(IslamToday ID) – Komisi Informasi Pusat mendorong RUU Perlindungan Data Pribadi (PDP) segera disahkan oleh DPR. Terlebih setelah ada kebocoran 279 juta data warga Indonesia yang dijual secara daring.
“Bisa dikatakan saat ini terjadi darurat pelindungan data pribadi di tengah derasnya perkembangan teknologi, karenanya RUU Perlindungan Data Pribadi harus segera disahkan dan diundangkan demi menjaga kerahasiaan data pribadi warga negara Indonesia,” kata Komisioner Komisi Informasi Pusat Cecep Suryadi dalam keterangan tertulis seperti dikutip dari Tempo, Sabtu (22/5/2021).
Di era perkembangan teknologi yang semakin maju, Cecep melihat pelindungan data pribadi menjadi darurat. Hal ini dikarenakan jaminan hukum atas pelindungan data pribadi masih sangat lemah, disamping upaya serius dari DPR dan pemerintah dalam membahas dan mengesahkan RUU Perlindungan Data Pribadi masih belum selesai.
Cecep mengatakan data pribadi merupakan data yang wajib dilindungi kerahasiaannya. Oleh karena itu, baik badan publik maupun pihak swasta yang memiliki dan menyimpan data pribadi seseorang wajib melindungi kerahasiaan, karena hal tersebut dijamin dalam UU No 14 Tahun 2008 tentang Keterbukaan Informasi Publik serta diatur dalam UU No 24 Tahun 2013 tentang Perubahan atas UU No 23 Tahun 2006 tentang Administrasi Kependudukan.
Ia juga mengapresiasi respons cepat yang dilakukan oleh pemerintah dengan memanggil BPJS Kesehatan. Diduga kebocoran data ini berasal dari sana.
Cecep mengatakan investigasi harus segera dilakukan untuk segera mengusut secara tuntas dugaan kebocoran dan penjualan data pribadi warga negara.
Pelindungan data pribadi warga negara Indonesia merupakan hal dasar yang harus diperhatikan karena dengan percepatan pengesahan RUU Pelindungan Data Pribadi dapat menjadi solusi untuk memperbaiki tata kelola atau pribadi warga negara Indonesia, serta dapat menjerat pihak-pihak yang membocorkan data pribadi maupun menjualbelikan data pribadi.
“Saya kira, solusi untuk kebocoran data pribadi ini adalah dengan segera mengesahkan RUU Perlindungan Data Pribadi, agar masyarakat dapat memperoleh jaminan hukum yang jelas,” pungkas Cecep.
Apa Itu RUU PDP?
Direktur Jenderal Aplikasi Informatika Kementerian Kominfo Semuel Abrijani Pangerapan mengatakan, RUU PDP bakal jadi kerangka regulasi tentang perlindungan data pribadi. Menurutnya, saat ini pengaturan tentang perlindungan data pribadi masih terpisah-pisah dan tercecer setidaknya di 32 undang-undang, serta bersifat sektoral.
Semuel menjelaskan, RUU PDP mengakui hak pemilik data pribadi sebagai hak asasi. Selain itu, RUU PDP juga mengatur keseimbangan hak dan kewajiban antara pemilik data dan pengendali data.
Disebutkan, RUU PDP yang dibahas pemerintah bersama DPR bakal dibuat setara dengan UU tentang perlindungan data pribadi negara-negara lain. Menurutnya, sudah ada sekitar 130 negara di dunia yang memiliki UU tentang perlindungan data pribadi.
Pemerhati keamanan siber sekaligus staf Engagement and Learning Specialist di Engage Media, Yerry Niko Borang mengatakan, kehadiran RUU PDP sudah lama dinantikan. “Sudah sejak 6-7 tahun lalu mencoba didorong (pembahasannya). Kebetulan saya juga pernah membantu mengampanyekan soal ini,” kata Yerry seperti dikutip dari Kompas, 9 November 2020.
“Beberapa teman akademisi juga selama beberapa tahun ini sudah mencoba memberi masukan langsung ke parlemen dan juga pemerintah, soal pelindungan data pribadi,” imbuhnya.
Yerry mengatakan, selama ini Indonesia belum memiliki aturan hukum yang melindungi data pribadi warga negaranya atau melindungi konsumen pengguna layanan perusahaan-perusahaan teknologi.
“Di negara-negara lain sudah ada UU yang mengatur itu, misalnya perusahaan telekomunikasi hanya boleh menyimpan data pribadi konsumen selama tiga tahun dan setelah itu harus dihapus,” kata Yerry.
Ia menjelaskan, kebutuhan untuk melindungi data pribadi saat ini telah menjadi sesuatu yang sangat penting. Sebab di era saat ini, data telah menjadi sesuatu yang sangat bernilai. “Misalnya, apa yang kita ucapkan, apa yang kita tulis, atau data-data personal kita, itu bisa disalahgunakan untuk kejahatan finansial dan juga untuk masalah yang lebih luas, misalnya politik,” ujarnya.
