Bersama Lindungi Data Pribadi di Platform Digital

Jakarta, Kominfo - Di era digital seperti sekarang ini, data pribadi seseorang sangatlah mudah ditemukan di dunia maya. Entah itu yang sengaja diunggah oleh sang pemilik, maupun yang disalahgunakan oleh oknum tidak bertanggung jawab.

Maka itu, negara wajib melindungi data pribadi warganya. Tetapi, negara juga tidak bisa bekerja sendiri. Semua pihak juga harus turut andil dalam upaya pelindungan data pribadi. Siapa saja semua pihak tersebut?

Pertama, tentu adalah Pemerintah selaku penyelenggara negara. Oleh karenanya, Pemerintah bersama Dewan Perwakilan Rakyat (DPR) RI saat ini tengah membahas Rancangan Undang-Undang (RUU) Pelindungan Data Pribadi (PDP) sebagai payung hukumnya.

Mengingat pentingnya keberadaan aturan ini, RUU PDP pun masuk dalam daftar Program Legislasi Nasional (Prolegnas) Prioritas 2020. RUU PDP ditargetkan rampung pada Oktober mendatang.

Bila sudah sah menjadi UU, Indonesia akan menjadi negara kelima di Asia Tenggara yang memiliki aturan terkait pelindungan data pribadi. Sebelumnya Singapura, Malaysia, Thailand, dan Filipina, sudah mengatur perlindungan data pribadi. Sementara di tingkat dunia, Indonesia bisa menjadi negara ke-127 yang memiliki aturan yang biasa disebut sebagai General Data Protection Regulation (GDPR) itu.

Kedua adalah data controller atau pengendali data pribadi. Mereka wajib melindungi data pribadi seseorang dan itu sudah tertuang dalam RUU PDP. Adapun yang dimaksud pengendali data pribadi adalah pihak yang menentukan tujuan dan melakukan kendali pemrosesan terhadap data pribadi.

Pengendali data pribadi di sini bisa Pemerintah maupun swasta. Dari Pemerintah, misalnya, adalah Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Ditjen Dukcapil) Kementerian Dalam Negeri (Kemendagri) yang mencatat data pribadi penduduk untuk kepentingan negara maupun publik.

Sementara dari pihak swasta, marketplace bisa menjadi salah satu contohnya. Sebab, untuk dapat menggunakan atau mengakses semua layanan yang diberikan, masyarakat harus memasukan data pribadinya. Berdasarkan RUU PDP, maka kedua pihak tersebut wajib melindungi data pribadi yang tercatat dalam database mereka.

Kemudian yang ketiga adalah data owner atau pemilik data pribadi itu sendiri. Masyarakat juga harus memiliki pemahaman bahwa data pribadi merupakan sesuatu yang penting untuk dijaga kerahasiaannya dan tidak sembarangan diumbar di ranah publik. Pasalnya, saat ini kita dapat dengan mudah menemukan data pribadi seseorang seperti Kartu Tanda Penduduk (KTP) di dunia maya.

Pihak terakhir yang juga memiliki kewajiban melindungi data pribadi adalah penegak hukum. Wujud pelindungan di sini adalah apabila sudah terjadi tindak pidana penyalahgunaan data pribadi seseorang, maka penegak hukum wajib melindungi hak pemilik data yang dilanggar oleh pengendali data.

Hak Pemilik Data Pribadi

Data pribadi, dalam RUU PDP, didefinisikan sebagai setiap data tentang seseorang, baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau nonelektronik.

Data pribadi sendiri dibagi menjadi dua jenis. Pertama, data pribadi yang bersifat umum, seperti nama lengkap, jenis kelamin, kewarganegaraan, agama, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Kedua, data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, kehidupan/orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Lalu apa saja hak yang dimiliki oleh pemilik data pribadi? Bila melihat RUU PDP, setidaknya ada 12 hak. Di antaranya meminta infromasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi; melengkapi data pribadi miliknya sebelum diproses oleh pengendali data pribadi; dan mengakses data pribadi miliknya.

Kemudian memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi miliknya; mengakhiri pemrosesan, menghapus, dan/atau memusnakan data pribadi miliknya; dan menarik kembali persetujuan pemrosesan data pribadi miliknya yang telah diberikan kepada pengendali data pribadi.

Selanjutnya mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis terkait profil seseorang; memilih atau tidak memilih pemrosesan data pribadi melalui mekanisme pseudonim untuk tujuan tertentu; dan menunda atau membatasi pemrosesan data pribadi secara proporsional sesuai dengan tujuan pemrosesan data pribadi.

