Pilah Pilih Data Anak
Penambahan frasa ”dan belum menikah” dalam RPP PDP akan menambah kompleksitas pelindungan data pribadi anak. Menggunakan definisi anak dalam UU Perlindungan Anak adalah opsi yang paling tepat.
Kementerian Komunikasi dan Informatika pada 30 Agustus 2023 memublikasikan draf Rancangan Peraturan Pemerintah tentang Peraturan Pelaksanaan Undang-Undang Pelindungan Data Pribadi atau RPP PDP). Publikasi itu dilakukan melalui laman pdp.id, di mana masyarakat juga dapat memberikan masukan secara langsung terhadap RPP tersebut.
Draf yang terdiri atas 245 pasal dan 188 halaman tersebut pada prinsipnya mengatur lebih lanjut hampir semua pasal dalam UU PDP. Salah satu isu yang perlu menjadi perhatian adalah mengenai data pribadi anak. Praktik digital seperti profiling, behavioral targeting, hingga mass surveillance saat ini menjadi rutinitas berbagai platform teknologi yang menyasar anak (Committee on the Rights of the Child, 2021).
Data anak dalam UU PDP
Dalam UU PDP, data anak diklasifikasikan sebagai salah satu jenis data pribadi yang bersifat spesifik. Konsekuensinya, pengendali data setidaknya memiliki kewajiban untuk (a) melakukan penilaian dampak PDP karena data anak dianggap sebagai salah satu data yang memiliki potensi risiko tinggi terhadap subyek data; dan (b) menunjuk pejabat atau petugas yang melaksanakan fungsi PDP.
Selain dua kewajiban tersebut, pemrosesan data pribadi anak diselenggarakan secara khusus dan pemrosesannya wajib mendapatkan persetujuan orangtua dan/atau wali anak sesuai ketentuan peraturan perundang-undangan.
Baca Juga: UU PDP Jadi Langkah Awal Melindungi Data Pribadi
Dengan kata lain, UU PDP sebenarnya memberikan tanggung jawab yang cukup berat bagi pengendali dan prosesor data anak dalam penyelenggaraan pelindungan data pribadi anak yang berada di bawah kendalinya. Permasalahan yang timbul adalah UU PDP tidak memberikan kejelasan mengenai siapa yang dimaksud dengan ”anak” dalam konteks pemrosesan data pribadi, apalagi interpretasi mengenai siapa yang dikategorikan sebagai ”anak” dan ”bukan anak” cukup bervariasi dalam hukum Indonesia.
Adanya perbedaan tersebut menimbulkan interpretasi luas bagi pengendali data dalam memroses data pribadi, dan berpotensi besar disalahgunakan. Isu tersebut harapannya dapat dijawab di dalam PP PDP sebagai peraturan pelaksanaan UU PDP.
/https%3A%2F%2Fasset.kgnewsroom.com%2Fphoto%2Fpre%2F2022%2F09%2F20%2Fdaf47c1c-8816-4c59-9b01-b28e81db3a5c_jpg.jpg){kind=logo}
Tampilan layar monitor memperlihatkan sebagian anggota Dewan yang mengikuti jalannya sidang paripurna DPR secara daring di Kompleks Parlemen, Senayan, Jakarta, Selasa (20/9/2022), dengan agenda antara lain mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) menjadi UU.
Mendefinisikan anak
Dalam RPP PDP, anak didefinisikan sebagai ”setiap orang yang berusia di bawah 18 tahun dan belum menikah”. Definisi ini mengadopsi ketentuan dalam UU Perlindungan Anak, tetapi dengan penambahan frasa ”dan belum menikah”. Pertanyaannya, apakah penambahan frasa tersebut sudah tepat untuk mendefinisikan ”anak” dalam kerangka pelindungan data pribadi? Apakah (ada) manfaat yang didapatkan?
Berangkat dari ketentuan internasional, dalam Pasal 1 Konvensi Hak Anak dinyatakan bahwa anak adalah setiap manusia di bawah umur 18 tahun kecuali, menurut undang-undang yang berlaku pada anak, kedewasaan dicapai lebih awal. Konsepsi tersebut diadopsi dalam UU Perlindungan Anak, yang menyatakan bahwa anak adalah seseorang yang belum berusia 18 tahun, termasuk anak yang masih dalam kandungan.
Artinya, terlepas dari apakah anak sudah dapat melaksanakan hak dan kewajiban yang diberikan oleh hukum, termasuk dalam konteks hukum perkawinan, seseorang yang berusia di bawah 18 tahun tetaplah disebut anak menurut hukum positif. Hal tersebut sejatinya telah diafirmasi oleh Mahkamah Konstitusi, setidaknya melalui Putusan Nomor 22/PUU-XV/2017 yang membahas tentang isu batas minimal usia perkawinan.
Dalam RPP PDP, anak didefinisikan sebagai ’setiap orang yang berusia di bawah 18 tahun dan belum menikah’.
Perubahan batas usia minimal perkawinan dalam UU Perkawinan secara eksplisit menunjukkan semangat untuk mencegah perkawinan usia anak karena menimbulkan dampak negatif bagi tumbuh kembang anak dan menyebabkan tidak terpenuhinya hak dasar anak. Perubahan tersebut juga menyiratkan pesan bahwa seseorang yang belum berusia 18 tahun dan sudah menikah masih masuk dalam klasifikasi anak.
