Aturan tentang Data Pribadi yang Sayangnya Tak Ada di Indonesia
Ilustrasi (Ilham Amin/VOI)

Bagikan:

Menguasai data pribadi adalah menguasai uang. Hal itu telah kita bahas dalam "Siapa Penguasa Data Pribadi dan Mengapa Penting Menguasainya". Lewat artikel ini kita akan mencari tahu, apa benar tak ada aturan apapun soal data pribadi di internet? Lanjutan dari Tulisan Seri khas VOI, "Tiada Privasi untuk Data Pribadi"

 

JAKARTA - Di era digital saat ini, siapapun yang berhasil menguasai data akan menjadi pemenang. Ungkapan semacam itu mungkin sudah tak asing lagi. Terlebih dengan perkembangan teknologi informasi yang sangat pesat lewat kehadiran internet. 

Bahkan, bisa dikatakan, banyak manusia saat ini sangat bergantung dengan internet. Dikutip The Guardian, dalam sehari setidaknya ada 5 exabyte (satu juta terabyte, dalam ukuran data) informasi yang keluar masuk melalui internet. Jumlah itu setara dengan 40 ribu film berdurasi dua jam per detiknya.

Lantas siapa yang bisa menguasai lalu lintas data tersebut di dunia maya, terlebih banyaknya aktivitas digital yang dilakukan manusia modern saat ini. Data pribadi bahkan disebut sebagai lahan baru komoditas yang melebihi hasil minyak. 

Sebagai perbandingan, satu menit di internet, aktivitas digital yang terjadi akan sama dengan jumlah 156 juta email, 29 juta pesan, 1,5 juta lagu Spotify, 4 juta pencarian Google, 2 juta menit panggilan Skype, 350.000 tweet, 243.000 foto diunggah di Facebook, 87.000 jam Netflix, 65.000 gambar dimasukkan ke Instagram, 25.000 unggahan Tumblr, 18.000 pertandingan di Tinder, dan 400 jam video yang diunggah ke YouTube.

Menurut perusahaan teknologi Cisco, masyarakat dunia telah menjadi bagian dari lalu lintas internet dan mereka semua adalah konsumen. Mereka menghabiskan waktu secara online untuk mengakses situs maupun platform digital, seperti YouTube, Netflix, dan mungkin beberapa dari mereka yang mengakses situs porno.

"Pergeseran dunia yang makin digital menyebabkan value data makin tinggi. Data jadi komoditas paling berharga di muka bumi hari ini. Dulu, emas hitam, minyak bumi. Sekarang, big ten (di Wall Street) itu rata-rata perusahan IT. Perusahaan minyak tergeser. Jadi, defacto, data adalah komoditi paling berharga," kata pakar keamanan siber, Alfons Tanujaya.

Ilustrasi foto (Iwzee/Unsplash)

 

Sekilas lalu lintas internet ini tidak ada yang menjaga ataupun dijaga. Aktivitas yang sangat kompleks untuk menjabarkan satu-per satu data seseorang di dunia digital. Apalagi internet merupakan dunia baru yang bisa diakses tanpa batas atau borderless

Bahkan, dengan perkembangan teknologi saat ini, situs mesin pencari Google baru menguasai 60 persen pasar internet global. Dengan rincian hampir 2 miliar situs web yang tersebar dan hanya 0,1 persen (sekitar 5 juta) dikunjungi pengguna internet. 

Kompleksitas dari lalu lintas data inilah yang membuat sebagian besar orang, baik negara maupun perusahaan yang beraktivitas di internet berupaya melindungi masing-masing usahanya. Pasalnya, siapa saja bisa tanpa izin menggunakan atau memproses data-data yang tersebar di internet.

General Data Protection Regulation

Sejak April 2016, Uni Eropa telah berhasil merampungkan General Data Protection Regulation (GDPR) atau satu aturan umum yang mengatur aktivitas internet. Regulasi yang digodok selama empat tahun ini memuat sejumlah aturan untuk mengatur bagaimana perusahaan internet, baik yang beroperasi di Eropa ataupun tidak, memperlakukan data milik warga Uni Eropa. 

Suka atau tidak, GDPR berpengaruh pada iklim bisnis di seluruh dunia. GDPR mengikat stakeholder --dalam konteks aktivitas teknologi digital-- di seluruh wilayah anggota Uni Eropa, termasuk organisasi di luar wilayah Uni Eropa yang ingin memberikan layanan jasa atau barang wajib tunduk kepada GDPR.

Ada empat poin utama yang disajikan dalam GDPR. Pertama, GDPR memberi definisi data pribadi sebagai penanda bagi setiap individu di internet. Artinya setiap perusahaan yang beraktivitas di Uni Eropa wajib melindungi data individu pada sistem mereka. 

Bila dikemudian hari terjadi kebocoran data, perusahaan memiliki waktu maksimal selama 72 jam untuk mengatasi masalah tersebut. Kedua, perusahaan internet wajib memberikan kebebasan penuh atas pengendalian data milik penggunanya yang berasal dari Uni Eropa. 

"Warga Uni Eropa berhak mengizinkan, mengizinkan sebagian atau tidak mengizinkan datanya untuk digunakan oleh perusahaan internet," salah satu poin di GDPR.

Ketiga adalah hak untuk dilupakan. Hak ini memungkinkan warga Uni Eropa menghapus segala jejak digital miliknya dari perusahaan internet yang digunakan. Keempat, warga Uni Eropa juga diberi kekuatan untuk memiliki hak data portabilitas, yakni data yang diformat untuk bisa dibaca dengan mudah pada mesin komputer. 

