Upaya Memperkuat Perlindungan Data Pribadi

Dalam beberapa dekade terakhir, perkembangan teknologi informasi dan komunikasi (TIK) telah mengubah cara masyarakat hidup, bekerja, dan berinteraksi. Internet, telepon pintar, media sosial, dan berbagai inovasi TIK lainnya di satu sisi telah memungkinkan akses mudah dan cepat ke berbagai sumber informasi, serta memungkinkan komunikasi tanpa batas.

Di sisi lain, karena kini banyak layanan berbasiskan jaringan internet, masyarakat juga membagikan banyak informasi pribadinya melalui piranti dan aplikasi TIK tersebut guna memperoleh berbagai layanan tersebut, seperti menggunakan aplikasi ojek online, belanja online, juga informasi yang dibagikan melalui media sosial.

Bersamaan dengan kemajuan teknologi ini, muncul tantangan baru yakni persoalan perlindungan data pribadi. Tanpa perlindungan hukum yang kuat, data yang dikumpulkan mengenai individu dapat dijadikan sarana untuk pelanggaran privasi individu bahkan tindak kejahatan.

Terkait hal tersebut, pada 17 Oktober 2022, pemerintah mengesahkan Undang-undang Nomor 27 Tahun 2022 Tentang Perlindungan Data Pribadi.

Data pribadi adalah informasi yang dapat diidentifikasi yang terkait dengan individu, seperti nama, alamat, nomor telepon, aktivitas, informasi keuangan, dan keterangan lainnya terkait satu individu spesifik. UU Nomor 27 Tahun 2022 mendefinisikan data pribadi sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Pasal 4 UU 27/2022 mendefinisikan lebih detil dua jenis data pribadi, yakni data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum. Data yang bersifat spesifik meliputi data dan informasi kesehatan, biometrik, genetika, catatan kejahatan, data anak, keuangan pribadi, dan data lainnya sesuai ketentuan perundangan-undangan terkait.

Data yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Keduanya sama-sama termasuk sebagai data pribadi dan wajib dilindungi kerahasiaannya.

Secara lebih luas, dalam konteks perkembangan big data di zaman ini, data digital itu sendiri dapat berasal dari berbagai sumber dan dapat mengidentifikasi individu tertentu. Hal ini berarti data pribadi sebenarnya tidak hanya mencakup data yang diserahkan oleh individu kepada pihak lain mengenai identitas dirinya. Beragam sumber tersebut misalnya ialah data yang dikumpulkan oleh perangkat digital seperti sensor dan kamera, aktivitas daring seseorang seperti belanja daring dan penelusuran internet, data yang diunggah oleh individu di internet mulai dari foto, video, lagu, dokumen, maupun data lainnya.

Perlindungan data pribadi menjadi penting karena adanya potensi penyalahgunaan informasi pribadi oleh pihak yang tidak berwenang. Bocornya data pribadi entah disengaja ataupun tidak dapat mengakibatkan pencurian identitas yang berujung penipuan finansial, pengawasan terhadap peribadi tersebut tanpa dasar yang sah, pemalsuan identitas, atau pelanggaran privasi lainnya. Oleh karena itu, penting bagi negara untuk mengadopsi peraturan dan kebijakan yang memastikan bahwa data pribadi dikelola dengan cara yang aman dan terjamin.

KOMPAS/TOTOK WIJAYANTO

Sejumlah barang bukti ditunjukkan saat Kasubdirektorat II Tindak Pidana Siber Bareskrim Mabes Polri Komisaris Besar Rickynaldo Chairul memberi keterangan kepada wartawan terkait penangkapan hacker di Mabes Polri, Jakarta, Jumat (25/10/2019). Tersangka berhasil membobol sistem keamanan data perusahaan asing dan menjalankan aksi ransomware dengan permintaan tebusan dalam bentuk bitcoin.

Di Indonesia, kebocoran data pribadi telah menjadi masalah yang serius. Sejumlah insiden kebocoran data yang signifikan terjadi di negara ini, mengungkapkan kerentanan sistem perlindungan data. Pada tahun 2020 terjadi kasus kebocoran data 91 juta pelanggan Tokopedia dan pada tahun 2021 kasus kebocoran data BPJS Kesehatan.

Pada tahun 2022 tercatat setidaknya terjadi delapan kasus besar kebocoran data. Pertama ialah kebocoran data 17 juta pelanggan PLN yang diketahui pada tanggal 18 Agustus 2022. Data pelanggan yang meliputi identitas pelanggan, nama, alamat, penggunaan listrik dan tipe energi, diperjualbelikan pada situs online “Breached Forums”. 