Lalu menuntut dan menerima ganti rugi atas pelanggaran data pribadi miliknya; mendapatkan dan/atau menggunakan data pribadi miliknya dari pengendali data pribadi dalam bentuk yang sesuai dengan struktur dan/atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik atau perangkat keras yang digunakan dalam interoperabilitas antarsistem elektronik; serta menggunakan dan mengirimkan data pribadi miliknya ke pengendali data pribadi lainnya, sepanjang sistem tersebut dapat saling berkomunikasi secara aman sesuai dengan prinsip pelindungan data pribadi berdasarkan UU ini.

Sanksi Kebocoran dan Penyalahgunaan Data

Seperti halnya harapan masyarakat, Pemerintah juga berharap RUU PDP ini dapat segera disahkan menjadi UU agar bisa memayungi masyarakat dari kebocoran dan penyalahgunaan data pribadi.

Namun demikian, apabila setelah disahkan menjadi UU dan kebocoran serta penyalahgunaan data pribadi tetap terjadi, pada Bab XIII dalam draf RUU yang bisa diunduh di laman Kemkominfo itu telah memuat sejumlah ketentuan pidana yang terdiri atas sembilan pasal.

Pasal 61 ayat (1), misalnya, menyebutkan bahwa setiap orang yang dengan sengaja memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian Pemilik Data Pribadi sebagaimana dimaksud dalam Pasal 51 ayat (1) dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp50 miliar.

Sementara ayat (2) berbunyi setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (2) dipidana dengan pidana penjara paling lama dua tahun atau pidana denda paling banyak Rp20 miliar.

Sedangkan ayat (3) berisi setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (3) dipidana dengan pidana penjara paling lama tujuh tahun atau pidana denda paling banyak Rp70 miliar.

Kemudian Pasal 62 menyatakan setiap orang yang dengan sengaja dan melawan hukum memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual di tempat umum atau fasilitas pelayanan publik yang dapat mengancam atau melanggar pelindungan data pribadi sebagaimana dimaksud dalam Pasal 52, dipidana dengan pidana penjara paling lama satu tahun atau pidana denda paling banyak Rp10 miliar.

Selanjutnya dalam Pasal 63 disebutkan setiap orang yang dengan sengaja dan melawan hukum menggunakan alat pemroses atau pengolah data visual yang dipasang di tempat umum dan/atau fasilitas pelayanan publik yang digunakan untuk mengidentifikasi seseorang sebagaimana dimaksud dalam Pasal 53 dipidana dengan pidana penjara paling lama satu tahun atau pidana denda paling banyak Rp10 miliar.

Pasal 64 yang memuat dua ayat menyebutkan bahwa setiap orang yang dengan sengaja memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 54 ayat (1) dipidana dengan pidana penjara paling lama enam tahun atau pidana denda paling banyak Rp60 miliar.

Selain itu, setiap orang yang dengan sengaja menjual atau membeli data pribadi sebagaimana dimaksud dalam Pasal 54 ayat (2) dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp50 miliar.

Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 61 sampai dengan Pasal 64, pada Pasal 65 menyatakan terhadap terdakwa juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.

Selanjutnya, Pasal 66 mengatur mengenai pihak mana saja yang dapat dikenakan pidana. Dalam ayat (1) disebutkan, dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 61 sampai dengan Pasal 64 dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.

Kemudian ayat (2) menyebutkan pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Sementara ayat (3) menyebutkan pidana denda yang dijatuhkan kepada korporasi paling banyak tiga kali dari maksimal pidana denda yang diancamkan.

Terakhir, ayat (4) menyatakan, selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), korporasi dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, pelarangan permanen melakukan perbuatan tertentu, penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, dan pembayaran ganti kerugian.

Keberadaan UU ini memang merupakan suatu keniscayaan, bahkan keharusan yang tidak dapat ditunda-tunda lagi karena sangat mendesak bagi berbagai kepentingan nasional dan publik.

Selain itu, keberadaan UU ini juga merupakan amanat dari Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 yang menyatakan bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.

Namun demikian, seperti sudah ditegaskan di awal, upaya pelindungan data pribadi tidak bisa semata-mata hanya diserahkan kepada pemerintah selaku penyelenggara negara saja. Semua pihak harus berkolaborasi dan saling mendukung agar pelindungan data pribadi dapat berjalan secara maksimal. 

Sumber