GDPR (Sumber: eu.or)

 

Selain itu, melalui GDPR, perusahaan internet wajib menciptakan sistem yang melindungi data warga Uni Eropa, yakni "privacy by design", yang artinya sistem mereka memang telah dirancang untuk memberikan perlindungan maksimal. Jika aturan GDPR dilanggar, perusahaan internet bisa dikenai sanksi berupa denda hingga 4 persen dari pendapatan global.

Secara sederhana, GDPR memperkenalkan aturan baru yang akan mempengaruhi bisnis model internet. Pasalnya industri internet sangat erat hubungannya dengan proses data informasi dan regulasi ini, secara khusus melindungi data pribadi seseorang di dunia maya.

Berbeda dengan Indonesia, setidaknya ada lebih dari 30 undang-undang yang mengatur perlindungan data pribadi secara parsial. Salah satu yang kerap menjadi rujukan utama saat ini adalah UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) beserta dua aturan pelaksananya.

Kedua aturan itu adalah PP Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem Dan Transaksi Elektronik(PP PSTE) dan Permenkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo Perlindungan Data Pribadi).

Indonesia cukup terlambat memahami pentingnya perlindungan data pribadi bagi warganya di internet. Operator maupun regulator di negeri ini tak menjelaskan secara detail siapa pihak-pihak yang bertanggung jawab menjamin perlindungan data pribadi serta siapa yang mengelola data tersebut.

Ada istilah 'controllers' (pengendali) dan 'processor' (pengelola) yang bertanggung jawab melaksanakan sanksi-sanksi bagi mereka yang lalai dalam menjaga dan melindungi data pribadi warganya. Di Uni Eropa, GDPR membentuk The European Data Protection Board atau lembaga khusus yang bertugas untuk mengawasi pelaksanaan aturan perlindungan data pribadi.

Sementara, Indonesia tidak memiliki lembaga khusus yang akan mengawasi perlindungan data pribadi secara menyeluruh. Masing-masing lembaga atau kementerian memiliki kewenangan sektoral dalam melindungi data informasi yang diperolehnya.

Andai kasus bocor data di Indonesia terjadi di negara maju

Serangkaian kasus kebocoran data pribadi terjadi di Indonesia. Bahkan tak sampai dua bulan terakhir ada lebih dari ratusan juta data pribadi masyarakat Indonesia yang dibocorkan dalam forum underground.

Data-data tersebut diperjualbelikan tanpa sepengetahuan pemiliknya. Sebut saja kasus kebocoran 90 juta akun pengguna Tokopedia, kemudian dugaan kebocoran data situs web KPU, dan terakhir 819.96 informasi nasabah KreditPlus. 

Tentu jadi masalah utama bagi Indonesia, yang hingga saat ini belum memiliki payung hukum yang dapat memaksa para penyedia jasa elektronik untuk mengamankan datanya secara maksimal. Sehingga data informasi masyarakat saat ini masih bisa diekspos dengan mudahnya. 

Dalam hal ini negara wajib punya tanggungjawab untuk melakukan percepatan pembahasan RUU Perlindungan Data Pribadi. Nantinya dalam UU tersebut harus disebutkan bahwa setiap penyedia jasa sistem transaksi elektronik (PSTE) yang tidak mengamankan data masyarakat, bisa dituntut ganti rugi dan dibawa ke pengadilan.

Pengamat keamanan siber dari CISSReC, Pratama Husada menyebut salah satu acuan yang paling mungkin diterapkan dalam aturan hukum perlindungan data pribadi di Indonesia saat ini adalah General Data Protection Regulation (GDPR). Setiap data yang dihimpun harus diamankan dengan enkripsi. Dan bila terbukti lalai, maka penyedia jasa bisa dikenai tuntutan hingga denda sampai 20 juta euro atau setara dengan Rp346 miliar.

"Bisa dibayangkan bila KreditPlus ini ada di luar negeri, bisa dikenai pasal kelalaian dalam GDPR. Sama juga dengan peristiwa kebocoran data yang sudah terjadi di tanah air sebelumnya," terang pria yang juga dosen pascasarjana Sekolah Tinggi Intelijen Negara (STIN) ini.

Hal ini sangat jauh berbeda dengan sanksi administratif dan sanksi pidana bagi penyelenggara sistem elektronik yang tidak memenuhi hak perlindungan data pribadi di Indonesia. Meski masih terbuka peluang mendapat kompensasi yang bisa diajukan melalui gugatan perdata atas kerugian yang ditimbulkan.

Ilustrasi foto (Markus Spiske/Unsplash)

 

Namun, mengadopsi GDPR dalam tatanan hukum Indonesia tak bisa dilakukan begitu saja. Mengutip wawancara Prof. Jovan Kurbalija, Executive Director of the UN Panel on Digital Cooperation yang dilakukan Tirto, mengadopsi GDPR mungkin menjadi cara paling efektif untuk memberikan perlindungan data pribadi bagi warga negara. 

Namun dalam berbagai aspek dan sudut pandang teknologi, sebuah negara tidak bisa sekadar mengekor suatu kebijakan proteksi data pribadi tanpa menjalankan check and balances dari regulasi yang akan dibuat. 

"Di Eropa aturan GDPR lahir karena sejarah mereka, termasuk sejarah Perang Dunia. Data pribadi merupakan isu sensitif di Eropa," ungkapnya dalam wawancara itu.

Menurutnya, Indonesia tak bisa sekadar mengikuti kebijakan proteksi data yang telah diberlakukan negara lain. Indonesia perlu memahami bagaimana masyarakat melihat isu ini dari berbagai sudut pandang, antara fokus dengan pertumbuhan ekonomi digital atau menyeimbangkannya dengan proteksi data.

 

Ikuti Tulisan Seri edisi ini: Tiada Privasi untuk Data Pribadi