Tanggung Jawab Pemerintah dalam Melindungi Data Pribadi Masyarakat
Di tengah kekosongan pengaturan perlindungan data pribadi di level undang-undang, itikad baik dari instansi pemerintah dan lembaga negara dalam upaya perlindungan data pribadi sangat diharapkan oleh masyarakat.
Pada Agustus lalu, masyarakat Indonesia dihebohkan dengan pemberitaan mengenai dugaan kebocoran 1,3 juta data pengguna aplikasi elektronik Health Arlert Card (eHAC). Kebocoran data yang dikelola oleh instansi pemerintah dan lembaga negara seperti ini sudah berkali-kali terjadi dalam beberapa tahun terakhir.
Pada awal 2021, misalnya, dugaan kebocoran data juga terjadi terhadap data pribadi masyarakat yang dikelola Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan. Sebelumnya, kebocoran data pribadi juga terjadi atas data daftar pemilih tetap (DPT) yang dipegang Komisi Pemilihan Umum (KPU) pada pertengahan 2020.
Berbagai kasus yang terjadi semakin menimbulkan pertanyaan, bagaimana sejatinya tanggung jawab pemerintah dalam melindungi data pribadi masyarakat, terutama yang dikelola oleh instansi pemerintah dan lembaga negara?
Perlindungan data pribadi dan HAM
Perlindungan data pribadi memiliki keterkaitan sejarah yang erat dengan perkembangan konsep hak atas privasi yang merupakan salah satu hak asasi manusia (HAM) yang telah diakui dan dilindungi secara internasional. Kesadaran atas perlindungan privasi atas data pribadi mulai berkembang pada 1960-1970-an. Hal ini salah satunya disebabkan potensi pengawasan menggunakan sistem komputer, yang kemudian mendorong adanya tuntutan pengaturan khusus terkait dengan pengumpulan dan penggunaan data pribadi (Banisar dan Davies, 2009).
Baca juga : Jaga Hak Privasi Warga
Sebagaimana dinyatakan Alan Westin (1967), privasi merupakan klaim individu atau kelompok untuk menentukan kapan, bagaimana, dan sejauh apa informasi mengenai diri mereka dikomunikasikan kepada orang atau pihak lain. Hal ini masih sangat relevan apabila dikaitkan dengan konteks data pribadi pada era digital, di mana ”informasi mengenai diri pribadi” tidak bisa sekadar dikomunikasikan, tetapi juga digunakan dan dimanfaatkan oleh pihak lain untuk kepentingan mereka.
Apalagi dengan perkembangan teknologi yang pesat, ”cakupan” data pribadi juga semakin luas, bahkan IP address sebagai salah satu pengidentifikasi daring pun dapat diklasifikasikan sebagai salah satu bentuk data pribadi. Ditambah lagi, dengan berbagai teknologi canggih yang tersedia saat ini, sangat memungkinkan bagi seseorang untuk memperoleh dan mengombinasikan beragam jenis data pribadi dalam bentuk digital (Pangrazio, Selwyn, 2019).
Dengan perkembangan teknologi yang pesat, ’cakupan’ data pribadi juga semakin luas.
Dalam konteks perlindungan HAM, Pasal 28I Ayat (4) UUD NRI Tahun 1945 telah secara eksplisit menyatakan bahwa perlindungan, pemajuan, penegakan, dan pemenuhan HAM adalah tanggung jawab negara. Bahkan, secara spesifik tanggung jawab tersebut ditujukan utamanya kepada pemerintah.
Lebih lanjut, dalam konsiderans Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) versi Januari 2020, pelindungan data pribadi dinyatakan sebagai salah satu hak asasi manusia yang merupakan perlindungan dari diri pribadi, sebagaimana diatur dalam Pasal 28G Ayat (1) UUD NRI Tahun 1945. Dengan demikian, pada dasarnya negara memiliki tanggung jawab untuk melindungi warga negaranya, termasuk dalam konteks melindungi kepentingan warga negara atas data pribadinya.
Prinsip perlindungan data pribadi
Upaya perlindungan data pribadi secara garis besar tidak terlepas dari bagaimana prinsip-prinsip perlindungan data pribadi itu dipenuhi dan dilaksanakan dalam pemrosesan data pribadi. Pemrosesan data pribadi tersebut dilakukan mulai dari pengumpulan, pengolahan, hingga penghapusan suatu data pribadi. Secara umum, setidaknya terdapat tujuh prinsip utama perlindungan data pribadi.
