Jakarta, Cyberthreat.id – Proteksi data pribadi menjadi konsen utama di sejumlah negara maju dan berkembang saat ini, tak terkecuali Indonesia.

Di era digital, yang disesaki aneka platform, pertukaran data adalah keniscayaan. Kebocoran data pun tak terelakkan pula. Kasus Facebook dan Cambridge Analytica—pengumpulan informasi 87 juta pengguna—pada 2014 menyadarkan kita bahwa sudah saatnya masyarakat sadar akan isu data pribadi. 

Belum lagi, kasus penjualan data pribadi di media sosial, lengkap dengan rincian kartu kredit, nama ibu, nomor telepon, alamat email, alamat rumah, bahkan di kalangan hacker menjual pula username dan password akun pengguna. Karena data-data pribadi tersebut bisa dipakai untuk menggiring opini publik, bahkan lebih bahaya lagi disalahgunakan untuk kriminal.

Pemerintah Indonesia sedang menggodok Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) bersama Dewan Perwakilan Rakyat. RUU ini terbilang telat jika melihat perkembangan digital yang ada, sedangkan negara-negera jiran telah lama mengadopsi regulasi serupa. Meski telat, maka bolehlah kita dorong agar segera saja RUU ini disahkan.

Regulasi kita sudah lama mengatur data pribadi, tapi tercecer di beberapa sektor. Regulasi-regulasi itu juga belum sepenuhnya menjangkau perkembangan teknologi informasi seperti saat ini. Jadi, regulasi yang terbaru ini harus bisa menjangkau lebih luas dan komprehensif. Jangan lagi ada tumpang tindih, lebih penting lagi tidak ada pasal karet.

Oleh karena itu, mari kita pahami dulu secara mendasar tentang data pribadi ini. Penjelasan di bawah ini, saya ambil dari materi pidato yang disampaikan Menteri Komunikasi dan Informatika RI  Johnny G. Plate saat rapat bersama dengan Komisi I DPR di Gedung Parlemen, Jakarta, Selasa (25 Februari 2020).

Apa itu data pribadi?

• Dalam RUU PDP, data pribadi didefinisikan sebagai “setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik.”
• Data pribadi terdiri atas data pribadi yang bersifat umum dan spesifik.
• Data pribadi yang bersifat umum antara lain nama lengkap, jenis kelamin, kewarganegaraan, agama, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
• Data pribadi yang bersifat spesifik, antara lain mencakup data biometrik, data genetika, data kesehatan, dan data keuangan pribadi maupun data lainnya yang spesifik.

Prinsip pemprosesan data pribadi

RUU ini mengatur prinsip-prinsip, antara lain:

• pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, patut, dan transparan.
• pemrosesan data pribadi dilakukan sesuai dengan tujuannya, serta dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan.
• pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, dan pengubahan secara tidak sah, serta penyalahgunaan, perusakan, dan/atau kehilangan data pribadi.
• dalam hal terjadi kegagalan dalam pelindungan data pribadi (data breach), pengendali data pribadi wajib memberitahukan kegagalan tersebut pada kesempatan pertama kepada pemilik data pribadi.
• data pribadi wajib dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan pemilik data pribadi (right to erasure) kecuali ditentukan lain oleh peraturan perundang-undangan.

Tiga pihak yang terlibat

RUU mengatur pihak-pihak yang terlibat dalam pemrosesan data pribadi, yaitu pemilik data pribadi, pengendali data pribadi, dan prosesor data pribadi.

Pemilik data pribadi—subyek data memiliki hak, antara lain:

• hak untuk meminta informasi
• hak untuk melengkapi, mengakses, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi miliknya
• hak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi miliknya (right to erasure)
• hak untuk menarik kembali persetujuan pemrosesan
• hak untuk mengajukan keberatan atas tindakan profiling
• hak terkait penundaan atau pembatasan pemrosesan; dan
• hak untuk menuntut dan menerima ganti rugi.

Pengendali data pribadi—pihak yang menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Pengendali data pribadi bertanggung jawab atas seluruh pemrosesan data pribadi.

Prosesor data pribadi—pihak yang melakukan pemrosesan data pribadi atas nama pengendali data pribadi.

Kewajiban pengendali dan prosesor data

Kewajiban pengendali dan prosesor data pribadi dapat berbeda, tapi memiliki kewajiban dasar yang sama, seperti

• menjaga kerahasiaan data pribadi
• melindungi dan memastikan keamanan data pribadi, termasuk menjaga data pribadi diakses secara tidak sah
• melakukan pengawasan terhadap seluruh aktivitas pemrosesan data pribadi
• melakukan perekaman aktivitas pemrosesan data pribadi
• menjamin akurasi, kelengkapan, perbaikan dan konsistensi data pribadi.

Sebelum memproses data pribadi

Untuk dapat melakukan pemrosesan data pribadi, pengendali data pribadi harus melakukan pemrosesan data pribadi berdasarkan, antara lai

• persetujuan yang sah dan tegas dari pemilik data pribadi
• pemenuhan kewajiban perjanjian
• pemenuhan kewajiban hukum
• pemenuhan pelindungan kepentingan yang sah (vital interest) Pemilik Data Pribadi
• pelaksanaan kewenangan Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan
• pemenuhan kewajiban Pengendali Data Pribadi dalam pelayanan publik untuk kepentingan umum; dan/atau
• pemenuhan kepentingan yang sah lainnya yang diatur sesuai Undang-Undang.

Apa saja yang diatur?

RUU ini mengatur tentang:

• jenis data pribadi
• hak pemilik data pribadi
• pemrosesan data pribadi
• kewajiban pengendali data pribadi dan prosesor data pribadi dalam pemrosesan data pribadi
• transfer data pribadi
• sanksi administratif
• larangan dalam penggunaan data pribadi
• pembentukan pedoman perilaku pengendali data pribadi
• penyelesaian sengketa dan hukum acara
• kerja sama internasional
• peran pemerintah dan masyarakat, dan
• ketentuan pidana.

Adakah sanksi?

Untuk memastikan penegakan hukum pelindungan data pribadi, RUU ini juga mengatur sanksi, antara lain: sanksi administratif, sanksi pidana, dan ganti rugi berdasarkan penyelesaian sengketa perdata.

• Sanksi administratif—dapat berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan, penghapusan/pemusnahan data pribadi, ganti rugi, dan/atau denda administratif.
• Sanksi pidana—ditujukan terhadap penyalahgunaan data pribadi.
• Ganti rugi—penyelesaian sengketa perdata dilakukan terhadap gugatan ganti rugi para pihak.[]