Kita telah melihat apa itu GDPR dan kenapa aturan yang dianut Uni Eropa itu ideal lewat artikel "Aturan tentang Data Pribad yang Sayangnya Tak Ada di Indonesia". Kini, kita lihat rancangan regulasi yang tengah disusun pemerintah, RUU Pelindungan Data Pribadi (PDP). Artikel lanjutan Tulisan Seri khas VOI, "Tiada Privasi untuk Data Pribadi".
"Kita harus siaga menghadapi ancaman kejahatan siber, termasuk kejahatan penyalahgunaan data. Data adalah jenis kekayaan baru bangsa kita. Kini data leaabih berharga dari minyak," Presiden Joko Widodo (Jokowi) mengisi pidato dalam Sidang Tahunan MPR, Jumat, 16 Agustus 2019.
Bukan sekali Jokowi menyampaikan seruan itu. Oktober 2019, Jokowi berseru sama dalam pidatonya. Pemerintah, melalui Kementerian Komunikasi dan Informatika (Kominfo) kemudian menyusun inisiasi regulasi persoalan data pribadi. RUU Perlindungan Data Pribadi (RUU PDP) pun diteken Jokowi pada 24 Januari 2020. Sejak itu, bola panas dibagi bersama Dewan Perwakilan Rakyat (DPR).
Berdasar draf per Desember 2019, RUU PDP memuat 72 pasal dengan 15 bab di dalamnya. Menteri Komunikasi dan Informatika Johnny G. Plate menjelaskan lima prinsip dasar yang diatur dalam RUU PDP. "Pertama, pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, patut, dan transparan,” tutur Johnny, Rabu, 5 Agustus.
Prinsip kedua adalah pemrosesan data pribadi dilakukan sesuai tujuan, akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan. Ketiga, pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, dan pengubahan secara tidak sah, serta penyalahgunaan, perusakan, dan/atau kehilangan data pribadi.
Keempat, ketika terjadi kegagalan perlindungan data pribadi (data breach), pengendali data pribadi wajib menginformasikan kegagalan itu. Pemilik data pribadi harus jadi yang pertama diinformasikan. Yang terakhir, data pribadi wajib dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasar permintaan pemilik data pribadi (right to erasure) kecuali ditentukan lain oleh peraturan perundang-undangan.
Jika dilandasi komoditi
Semangat yang baik dari pemerintah untuk melindungi data pribadi masyarakatnya. Namun, masih banyak lubang dalam RUU Pelindungan Data Pribadi (PDP). Dalam pasal yang memuat hak pemilik data pribadi, misalnya. Pasal 4 sampai 16 RUU PDP mengatur sejumlah hak pemilik data pribadi.
Namun, Pasal 16 Ayat 1 juga mengatur pengecualian untuk Pasal 8, Pasal 9, Pasal 10, Pasal 11, Pasal 12, dan Pasal 14. Segala hak yang tercantum dalam pasal-pasal tersebut tidak berlaku untuk kepentingan pertahanan dan keamanan nasional, kepentingan proses penegakan hukum, kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan, serta kepentingan umum dalam rangka penyelenggara negara.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) Djafar Wahyudi mengatakan, rumusan di atas dapat menimbulkan kebingungan, bahkan berpotensi karet dalam proses penegakan hukum. "Rekomendasi kami adalah rumusan pengecualian. Jadi tidak perlu dirumuskan tiga bagian yang justru membingungkan. Kedua soal konsistensi apa saja yang bisa jadi pengecualian, persyaratan sehingga lebih detail dan limitatif," katanya kepada VOI, Kamis, 6 Agustus.
Konstruksi hukum yang dibangun dalam konteks hak pemilik data itu berlawanan dengan asas-asas yang harus ada dalam penegakan hukum berbasis hak asasi manusia (HAM): asas nesesitas dan asas proporsionalitas. Hal lainnya adalah mengenai pemanfaatan agregat data yang pemrosesannya ditujukan untuk kepentingan statistik dan penelitian ilmiah dalam rangka penyelenggaraan negara.
Negara harus memastikan tak ada kepentingan lain dari pengelolaan data agregat. "Nah ini yang kemarin sebenarnya memicu perdebatan karena beberapa pihak meminta pengecualian data agregat, tapi pada data agregat itu bentuknya apa," kata Djafar.
Yang dimaksud data agregat adalah ketika satuan data tentang peristiwa kependudukan, peristiwa penting, jenis kelamin, kelompok usia, agama, pendidikan, dan pekerjaan dihimpun. Biasanya kumpulan itu berbentuk statistik.
Selain itu, RUU PDP dikhawatirkan dilandasi semangat keliru yang tak berdasar kepentingan melindungi hak privasi pemilik data, melainkan mengakomodir kepentingan-kepentingan lain, baik politis maupun ekonomi. Djafar menyoroti pernyataan-pernyataan pejabat pemerintah yang menampakkan perspektif keliru mengenai data, bahwa data adalah komoditi, bahwa data kini lebih berharga dari minyak bumi.
Pengelolaan data tidak bisa dilihat sebagai komoditi. Pengelolaan data, pada dasarnya harus dilandasi prinsip perlindungan hak privasi orang per orang. "Kalau minyak kan jelas. Penguasaannya jelas. Ada unsur alam yang melekat di sebuah teritori negara. Kalau data itu beda. Orang per orang. Kuasanya ada di subjek. Tidak bisa data disamakan dengan minyak. Saya makanya tidak sepakat konsep data is new oil."
Sementara, anggota Komisi I DPR Abdul Kadir Karding menjelaskan laju pembahasan RUU di parlemen. DPR, kata Karding telah membentuk Panitia Kerja RUU PDP. "Sebelum reses kemarin kami sudah mengundang RDPU rapat dengan pendapat umum dengan berbagai kalangan ... Itu yang sedang dilakukan. tinggal nanti menunggu selesai reses, setelah tanggal 14 ini kami akan push lagi agar bisa dibahas lebih intensif. Tetapi, tetap memperhatikan kualitas," katanya kepada VOI, Jumat, 7 Agustus.
Soal lubang-lubang yang dikhawatirkan bisa jadi celah penyalahgunaan data, Karding mengatakan RUU PDP justru dibuat untuk memproteksi agar data pribadi masyarakat tak dimanfaatkan untuk kepentingan bisnis atau kriminal, apalagi konteks politik yang kerap kali terjadi.
"Justru itulah nanti kita akan minta pendapat dari semua pihak dan masyarakat agar UU ini tidak terlalu fleksibel ... Makanya menurut saya RUU ini harus diatur detail. Nanti kalau detail sudah dibuat aturan mainnya, enggak boleh begini, enggak boleh begitu," kata Karding.
RUU PDP, bagaimanapun adalah harapan. Namun, dengan segala lubang yang masih nampak, RUU PDP justru berpotensi merugikan para pemilik data. Maka, pengawasan harus dilakukan. Kita harus memastikan kedaulatan atas masing-masing data pribadi kita sendiri. Negara boleh saja menyimpan dan mengelola data kita. Namun, segala otoritas pemanfaatan data tetap berada di tangan tiap-tiap kita.
"Artinya semua tindak pemrosesan itu harus bertujuan yang spesifik dan sesuai. Jadi kalau negara bilang ini untuk bansos, untuk bantuan, untuk pendidikan, untuk statistik, ya hanya untuk itu saja. Dan kita harus tahu. Jika kita tidak bersedia, UU ini harus mengakomodir penolakan kita," kata Djafar.
Ikuti Tulisan Seri Edisi Ini: Tiada Privasi di Data Pribadi