Contoh lain, mengenai usia pemilih dalam UU Pemilu dan UU Pilkada. Dalam UU Pemilu, misalnya, dinyatakan bahwa pemilih adalah WNI yang sudah genap berumur 17 tahun atau lebih, sudah kawin, atau sudah pernah. Meskipun dalam UU Pemilu tidak secara eksplisit mengatur mengenai anak, tetapi anak yang berusia 17 tahun pada dasarnya sudah memiliki hak pilih. Meski demikian, patut digarisbawahi bahwa isu mengenai keterlibatan anak dalam pemilu dan pilkada juga menjadi salah satu perhatian, mengingat beban politik yang diberikan dan dampak politik yang serius terhadap anak (Kartikasari, 2020).
Beberapa contoh di atas setidaknya menunjukkan bagaimana kompleksitas pengaturan mengenai anak dan seharusnya dapat menjadi pelajaran bagi pemerintah dalam mengatur lebih lanjut penyelenggaraan pemrosesan data pribadi anak. Definisi anak menjadi krusial untuk menentukan siapa subyek data yang dikategorisasikan sebagai anak sehingga pemrosesannya dapat dilaksanakan sesuai dengan ketentuan dalam UU PDP.
Perluasan definisi, perlukah?
Perluasan definisi ”anak” dalam RPP PDP merupakan pilihan yang tidak tepat, setidaknya apabila berkaca kepada beberapa contoh di atas.
Pertama, hal tersebut tidak sesuai dengan ketentuan UU Perlindungan Anak (yang juga mengadopsi ketentuan dalam Konvensi Hak Anak). Meskipun dalam UU HAM juga diatur mengenai definisi anak, yakni seseorang yang belum berusia 18 tahun dan belum menikah, termasuk yang masih dalam kandungan, definisi mengenai anak sepatutnya mengacu kepada lex specialis dari pengaturan tentang (hak) anak, yakni UU Perlindungan Anak.
Kedua, dengan dimasukkannya frasa ”dan belum menikah”, pengendali data akan ”dibebani” kewajiban tambahan. Selain amanat RPP PDP untuk memverifikasi bahwa seseorang belum berusia 18 tahun, pengendali data juga harus memastikan apakah seseorang yang berusia di bawah 18 tahun tersebut sudah menikah atau belum. Sayangnya, hal ini tidak cukup jelas juga diatur dalam RPP PDP, terutama terkait bagaimana memastikan status perkawinan seseorang yang berusia di bawah 18 tahun.
Dengan dimasukkannya frasa ’dan belum menikah’, pengendali data akan ’dibebani’ kewajiban tambahan.
Pengaturan mengenai verifikasi status anak diberikan sebagai cek kosong kepada pengendali data. Padahal, terdapat pula konsekuensi hubungan kelembagaan yang timbul dari pengaturan tersebut. Apakah nantinya pengendali data harus berkoordinasi dengan, misalnya, Kementerian Dalam Negeri atau dengan seluruh dinas kependudukan dan pencatatan sipil untuk memverifikasi apakah data yang diproses masuk dalam klasifikasi data pribadi anak?
Sepanjang hal tersebut tidak diatur dalam RPP PDP, maka penambahan frasa ”dan belum menikah” justru akan semakin menambah kompleksitas pelaksanaan pelindungan data pribadi anak. Apalagi, ”beban” yang diberikan oleh UU PDP kepada pengendali data dalam pemrosesan data pribadi anak sendiri pada dasarnya sudah cukup berat. Padahal, dengan meningkatnya kehadiran digital (digital presence sence) anak, ia menjadi lebih rentan terhadap potensi pelanggaran haknya di dunia digital (OECD, 2023), apalagi di era di mana praktik data justru semakin invasif (Nottingham, Stockman, dan Burke, 2022).
Bahkan, apabila berkaca kepada General Data Protection Regulation (GDPR)—yang dianggap sebagai rujukan utama UU PDP—pengaturan mengenai usia anak sebagai dasar pelindungan data pribadi anak tidak melihat apakah ia sudah menikah atau belum. Dengan demikian, penyesuaian definisi anak dengan UU Perlindungan Anak untuk saat ini adalah pilihan yang paling tepat dalam kerangka pelindungan data pribadi, khususnya data anak.
Baca Juga: Melindungi Data Pribadi Anak
Pilihan untuk menggunakan definisi anak dalam UU Perlindungan Anak sejauh ini adalah opsi yang paling tepat. Tidak hanya dalam rangka harmonisasi terhadap ketentuan peraturan eksisting, juga akan mempermudah para pengendali data dalam rangka menerapkan langkah-langkah teknis yang diperlukan sehingga pelindungan data pribadi anak dapat segera dilaksanakan.
Hal ini menjadi penting mengingat perkembangan data-driven society saat ini secara tidak langsung telah ”menormalisasi” pengumpulan dan penggunaan data pribadi yang pervasif dan tidak terlihat yang dilakukan melalui strategi kapitalisme digital (Nottingham, Stockman, dan Burke, 2022). Pelaksanaan pelindungan data anak menjadi penting untuk segera dilaksanakan, tidak hanya untuk melindungi privasi anak, tetapi juga untuk melindungi mereka dari eksploitasi ekonomi di dunia digital dan praktik data yang semakin invasif.
Faiz Rahman, Dosen pada Departemen Hukum Tata Negara Fakultas Hukum Universitas Gadjah Mada Yogyakarta; Peneliti PhD pada Leiden Law School, Universiteit Leiden
Faiz Rahman