Tidak lama setelahnya, pada 20 Agustus 2022 didapati kebocoran data 26 juta riwayat pencarian pelanggan internet IndiHome. Data pelanggan tersebut mencakup domain, platform, browser, URL, kata kunci pencarian Google, alamat IP, resolusi layar, lokasi pengguna, e-mail, gender, nama, bahkan nomor induk kependudukan (NIK). Sama dengan kasus PLN, data tersebut diperjualbelikan pada situs online “Breached Forums”. 

Kebocoran data terjadi bahkan terhadap data surat-menyurat Presiden RI. Kasus tersebut terjadi pada 10 September 2022. Dokumen presiden pada periode 2018-2021 diperjualbelikan pada situs online “Breached Forums”.

Kasus besar terbaru terjadi pada Juli 2023 di mana data 34 juta paspor warga negara Indonesia terekspos dan diperjualbelikan secara daring senilai 10 ribu USD. Sampel data yang ditunjukkan oleh hacker tersebut menunjukkan bahwa data yang bocor memang valid dan merupakan data paspor periode 2009-2020.

Menurut data perusahaan keamanan siber Surfshark, Indonesia menempati urutan ke-11 negara dengan jumlah kebocoran data terbanyak di dunia sepanjang 2022.

Pada kuartal kedua tahun 2022 Indonesia sempat menjadi negara dengan jumlah kebocoran data terbanyak ke-3 di dunia. Grafik di bawah ini menunjukkan peringkat negara berdasarkan jumlah data bocor per 100.000 populasi penduduk.

Grafik:

Sementara itu, berdasarkan National Cyber Security Index (Surfshark) yang diterbitkan oleh E-Governance Academy Foundation (EGA) pada tahun 2023 menempatkan Indonesia pada peringkat ke-47 dari total 176 negara, dengan nilai indeks pada 63,64 (nilai maximal 100). Nilai tersebut lebih rendah dari Malaysia (79,22), Singapura (71,43), Thailand (64,94), dan Filipina (63,64).

Sebagai catatan, NCSI ini mengukur 12 Surfshark yakni perkembangan kebijakan keamanan siber, informasi dan analisis ancaman siber, perkembangan professional dan edukasi, kontribusi bagi keamanan siber global, pengamanan layanan digital, pengamanan layanan dasar, layanan identifikasi digital dan kepercayaan, perlindungan data pribadi, respon pada peristiwa terkait keamanan siber, manajemen krisis siber, perlawanan terhadap kejahatan siber, dan operasi militer siber.

Negara dengan nilai NCSI terbaik meliputi Belgia, Lithuania, Estonia, Republik Ceko. Jerman, Romania, Yunani, Portugal, Inggris, dan Spanyol.

Grafik:

Salah satu bagian penting dalam upaya pengembangan keamanan siber dan meningkatkan perlindugan data pribadi adalah dengan menerbitkan peraturan perundang-undangan yang mengikat setiap pihak pengelola data agar meningkatkan infrastruktur keamanan data yang diperolehnya sekaligus meningkatkan hak pemilik data pribadi.

Perlindungan data pribadi merupakan masalah mendasar karena ia adalah salah satu wujud dari hak asasi manusia. Ia merupakan bagian dari perlindungan diri pribadi. Dasar hukum bagi perlindungan diri pribadi ini pertama-tama dapat berkaitan dengan

Pasal 28G UUD 1945 Ayat 1. Ayat tersebut mencantumkan bahwa “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”

Sebelum disahkannya UU Nomor 27 Tahun 2022 Tentang Perlindungan Data Pribadi, persoalan mengenai perlindungan data pribadi berkaitan dengan beberapa dokumen hukum lain yang tidak langsung mengatur mengenai perlindungan data pribadi.

Dokumen perundang-undangan tersebut meliputi Undang-undang Nomor 19 Tahun 2016 Tentang Informasi dan Transaksi Elektronik yang menggantikan Undang-undang Nomor 11 Tahun 2008; Undang-undang Nomor 39 Tahun 1999 Tentang Hak Asasi Manusia; Undang-undang Nomor  14 Tahun 2008 Tentang Keterbukaan Informasi Publik; serta Undang-undang Nomor 24 Tahun 2013 yang menggantikan Undang-undang Nomor 23 Tahun 2006.

