Dinamika Jalan Perlindungan Data Pribadi
Upaya melindungi data pribadi masyarakat diperkirakan dinamis. Menyadarkan masyarakat mengenai kewajiban melindungi data pribadi warga negara juga bukan hal mudah.
Pada 24 Januari 2020, pemerintah melalui Kementerian Komunikasi dan Informatika menyerahkan draf final Rancangan Undang-undang Perlindungan Data Pribadi kepada DPR. Draf final itu terdiri dari 15 bab dengan 72 pasal. Pemerintah fokus pada dua hal, yakni data pribadi bersifat umum dan data pribadi bersifat spesifik.
Kedua hal tersebut mengandung tiga faktor yang diperhatikan pemerintah, yakni kedaulatan terkait keamanan negara, perlindungan subyek data, dan pengguna memiliki data yang akurat.
Draf RUU Perlindungan Data Pribadi itu antara lain memuat kewajiban bagi perusahaan untuk menyesuaikan pemrosesan data paling lama dua tahun.
Langkah Indonesia ini dalam upaya melindungi data pribadi warga negara Indonesia. Pada 25 Mei 2018, Uni Eropa sudah memberlakukan Regulasi Perlindungan Data (General Data Protection Regulation/GDPR). Aturan itu mendefinisikan data pribadi sebagai setiap informasi terkait seseorang (subyek data) yang membuatnya dapat dikenali secara langsung ataupun tidak langsung.
Pengenalan terutama merujuk pada tanda pengenal, seperti nama, nomor identitas, data lokasi, data pengenal dalam jaringan, atau pada satu faktor atau lebih tentang identitas fisik, psikologis, genetik, mental, ekonomi, atau sosial orang tersebut.
CEO Palmer Group (perusahaan konsultan teknologi dan pemasaran digital), Shelly Palmer, dalam tulisannya, Ways GDPR Will Change Your World, di AdAge.com berpendapat, GDPR memberi konsumen kemampuan untuk mengendalikan interaksi bisnis dan memanfaatkan data mereka.
”Apakah Anda ingin dilacak? Apakah Anda ingin dilupakan? GDPR memberi Anda pilihan untuk mengendalikan cara pengiklan berinteraksi dengan Anda, tetapi Anda harus meluangkan waktu membaca semua isi surel perusahaan yang isinya petunjuk teknis,” kata Shelly.
Setahun setelah implementasi penuh GDPR, Mei 2019, survei Eurobarometer terhadap 27.000 orang Uni Eropa menunjukkan, sebanyak 73 persen responden telah mendengar setidaknya satu dari enam hak di GDPR. Tingkat kesadaran tertinggi warga negara adalah hak mengakses data mereka sendiri (65 persen), hak untuk mengoreksi data jika mereka salah (61 persen), hak untuk menolak menerima pemasaran langsung (59 persen), dan hak untuk menghapus data mereka sendiri (57 persen).
Selain itu, 67 persen responden tahu tentang GDPR Uni Eropa dan 57 persen responden tahu tentang otoritas perlindungan data nasional. Hasil survei juga menunjukkan perlindungan data menjadi perhatian karena 62 persen responden khawatir tidak memiliki kontrol penuh atas data pribadi yang disediakan secara dalam jaringan.
Hasil survei tersebut dianggap belum memuaskan. Komisi Eropa dalam laman resminya menekankan, masih ada 20-an persen masyarakat Uni Eropa yang tahu otoritas publik yang bertanggung jawab melindungi data pribadi. Bahkan, Komisi Eropa meluncurkan kampanye literasi selama musim panas yang intinya mendorong orang membaca pernyataan privasi dan mengoptimalkan pengaturan privasi yang sudah ada.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, pekan lalu, mengatakan, Eropa memiliki sejarah lebih panjang menyangkut perlindungan data pribadi. Setidaknya, sejak 1995 sudah memgadopsi Data Protection Directive (Directive 95/46/EC on the protection of individuals) yang mengatur pemrosesan data pribadi dalam Uni Eropa. Data protection directive adalah komponen regulasi yang penting dari perjalanan perlindungan hak privasi dan hukum hak asasi manusia di Eropa.
”Jika Eropa yang lebih lama dan lebih dulu punya regulasi perlindungan hak atas privasi dan data pribadi, tetapi masih ada warganya yang belum paham, bagaimana dengan di Indonesia?” tanya Wahyudi.
