Oleh: Rizki Zakariya
Diskursus mengenai perlindungan data pribadi merupakan hal yang ramai saat ini diperbincangkan. Hal itu terutama karena Pemerintah melalui Kementerian Komunikasi dan Informasi sejak 2018 telah mengajukan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) dalam Program Legislasi Nasional (Prolegnas), namun tidak kunjung dibahas dan disahkan sampai saat ini. Sedangkan kasus kebocoran data pribadi masyarakat terus terjadi saat ini.
Salah satu kasus tersebut dialami oleh E-Commerce, Tokopedia, pada 2 Mei 2021, yang mengalami kebocoran 91 juta data pengguna oleh pihak ketiga (hacker) Shiny Hunter. Hal itu berdampak pada tersebarnya data pengguna ke internet secara bebas, yang rentan disalahgunakan dan merugikan konsumen. Oleh sebab itu perlu upaya dalam memastikan hal tersebut tidak terulang, untuk menjamin perlindungan data pribadi masyarakat Indonesia.
Kondisi Sosial Masyarakat Indonesia
Konsep perlindungan data pribadi seringkali dianggap hal remeh di Indonesia. Masyarakat Indonesia yang seringkali disebut ramah, sangat mudah untuk menjelaskan pada orang lain mengenai tempat tinggal, tanggal lahir, serta hubungan kekerabatannya.
Selain itu, dalam praktik keamanan di Indonesia, menjadi hal umum untuk menyerahkan Kartu Tanda Penduduk (KTP) maupun identitas lainnya kepada pihak ketiga untuk memasuki suatu tempat atau gedung. Kemudian dalam penggunaan media sosial, umumnya terbuka mencantumkan tempat tinggal, hari ulang tahun, nomor telepon, dan hubungan kekerabatannya. Kondisi tersebut menunjukan masih besarnya masalah kesadaran masyarakat Indonesia dalam melindungi data pribadinya.
Jaminan Hukum Perlindungan Hak atas Pribadi
Harus diakui, bahwa rendahnya kesadaran masyarakat dalam perlindungan data pribadi tersebut dipengaruhi oleh rezim hukumnya yang dipengaruhi perundang-undangan colonial. Hal itu khususnya sejak disahkannya KUH Perdata tahun 1848, dan KUHP tahun 1915. Sehingga pemahaman mengenai perlindungan pribadi, masih terkait dengan memasuki pekarangan atau rumah orang lain tanpa izin, atau adanya pembukaan surat tanpa izin Ketua Pengadilan, dan sebagainya.
Kondisi tersebut telah berkembang, sehingga diatur jaminan perlindungan data pribadi dalam berbagai perundang-undangan. Konstitusi sebagai pengaturan hukum tertinggi di Indonesia menjamin perlindungan tersebut dalam Pasal 28G ayat (1) Undang-Undang Dasar 1945, yang menjamin hak setiap orang untuk peroleh perlindungan diri pribadi, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya.
Kemudian dari pengaturan dalam konstitusi tersebut diatur lebih lanjut dalam perundang-undangan di bawahnya, diantaranya Pasal Pasal 14 (2), Pasal 29 (1) dan Pasal 31 Undang-Undang No. 39 Tahun 1999 tentang Hak Asasi Manusia (UU HAM). Pada pasal 29 ayat (1) UU HAM ditegaskan bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan hak miliknya. Perlindungan tersebut tidak terbatas pada konteks hubungan langsung, melainkan juga informasi pribadi atas hubungan tersebut. Sedangkan Pasal 14 ayat (2) UU HAM menjamin hak setiap orang untuk mencari, memperoleh, menyimpan, mengolah, dan menyampaikan informasi dengan menggunakan segala jenis sarana yang tersedia.
Pada level praktis, terdapat juga pengaturan mengenai perlindungan data pribadi. Salah satunya dalam telekomunikasi dan informatika, yang diatur dalam Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (disebut UU ITE). Pasal 26 ayat (1) UU ITE menegaskan bahwa pemindahtanganan data pribadi harus terlebih dahulu mendapatkan izin dari pemilik data.
Sehingga apabila terjadi pelanggaran tersebut, maka pihak yang dirugikan berhak mengajukan gugatan ke pengadilan (Pasal 26 ayat (2) UU ITE). Akan tetapi, mekanisme gugatan yang diberikan tersebut belum berjalan optimal, karena proses pembuktian yang sulit, karena masih mempersoalkan secara hukum dugaan kebocoran data pribadi. Sehingga sekalipun UU ITE telah disahkan sejak 2008, namun sampai 2018 hanya ada satu gugatan yang diajukan ke pengadilan mengenai itu.
Kemudian jaminan perlindungan data pribadi juga diatur dalam Pasal 26 ayat (3) UU No. 19 Tahun 2016 tentang perubahan UU ITE, yang menyatakan “Setiap Penyelenggara Sistem Elektronik wajib menghapus Informasi Elektronik dan/ atau Dokumen Elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan Orang yang bersangkutan berdasarkan penetapan pengadilan”.
Akan tetapi, norma tersebut masih terlalu umum, karena hanya menyebutkan penghapusan informasi elektronik dan/atau dokumen elektronik yang tidak relevan. Tidak ada penjelasan lebih jauh mengenai yang dimaksud tidak relevan tersebut, sehingga berpotensi multitafsir sesuai kepentingan tertentu, dan bertabrakan dengan perundang-undangan lain. Hal itu seperti dengan Undang-Undang No. 40 Tahun 1999 tentang Pers yang menjamin hak public atas informasi dan kebebasan berekspresi.
Adanya pengaturan yang terlalu umum dan tidak optimal tersebut, maka perlu dilakukan perbaikan. Pertama, perlu adanya pedoman internal (Peraturan Mahkamah Agung) bagi hakim mengadili gugatan pemindahtanganan data pribadi tanpa izin pemilik. Sehingga akan mempermudah bagi hakim dalam menilai pembuktian gugatan secara objektif, serta menjamin penegakan perlindungan data pribadi di Indonesia. Kedua, perlu dilakukan penambahan penjelasan Pasal 26 ayat (3) UU ITE mengenai yang dimaksud dengan informasi elektronik dan/atau dokumen elektronik yang tidak relevan. Sehingga baik masyarakat maupun penyedia telekomunikasi akan berupaya memastikan perlindungan data tersebut untuk dihapus. Melalui upaya tersebut, maka diharapkan upaya perlindungan data pribadi di Indonesia dapat berjalan secara optimal.
Tulisan ini telah terbit di laman HeyLaw pada 11 Maret 2021.