Keberadaan UU Perlindungan Data Pribadi Dinilai Makin Mendesak
Pemerintah tetap bersikeras ingin melanjutkan kebijakan wajib pendaftaran penyelenggara sistem elektronik atau PSE privat.
JAKARTA, KOMPAS — Pemerintah tetap bersikeras ingin melanjutkan kebijakan wajib pendaftaran penyelenggara sistem elektronik atau PSE privat. Langkah tersebut dinilai kontraproduktif karena Indonesia belum memiliki undang-undang terkait dengan perlindungan data pribadi.
Kebijakan wajib pendaftaran PSE privat mengacu pada Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 yang telah diubah melalui Permenkominfo No 10/2021.
Alia Yofira Karunian, peneliti di Lembaga Studi dan Advokasi Masyarakat, saat dihubungi pada Jumat (22/7/2022) di Jakarta, mengatakan, makna ’pengawasan’ yang tercantum dalam Pasal 21 Ayat (1) Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2021 sangat luas. Pasal itu hanya berbunyi PSE privat wajib memberikan akses terhadap sistem ataupun data elektronik kepada kementerian atau lembaga dalam rangka pengawasan sesuai dengan peraturan perundang-undangan.
”Kementerian tidak mengelaborasi lebih jauh prinsip pengawasan apa. Kalau mengacu kepada regulasi perundang-undangan terkait dengan perlindungan data pribadi, kita semua tahu bahwa belum ada undang-undangnya. Regulasi yang ada cenderung sektoral,” ujarnya.
Peraturan terkait dengan perlindungan data pribadi yang sangat sektoral kementerian/lembaga, dia nilai problematik. Ini berpotensi mendorong penyalahgunaan wewenang.Apalagi, beberapa waktu terakhir pemerintah bersikeras agar otoritas perlindungan data pribadi — yang jadi salah satu substansi rancangan undang-undang (UU) perlindungan data pribadi — berada di bawah kementerian/lembaga tertentu.
Baca juga: Kemenkominfo Sisir PSE Privat Besar yang Belum Daftar
Southeast Asia Freedom of Expression Network (SAFEnet) juga mengajak warganet yang tidak setuju dengan Permenkominfo No 5/2020 untuk menandatangani petisi ”Surat Protes Netizen Indonesia Menolak Permenkominfo No 5/2020 dan Amandemen Permenkominfo 10/2021”. Melalui laman SAFEnet, dalam petisi itu disampaikan beberapa alasan penolakan. Salah satunya adalah sanksi pemblokiran akan membuat warganet tidak bisa menggunakan layanan dan memperoleh manfaat dari kehadiran platform digital. Konsekuensi seperti itu mengganggu hak atas kebebasan berekspresi.
Apabila platform diwajibkan memberikan informasi kepada Kemkominfo tentang rutinitas pengelolaan data mereka dan harus menjamin akses penegak hukum ke sistem dan data elektronik tanpa memerlukan perintah pengadilan, maka ini bisa menimbulkan risiko penerobosan data pribadi pengguna yang sebenarnya melanggar hak-hak privasi warganet sebagai pengguna platform digital.
Petisi ”Surat Protes Netizen Indonesia Menolak Permenkominfo No 5/2020 dan Amandemen Permenkominfo 10/2021” diunggah di laman SAFEnet pada Minggu (17/7/2022). Hingga Jumat sore, jumlah warganet yang berpartisipasi telah mencapai lebih dari 7.000 orang.
Praktisi keamanan teknologi informasi dari Vaksincom, Alfons Tanujaya, saat dihubungi terpisah, berpendapat, sejauh ini rekam jejak instansi pemerintah kurang baik karena terbukti dengan sejumlah kasus kebocoran data pribadi. Kasus terakhir, data pribadi penduduk DKI Jakarta penerima vaksin mengalami kebocoran.