Menurut Yerry, selama ini hak-hak warga negara terkait data pribadinya kurang mendapat perhatian. Misalnya, dalam kasus kebocoran data yang sempat menimpa pengguna salah satu aplikasi e-commerce, beberapa waktu lalu.
“Itu kan tidak ada sanksinya bagi e-commerce. Kalau ada UU perlindungan data pribadi, dia bakal kena. Karena dia tidak bisa melindungi,” kata Yerry.
“Bayangkan saja misalnya, ada orang yang akibat kebocoran data dari platform e-commerce kemudian rekening banknya jebol, siapa yang bertanggungjawab? Untuk saat ini kan enggak ada, pihak e-commerce enggak bisa disalahkan kan?” imbuhnya.
Kewenangan Pengendali Data
Yerry mengatakan, ada beberapa hal yang perlu ditekankan dalam pasal-pasal atau ketentuan-ketentuan yang tertuang dalam RUU PDP. Hal-hal yang ia nilai penting antara lain ketentuan tentang pihak-pihak mana saja yang boleh mengendalikan atau menyimpan data pribadi, dan juga berapa lama data pribadi bisa dikelola.
“Dan apa yang terjadi kalau ada kebocoran data pribadi. Itu yang selama ini kita lalai,” imbuhnya.
Yerry menambahkan, salah satu negara yang memiliki sistem pelindungan data pribadi cukup baik adalah Kanada. “Di Kanada diatur bahwa warga negara boleh mengirim surat, misalnya ke Telkom, penyedia layanan-layanan itu, atau Facebook, dan menanyakan ‘Data apa saja dari saya yang kalian simpan?’ dan itu harus dijawab,” ujar Yerry.
“Sampai sespesifik itu, kita masih jauh dari situ, tapi ya ada kejelasan berapa lama itu (data pribadi) disimpan, apakah selamanya atau selama beberapa tahun?” tambahnya.
Mengingat begitu berharganya data, berikut adalah beberapa manfaat yang bisa warga dapat dengan adanya UU PDP yang memadai:
1. Warga berhak memilih informasi apa saja yang bisa dikumpulkan oleh laman atau aplikasi internet. Dalam General Data Protection Regulation, regulasi di Uni Eropa yang menjadi rujukan bagi banyak regulasi perlindungan data pribadi, pengendali data wajib memberikan pilihan ini kepada pemilik data apakah mereka ingin memberikan data mereka.
Warga tidak perlu proaktif memintanya. Misalnya ketika pengguna mengklik laman/aplikasi media berita The Guardian, yang mengacu pada GDPR, otomatis akan muncul di layar pilihan “Yes, I’m happy” atau “Manage my cookies”.
Cookies bisa mengumpulkan informasi seperti lokasi dan lama akses, laman yang dikunjungi, hingga demografi. Dengan cookies, pengiklan bisa menargetkan iklan sesuai dengan hal yang kita sukai
2. Warga berhak menghapus data pribadi yang disimpan oleh perusahaan atau perpanjangannya. GDPR juga memungkinkan warga menghapus data pribadi yang disimpan oleh perusahaan atau perpanjangannya.
Ini adalah standar emas yang diberikan dalam regulasi perlindungan data pribadi. Perlindungan semacam ini juga ditemukan dalam California Consumer Privacy Act, hukum di negara bagian California di Amerika Serikat yang mengatur perlindungan data pribadi warga California.
CCPA sangat strategis karena banyak raksasa teknologi global berkantor pusat di California sehingga terikat pada hukum tersebut, seperti Google, Facebook, WhatsApp, Instagram, Twitter, Spotify, dan TikTok.
Jadi bukan hal sulit bagi mereka memperluas layanan itu ke warga Indonesia, mengingat sebagian sudah melakukannya ke warga luar California meski tidak diwajibkan. Jika selama ini seseorang merasa sudah banyak data pribadinya yang dikumpulkan oleh raksasa teknologi itu, ia bisa meminta mereka untuk menghapusnya.
3. Melindungi warga ketika bersengketa dengan perusahaan besar. Pengaruh lain yang bakal dialami langsung oleh warga adalah ketika menuntut hak-hak mereka saat berinteraksi dengan pengendali data seperti media sosial, marketplace, seperti Tokopedia dan Shopee, lalu aplikasi multiguna seperti GoJek, aplikasi game, hingga badan publik yang mengumpulkan data kependudukan.
Dalam relasi kuasa yang tidak imbang itu, warga bisa saja dirugikan dengan besarnya potensi pelanggaran yang dilakukan perusahaan-perusahaan besar di atas. Hal ini tentunya membutuhkan tindakan tegas, adil, dan transparan dari otoritas negara.
Pengalaman GDPR membuktikan, denda yang besar tapi terukur menjadi penekan pengendali data untuk ekstra hati-hati saat memanfaatkan data digital warga.
Salah satu denda terbesar di bawah GDPR adalah yang diberikan regulator di Perancis kepada Google sebesar 50 juta euro atau sekitar Rp 858 miliar. [wip]