Mengutip riset ”Internet Privacy Index 2020” oleh Privacy International, Norwegia adalah negara yang menawarkan komitmen tertinggi terhadap privasi internet warganya dengan skor 90,1. Australia di urutan kedua (skor 89,1), lalu Denmark (87,4), Swedia (85,2), dan Finlandia (83,6).
Lembaga yang berbasis di London, Inggris, itu mengumpulkan negara-negara yang memiliki kondisi privasi internet terbaik dari 110 negara yang diteliti. Data yang dianalisis meliputi kebebasan pers, undang-undang privasi data, statistik demokrasi, kebebasan berpendapat dan berekspresi, serta peraturan kriminal siber. Skor yang kian tinggi menunjukkan privasi warga semakin dilindungi. Indonesia di posisi ke-56 dari 110 negara dengan skor 39,9.
Membuka kesadaran
Ketua Pusat Hukum Siber Fakultas Hukum Universitas Padjadjaran Sinta Dewi Rosadi berpendapat, hal terpenting sekarang adalah menyadarkan individu masyarakat Indonesia atas hak privasi data pribadi. Apabila dalam draf final tertera masa transisi dua tahun, masa itu sebaiknya dimanfaatkan untuk mengoptimalkan literasi.
Selama ini masyarakat tidak tahu perihal data pribadi. Bahkan, kendati tahu data pribadi terkumpul di sumber komersial, masyarakat juga tidak tahu data mereka digunakan untuk apa dan siapa saja yang memanfaatkan. Kemudian, jika terjadi penyalahgunaan, peretasan, kebocoran, atau tindak kejahatan siber lain terkait data pribadi, masyarakat juga tidak tahu harus melapor ke mana.
Baca juga: Memastikan Perlindungan Data Pribadi
Perjalanan Indonesia memiliki UU Perlindungan Data Pribadi sebenarnya telah dimulai pada 2014. Jauh sebelum itu hingga kini, Indonesia mempunyai sekitar 32 peraturan perundang-undangan yang mengandung substansi tentang pengaturan data pribadi, tetapi tidak serta-merta memuat prinsip pengelahan data, pembukaan data, dan akuntabilitas.
Kementerian Kominfo mempunyai Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Realitas ini menjadi salah satu faktor yang membuat pembahasan RUU Perlindungan Data Pribadi relatif lama.
Konsekuensi
Beberapa minggu pasca-GDPR berlaku penuh, sejumlah perusahaan teknologi multinasional, seperti Google, memperbarui kebijakan privasi mereka terkait GDPR. Perusahaan tersebut memberitahukan pembaruan melalui surel kepada semua pengguna di dunia, termasuk Indonesia.
Barangkali, pemikiran publik secara sesederhana, pasca-GDPR Uni Eropa berlaku penuh, individu bisa mudah mengetahui data apa yang dimiliki perusahaan tentang dirinya serta meminta pertanggungjawaban ketika mereka mengumpulkan data tanpa persetujuan individu subyek data. Akan tetapi, kenyataannya tidak sederhana.
The Verge melalui artikel ”GDPR Makes It Easier To Get Your Data, But That Doesn’t Mean You’ll Understand It” (27 Januari 2019), menuliskan pengalaman menguji hak akses yang ditawarkan empat perusahaan teknologi terbesar yang beroperasi di Uni Eropa, yakni Apple, Amazon, Facebook, dan Google.
Temuannya, siapa pun bisa mendapatkan data mentah, tetapi memahaminya adalah masalah lain. Maka, membuat keputusan berdasarkan informasi tentang data pribadi menjadi lebih sulit.
Misalnya, data hasil pelacakan lokasi Google. Perusahaan itu berulang kali dikritik karena melacak pengguna Android, bahkan ketika pengguna mematikan opsi pelacakan lokasi utama di sistem operasi. Kelompok konsumen di tujuh negara Uni Eropa telah menyampaikan pengaduan mengenai hal tersebut kepada otoritas perlindungan data pribadi.
Perjalanan penerapan UU Perlindungan Data Pribadi tampaknya akan panjang dan penuh dinamika. Penyadaran individu terhadap hak atas privasi data pribadinya merupakan satu dinamika tersendiri yang menuntut pembahasan panjang seiring profil demografi pengguna internet di Indonesia. Dinamika lain yang masih terkait adalah mempertanyakan, apakah masyarakat mudah memperjuangkan haknya. Lalu, bagaimana sikap perusahaan teknologi yang cenderung mengedepankan inovasi digital?