Standar pengelolaan data sudah banyak bermunculan dan tinggal diikuti. Misalnya, ISO 27001. Kebocoran data pribadi yang terjadi selama ini terjadi di instansi layanan publik pemerintahan karena pengelolaan yang tidak sesuai standar. Lalu, pengelolaan aplikasi berbasis pendekatan proyek. Pihak pengelola data juga sering kali tidak memiliki kapabilitas yang cukup dalam mengelola dan mengamankan data.
”Deretan kasus kebocoran data pribadi, yang bukan hanya terjadi di PSE publik, menunjukkan sudah saatnya ada UU Perlindungan Data Pribadi agar ada dasar hukum memaksa pengelola data bertanggung jawab ketika terjadi kebocoran data. Akan tetapi, pembahasan Rancangan UU Perlindungan Data Pribadi mandek,” ujar Alfons.
Tanpa adanya UU Perlindungan Data Pribadi, langkah menjaga kedaulatan data digital melalui kebijakan pendaftaran PSE privat menjadi kurang optimal. Meski demikian, Alfons memandang, kebijakan pendaftaran PSE privat semestinya tetap harus dijalankan untuk tujuan pendataan serta langkah awal menjaga kedaulatan digital.
”Saat ini, penetrasi kehidupan digital sudah sedemikian tinggi. Ranah digital menjadi ranah yang sangat penting dan berpengaruh langsung terhadap kehidupan di dunia nyata,” ujarnya.
Chairman Indonesia Cyber Security Forum (ICSF) Ardi Sutedja menambahkan, data hasil pendaftaran PSE privat bersifat terbuka. Hanya saja, tidak ada jaminan data itu tidak bocor. Pembahasan Rancangan UU Perlindungan Data Pribadi tetap harus dilanjutkan dan jangan sampai terputus.
Dia menekankan, UU Perlindungan Data Pribadi bukan alat pamungkas agar tidak terjadi kebocoran data pribadi. Namun, keberadaan UU ini memberikan kepastian perlindungan hukum yang lebih komprehensif kepada warganet. Jika terjadi kebocoran data pribadi, sanksi hukum yang diberikan kepada PSE pun semakin jelas dan terarah.
Baca juga: Pemerintah Ancam Putus Akses Penyelenggara Sistem Elektronik yang Tak Daftar
Profil bisnis
Kementerian Komunikasi dan Informatika (Kemkominfo) menyisir PSE privat yang tidak terdaftar berdasarkan kategori tingkat lalu lintas penggunaan aplikasi atau traffic, yakni mulai dari 100, 1000, hingga 10.000 PSE privat yang memiliki traffic terbesar. Mereka yang belum menunaikan kewajiban pendaftaran, oleh Kemkominfo, diberikan surat teguran.
Per Kamis (21/7/2022) petang, jumlah PSE lingkup privat yang sudah terdaftar sebanyak 8.276 platform yang terdiri atas 8.069 PSE Lingkup Privat domestik dan 207 PSE Lingkup Privat Asing.
Pelaksana Tugas Direktur Tata Kelola Aplikasi Informatika Kemkominfo Teguh Arifiyadi saat dikonfirmasi Jumat, di Jakarta, menegaskan, data yang harus diisi oleh PSE privat saat mendaftar lebih bersifat profil bisnis. Tidak ada jenis data pribadi pelanggan PSE privat.
”Pengawasan yang dimaksud dalam Permenkominfo No 5/2020 adalah spesifik pengawasan PSE dari kementerian/lembaga sektor yang menaungi. Syarat pengawasan pun sudah diatur sehingga tidak serta-merta bisa akses,” ujarnya. Untuk langkah pengawasan, ada mekanisme bagi PSE menilai apakah akses layak diberikan. Jika tidak layak, PSE berhak menolak.
Teguh juga menegaskan bahwa pemerintah dan penegak hukum baru bertindak apabila ada pengaduan konten yang mengganggu dan meresahkan masyarakat. Itu pun pengaduannya harus sudah dihitung secara komulatif.