Pemerintah Indonesia mulai menyadari pentingnya perlindungan data pribadi dalam beberapa tahun terakhir. Pada tahun 2016, Indonesia mengesahkan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) yang mencakup aspek perlindungan data pribadi.

Selanjutnya, pada tahun 2020, pemerintah meluncurkan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/2019). Peraturan ini memberikan kerangka kerja untuk perlindungan data pribadi dengan menetapkan kewajiban bagi pemilik data, pengelola data, dan pihak lain yang terlibat dalam pengolahan data pribadi.

Dokumen perundang-undangan terkait pelindungan data pribadi telah mulai diinisiasi sejak tahun 2016 melalui pembahasan 72 pasal RUU Perlindungan Data Pribadi. RUU ini menjadi program legislasi priortias pada tahun 2019 dan pada 24 Januari 2020 sudah ditandatangani presiden. Akan tetapi masih harus melewati berbagai pembahasan dan baru diresmikan pada 17 Oktober 2022 setelah disetujui oleh Komisi I DPR RI.

Ketua Panitia Kerja RUU Perlindungan Data Pribadi dari Komisi I DPR, Abdul Kharis Almasyhari menuturkan bahwa dengan adanya UU 27/2022, kasus kebocoran data dapat dipertanggungjawabkan karena telah jelas siapa yang mesti bertanggung jawab, sampai di mana, dan apa akibatnya. UU 27/2022 mengatur bahwa pengendali dan pemroses data merupakan pihak yang mesti bertanggung jawab dalam kasus kebocoran data.

Selain itu, bila ada pelanggaran terhadap ketentuan-ketentuan perlindungan data pribadi, pengendali dan pemroses data diancam sanksi administratif berupa denda sebesar 2 persen dari pendapatan kotor dalam satu tahun dan sanksi pidana berupa hukuman penjara minimal satu tahun hingga maksimal enam tahun.

UU 27/2022 menjadi dasar bagi penerapan perlindungan data pribadi di Indonesia saat ini. Di dalamnya pengelolaan data dibagi menjadi enam tahap, yakni pemerolehan dan pengumpulan data, pengolahan dan penganalisisan, penyimpanan, perbaikan dan pembaruan data, penampilan, penyebarluasan dan transfer, serta penghapusan data.

Sementara itu, UU 27/2022 juga membagi pihak-pihak terkait pengelolaan data pribadi menjadi dua sisi yakni pihak subyek data pribadi dan pihak pengendali dan prosesor data. Subyek data pribadi ialah orang yang berkaitan dengan data pribadi tersebut, sementara pengendali dan prosesor data ialah pihak yang mengumpulkan, menyimpan, dan mengolah data pribadi, baik itu subyek perseorangan, badan hukum, maupun organisasi internasional.

 Pada tahap pemerolehan dan pengumpulan data, UU 27/2022 menetapkan bahwa subyek data pribadi berhak mendapatkan informasi tentang dasar hukum, tujuan penggunaan data, dan identitas serta akuntabilitas pihak yang meminta data. Sementara pengendali dan prosesor data berkewajiban untuk menyampaikan beragam informasi terkait pemrosesan data dan memperoleh persetujuan terlebih dahulu dari subyek data pribadi.

 Pada tahap pengolahan dan penganalisisan data, hak subyek data pribadi terdiri dari beberapa hal yakni (1) mengakhiri pemrosesan data pribadinya dan penghapusan data, (2) menarik kembali persetujuan atas pemrosesan data pribadi, (3) mengajukan keberatan atas tindakan keputusan yang diambil secara otomatis atas pemrosesan data diri, (4) menunda dan membatasi pemrosesan data pribadi, serta (5) menggugat dan meminta ganti rugi atas pelanggaran pemrosesan data pribadi. Sementara pihak pengendali dan prosesor data berkewajiban untuk (1) memiliki dasar pemrosesan data pribadi, (2) merekam seluruh kegiatan pengolahan data, (3) melakukan penilaian risiko pemrosesan data terhadap subyek data pribadi, (4) melindungi keamanan data, dan (5) menghentikan pemrosesan bila subyek membatalkan persetujuan, selesai masa retensi, tujuan telah tercapai.

 Pada tahap penyimpanan data, subyek data pribadi berhak mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya. Sementara pengendali dan prosesor data berkewajiban memberikan akses bagi subyek data pribadi, kecuali apabila hal tersebut justru membahayakan subyek tersebut. Hal ini diatur dalam Pasal 33.

