan 72 Pasal. Bab-bab yang terkandung di dalamnya adalah ketentuan umum, jenis data pribadi, hak pemilik data pribadi, pemrosesan data pribadi, kewajiban pengendali data pribadi dan prosesor data pribadi dalam pemrosesan data pribadi, transfer data pribadi, sanksi administratif, larangan dalam penggunaan data pribadi, pembentukan pedoman perilaku pengendali data pribadi, penyelesaian sengketa dan hukum acara, kerja sama internasional, peran pemerintah dan masyarakat, ketentuan pidana, ketentuan peralihan, dan ketentuan penutup.
Dalam ketentuan umum, misalnya, disebutkan, data pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik (pasal 1, butir 1 dari 9 butir). Pemilik data pribadi adalah orang perseorangan selaku subyek data yang memiliki data pribadi yang melekat pada dirinya (butir 5). Setiap orang adalah orang perseorangan atau korporasi (butir 6).
Undang-Undang ini berlaku untuk setiap orang, badan publik, dan organisasi/institusi yang melakukan perbuatan hukum sebagaimana diatur dalam Undang-Undang ini, baik yang berada di wilayah hukum Negara Kesatuan Republik Indonesia maupun di luar wilayah hukum Negara Kesatuan Republik Indonesia, yang memiliki akibat hukum di wilayah hukum Negara Kesatuan Republik Indonesia dan/atau bagi pemilik data pribadi Warga Negara Indonesia di luar wilayah hukum Negara Kesatuan Republik Indonesia (pasal 2).
Bab II Jenis Data Pribadi terdiri atas satu pasal dan tiga ayat. Data pribadi terdiri atas data pribadi yang bersifat umum dan data pribadi yang bersifat spesifik. Data pribadi yang bersifat umum terdiri atas nama lengkap; jenis kelamin; kewarganegaraan; agama; dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Data pribadi yang bersifat spesifik meliputi data dan informasi kesehatan; data biometrik; data genetika; kehidupan/orientasi seksual; pandangan politik; catatan kejahatan; data anak; data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
Bab III Hak Pemilik Data Pribadi terdiri atas 13 pasal. Pemilik data pribadi berhak meminta informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi (pasal 4). Pada bab ini diatur pula tentang sejumlah hak pemilik data pribadi seperti mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi miliknya; menuntut dan menerima ganti rugi atas pelanggaran data pribadi miliknya sesuai dengan ketentuan peraturan perundang-undangan.
Hak-hak pemilik data pribadi, tidak berlaku untuk kepentingan pertahanan dan keamanan nasional; proses penegakan hukum; kepentingan umum dalam rangka penyelenggaraan negara; kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan; atau agregat data yang pemrosesannya ditujukan guna kepentingan statistik dan penelitian ilmiah dalam rangka penyelenggaraan negara.
Pemrosesan data pribadi sebagaimana diatur dalam Bab IV, dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan perlindungan data pribadi (pasal 17 butir 2f), harus memenuhi ketentuan adanya persetujuan yang sah dari pemilik data pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan kepada pemilik data pribadi (pasal 18). Persetujuan pemrosesan data pribadi dilakukan melalui persetujuan (pasal 19). Klausul perjanjian yang di dalamnya terdapat permintaan data pribadi yang tidak memuat persetujuan secara tegas (explicit consent) dari pemilik data pribadi dinyatakan batal demi hukum (pasal 20).
RUU ini juga memuat larangan dalam penggunaan data pribadi (Bab VIII). Setiap orang dilarang memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian pemilik data pribadi; setiap orang dilarang secara melawan hukum mengungkapkan data pribadi yang bukan miliknya; setiap orang dilarang secara melawan hukum menggunakan data pribadi yang bukan miliknya (pasal 51 ayat 1-3).
Setiap orang dilarang secara melawan hukum memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual di tempat umum atau fasilitas pelayanan publik yang dapat mengancam dan/atau melanggar pelindungan data pribadi (pasal 52). Setiap orang dilarang secara melawan hukum menggunakan alat pemroses atau pengolah data visual yang dipasang di tempat umum dan/atau fasilitas pelayanan publik yang digunakan untuk mengidentifikasi seseorang (pasal 53).
Setiap orang dilarang memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain (pasal 54 ayat 1). Setiap orang dilarang menjual atau membeli data pribadi (pasal 54 ayat 2).