Pertama, lawfulness, fairness and transparency. Prinsip ini dimaksudkan agar data pribadi diproses secara sah, adil, dan dilakukan secara transparan. Maksudnya, pemrosesan data pribadi harus dilakukan sesuai dengan ketentuan hukum serta secara terbuka dengan sepengetahuan dan persetujuan dari individu yang menjadi subyek data tersebut.
Kedua, purpose limitation. Secara sederhana, prinsip ini bermakna bahwa data pribadi yang diproses harus sesuai dengan tujuan yang jelas. Dengan demikian, data tersebut tidak digunakan untuk kepentingan selain yang ditentukan di awal ketika mengumpulkan data pribadi.
Ketiga, data minimisation. Pada prinsipnya, data pribadi yang diproses harus sesedikit mungkin, sesuai dengan tujuan diprosesnya data tersebut. Dengan demikian, suatu instansi seharusnya tidak memegang data pribadi, kecuali data pribadi tersebut benar-benar dibutuhkan untuk tujuan yang ditetapkan di awal.
Baca juga : Pegang Kendali atas Data Pribadi
Keempat, accuracy. Pemrosesan data harus dilakukan secara akurat dan mutakhir sehingga data pribadi yang tidak sesuai atau tidak akurat harus segera disesuaikan, atau bahkan dihapus dan dimusnahkan.
Kelima, storage limitation. Pada intinya, data pribadi tidak boleh disimpan melebihi waktu yang dibutuhkan sesuai dengan tujuan dilakukannya pemrosesan terhadap data tersebut.
Keenam, integrity and confidentiality. Instansi yang mengelola dan memroses data harus melakukan segala upaya keamanan yang diperlukan untuk menjamin terlindunginya data pribadi dari berbagai bentuk pelanggaran, seperti perubahan data tanpa hak, penyalahgunaan dan akses data secara tanpa hak dan melawan hukum.
Ketujuh, accountability. Prinsip ini pada dasarnya dimaksudkan agar para pihak yang melakukan pemrosesan data harus bertanggung jawab dan memastikan dilaksanakannya prinsip-prinsip perlindungan data pribadi di atas.
Tanggung jawab pemerintah
Berkaca pada prinsip-prinsip di atas, dapat dilihat bagaimana seharusnya instansi pemerintah dan lembaga negara melakukan pemrosesan terhadap data pribadi masyarakat. Saat ini, berbagai prinsip di atas dapat ditemukan dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) yang merupakan peraturan pelaksanaan dari UU No 11/2008 jo UU No 19/2016 tentang Informasi dan Transaksi Elektronik (UU ITE). Lebih lanjut, prinsip-prinsip di atas juga telah menjadi salah satu ketentuan dalam RUU PDP yang masih dalam proses pembahasan.
Dalam hal terjadi kebocoran, seperti beberapa waktu lalu, instansi pemerintah dan lembaga negara terkait sejatinya memiliki tanggung jawab hukum yang setidaknya sudah diatur dalam peraturan perundang-undangan di atas. Setidaknya terdapat tiga hal yang perlu menjadi perhatian dalam kaitannya dengan berbagai kasus kebocoran data pribadi yang terjadi.
Pertama, mengenai kesigapan instansi atau lembaga terkait. Instansi terkait pada dasarnya harus sigap dan melakukan tindakan keamanan yang diperlukan sesegera mungkin untuk menjamin tidak semakin tersebarnya data pribadi yang diduga bocor. Meskipun terlihat cukup teknis, hal tersebut pada prinsipnya merupakan perwujudan dari prinsip integrity and confidentiality sebagaimana disampaikan di atas.
Apabila berkaca pada kejadian bocornya data pengguna aplikasi eHAC, berdasarkan penelusuran di media, diketahui bahwa dugaan kebocoran data sudah dideteksi sejak Juli 2021. Namun, cukup disayangkan karena baru benar-benar ditindak pada akhir Agustus 2021. Hal tersebut menunjukkan ketidaksigapan instansi atau lembaga terkait dalam merespons laporan dan serangan yang terjadi.
Baca juga : Setengah Hati Melindungi Data Pribadi
Kedua, perihal pengenaan sanksi. Merujuk pada ketentuan dalam Pasal 100 PP PSTE, instansi atau lembaga terkait seharusnya dapat dikenai sanksi administratif karena kegagalannya dalam melaksanakan kewajiban yang diatur dalam PP a quo. Hal ini mengingat penyelenggara negara juga masuk dalam klasifikasi Penyelenggara Sistem Elektronik berdasarkan PP a quo.