 Pada tahap perbaikan dan pembaruan data, UU 27/2022 menetapkan bahwa subyek data pribadi memiliki hak untuk melengkapi, memperbarui, atau memperbaiki kesalahan data. Sementara pihak pengendali dan pemroses data berkewajiban memperbarui data minimal 3×24 jam sejak menerima permintaan pembaruan data dari subyek data pribadi, serta wajib memberitahukan hasil pembaruan tersebut.

Pada tahap penampilan, penyebarluasan, dan transfer data, hak subyek ialah menggunakan dan mengirimkan data pribadi ke pihak lain. Contoh dari penggunaan hak ini adalah sekiranya seorang pasien ingin memperoleh seluruh data diagnosanya dari satu rumah sakit untuk ditransfer ke rumah sakit lain yang menurutnya lebih mumpuni untuk pengobatannya, maka UU 27/2022 memberikan landasan hukum bagi hak tersebut.

Sementara pengendali dan prosesor data berkewajiban memberitahukan bila ada kebocoran data. Terkait transfer data lintas negara, UU 27/2022 mengatur bahwa pengendali dan prosesor data dapat melakukan transfer data di wilayah hukum RI atau ke wilayah lain yang memiliki peraturan perlindungan hukum yang setara atau lebih baik.

UU 27/2022 juga mengatur hak dan kewajiban terkait penghapusan data.  Subyek data pribadi berhak mengakhiri pemrosesan data pribadinya dan menghapus datanya. Hak ini persis berkaitan dengan jejak digital seseorang.

Pemerintah Indonesia melalui UU 27/2022 mengatur bahwa penghapusan data yang merupakan jejak digital tersebut merupakan hak dari subyek, dapat pula dimengerti sebagai ‘hak untuk dilupakan’.

Hak ini bukanlah tanpa persoalan. Hak ini membuat orang dapat memutuskan untuk meninggalkan jejak digital yang ia kehendaki saja dan menghapus jejak digital yang tidak ia inginkan. Apabila data tersebut berkaitan dengan hal-hal yang merugikan masyarakat atau bahkan tindak kriminal, subyek tetap berhak menghapusnya.

Terlepas dari perdebatan tersebut, di sisi lain, pengendali dan prosesor data berkewajiban menghapus data pribadi apabila tidak lagi diperlukan untuk tujuan proses data, atau ketika subyek telah menarik persetujuannya, ataupun diketahui bahwa data diperoleh dengan cara yang tidak sah. Selanjutnya ia juga berkewajiban memberitahukan subyek data terkait penghapusan data tersebut.

Berlakunya segala ketentuan di atas berarti bahwa pengelola data dan beragam platform digital yang bekerja di wilayah hukum Indonesia mesti menerapkan mekanisme yang sesuai dengan ketentuan perlindungan data pribadi pada UU 27/2022.

Implementasi dari peraturan hukum ini sekaligus pengembangan kesadaran masyarakat akan pentingnya privasi data merupakan tantangan lanjutan yang mesti diupayakan oleh Pemerintah bersama setiap pihak dan masyarakat pada umumnya. Kesadaran dan kapasitas warga negara merupakan faktor penting dalam upaya perkuatan perlindungan data pribadi di ruang siber.

Selain ketentuan-ketentuan di atas, dalam UU 27/2022, Pemerintah juga mengatur pembentukan lembaga khusus yang mengelola perlindungan data pribadi di Indonesia. Hal tersebut diatur dalam Pasal 58 hingga Pasal 60. Lembaga ini ditetapkan oleh Presiden dan bertanggung jawab langsung kepada Presiden.

Secara lebih detail Pasal 59 menyebutkan tugas dari lembaga ini ialah pertama perumusan dan penetapan kebijakan dan strategi perlindungan data pribadi yang akan menjadi panduan bagi semua pihak, termasuk subyek data pribadi, pengendali data pribadi, dan prosesor data pribadi. Kedua, ialah pengawasan terhadap penyelenggaraaan perlindungan data pribadi. Ketiga, penegakan hukum administratif terhadap pelanggaran UU 27/2022. Keempat, memfasilitasi penyelesaian sengketa di luar pengadilan. (LITBANG KOMPAS)

Artikel terkait

30 September 2022

Kasus Bjorka dan Keamanan Data di Indonesia

Transformasi digital yang masif turut menimbulkan dampak munculnya kasus-kasus peretasan data, termasuk terhadap instansi pemerintah...