Bab X Penyelesaian Sengketa dan Hukum Acara memuat satu pasal dan empat ayat. Pasal 56 ayat 1, menyebutkan, penyelesaian sengketa perlindungan data pribadi dilakukan melalui arbitrase, pengadilan, atau lembaga penyelesaian sengketa alternatif lainnya sesuai dengan ketentuan peraturan perundang-undangan. Hukum acara yang berlaku dalam penyelesaian sengketa dan/atau proses pengadilan perlindungan data pribadi sebagaimana dimaksud pada ayat (1) dilaksanakan berdasarkan hukum acara yang berlaku sesuai dengan ketentuan perundang-undangan.
Disebutkan pula dalam Bab X itu mengenai alat bukti yang sah dalam Undang-Undang ini adalah: a. alat bukti sebagaimana dimaksud dalam hukum acara; dan b. alat bukti lain berupa informasi elektronik dan/atau dokumen elektronik sesuai dengan peraturan perundang-undangan (ayat 3). Dalam hal diperlukan untuk melindungi data pribadi, proses persidangan dilakukan secara tertutup (ayat 4).
Ketentuan pidana
Ketentuan pidana juga termuat pada Bab XIII, terdiri atas sembilan pasal.
Pasal 61 ayat (1) menyebutkan, setiap orang yang dengan sengaja memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian Pemilik Data Pribadi sebagaimana dimaksud dalam Pasal 51 ayat (1) dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp50 miliar. Ayat (2) berbunyi, setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (2) dipidana dengan pidana penjara paling lama dua tahun atau pidana denda paling banyak Rp20 miliar.
Sementara ayat (3) berisi, setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (3) dipidana dengan pidana penjara paling lama tujuh tahun atau pidana denda paling banyak Rp70 miliar.
Setiap orang yang dengan sengaja dan melawan hukum memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual di tempat umum atau fasilitas pelayanan publik yang dapat mengancam atau melanggar perlindungan data pribadi sebagaimana dimaksud dalam Pasal 52, dipidana dengan pidana penjara paling lama satu tahun atau pidana denda paling banyak Rp10 miliar (Pasal 62).
Setiap orang yang dengan sengaja dan melawan hukum menggunakan alat pemroses atau pengolah data visual yang dipasang di tempat umum dan/atau fasilitas pelayanan publik yang digunakan untuk mengidentifikasi seseorang sebagaimana dimaksud dalam Pasal 53 dipidana dengan pidana penjara paling lama satu tahun atau pidana denda paling banyak Rp10 miliar (Pasal 63).
Pasal 64 memuat dua ayat. Ayat (1) menyebutkan setiap orang yang dengan sengaja memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 54 ayat (1) dipidana dengan pidana penjara paling lama enam tahun atau pidana denda paling banyak Rp60 miliar. Ayat (2) setiap orang yang dengan sengaja menjual atau membeli data pribadi sebagaimana dimaksud dalam Pasal 54 ayat (2) dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp50 miliar.
Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 61 sampai dengan Pasal 64 terhadap terdakwa juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian (Pasal 65).
Pasal 66 ayat (1) berbunyi, dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 61 sampai dengan Pasal 64 dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi. Ayat (2) menyebutkan pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Ayat (3) berisi, pidana denda yang dijatuhkan kepada korporasi paling banyak tiga kali dari maksimal pidana denda yang diancamkan.
Ayat (4) menyatakan, selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), korporasi dapat dijatuhi pidana tambahan berupa:a. perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana; b. pembekuan seluruh atau sebagian usaha korporasi; c. pelarangan permanen melakukan perbuatan tertentu; d. penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi; e. melaksanakan kewajiban yang telah dilalaikan; dan f. pembayaran ganti kerugian.
Publik sangat berharap RUU ini dapat segera dibahas bersama oleh pemerintah dan DPR RI sehingga dapat menjadi undang-undang yang bisa memayungi masyarakat dari kebocoran dan penyalahgunaan data pribadi.
Keberadaan UU ini merupakan suatu keharusan yang tidak dapat ditunda-tunda lagi karena sangat mendesak bagi berbagai kepentingan nasional.
UU ini juga merupakan amanat dari Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 yang menyatakan bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi. (ANT)