Pertanyaan lebih lanjut, apakah pemberian sanksi administratif kepada instansi pemerintah dan lembaga negara dapat (dan akan) dilakukan? Mengingat berdasarkan ketentuan PP PSTE, sanksi administratif diberikan oleh Menteri Komunikasi dan Informatika. Ketentuan yang sama termuat dalam Pasal 50 Ayat (2) RUU PDP.
Pemberian sanksi administratif oleh satu instansi pemerintah terhadap instansi pemerintah atau lembaga negara yang lain lebih lanjut menimbulkan pertanyaan mengenai netralitas lembaga dalam memberikan sanksi. Gagasan yang berkembang mengenai kehadiran lembaga independen dalam rangka perlindungan data pribadi dapat menjadi salah satu solusi untuk setidaknya meminimalkan adanya potensi konflik kepentingan antarlembaga. Ketentuan mengenai pembentukan lembaga independen saat ini masih absen dalam RUU PDP.
Gagasan yang berkembang mengenai kehadiran lembaga independen dalam rangka perlindungan data pribadi dapat menjadi salah satu solusi.
Ketiga, pengecualian dalam perlindungan data pribadi oleh instansi pemerintah dan lembaga negara. Apabila merujuk pada rancangan pengaturan dalam RUU PDP versi Januari 2020, dapat dilihat bahwa sebagian besar hak subyek data dan kewajiban pengendali dan pemroses data justru dapat disimpangi oleh instansi pemerintah atau lembaga negara, misalnya untuk kepentingan pertahanan dan keamanan nasional, kepentingan proses penegakan hukum, atau kepentingan umum dalam rangka penyelenggaraan negara.
Meski demikian, berbagai pengecualian dan ketiadaan batasan yang jelas terhadap berbagai pengecualian dalam perlindungan data pribadi justru menimbulkan pertanyaan mengenai komitmen instansi pemerintah dan lembaga negara sebagai pihak yang memiliki tanggung jawab konstitusional untuk melindungi hak asasi manusia warga negaranya. Selain itu, terdapat pula potensi yang tinggi terhadap pelanggaran perlindungan data pribadi yang justru dilakukan oleh instansi pemerintah dan lembaga negara, dengan dalih melaksanakan pengecualian yang diatur dalam UU.
Indonesia tentu dapat belajar dari temuan The Public Sector Data Security Review Committee (Komite) di Singapura pada 2019, di mana Komite menemukan bahwa dari 75 persen lembaga pemerintah di Singapura, paling tidak terdapat satu temuan mengenai ketidakpatuhan atas kebijakan dalam perlindungan data pribadi. Sebagai catatan, UU PDP di Singapura mengecualikan lembaga publik dari berbagai kewajiban perlindungan data pribadi sebagaimana diatur dalam UU PDP.
Hal ini seharusnya dapat menjadi perenungan bagi pembentuk undang-undang di Indonesia untuk merumuskan kembali pengaturan kewajiban perlindungan data pribadi, khususnya oleh instansi pemerintah dan lembaga negara. Justru seharusnya instansi pemerintah dan lembaga negara memiliki standar yang lebih tinggi dalam rangka perlindungan data pribadi masyarakat. Hal ini juga tidak terlepas dari posisi negara yang pada prinsipnya merupakan pengumpul data terbesar (Stagars, 2016).
Justru seharusnya instansi pemerintah dan lembaga negara memiliki standar yang lebih tinggi dalam rangka perlindungan data pribadi masyarakat.
Di tengah kekosongan pengaturan perlindungan data pribadi di level undang-undang, itikad baik dari instansi pemerintah dan lembaga negara dalam upaya perlindungan data pribadi menjadi hal yang sangat diharapkan oleh masyarakat luas. Berbagai insiden kebocoran data pribadi masyarakat, terutama yang dikelola oleh instansi pemerintah dan lembaga negara, seharusnya semakin memperkuat urgensi pembentuk undang-undang untuk segera menyelesaikan pembahasan dan mengundangkan RUU PDP.
Dengan adanya beberapa catatan di atas, RUU PDP sejatinya masih perlu untuk disesuaikan sedemikian rupa sehingga dapat benar-benar menjamin perlindungan, pemajuan, penegakan, dan pemenuhan HAM seluruh masyarakat Indonesia, yang salah satunya diwujudkan dalam pengaturan perlindungan data pribadi.
Faiz Rahman
Pengajar pada Departemen Hukum Tata Negara Fakultas Hukum UGM; Peneliti pada Center for Digital Society UGM