Warga Bisa Gugat Ganti Rugi jika Data Pribadi Bocor
”Subjek data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan,” demikian bunyi pasal di RUU PDP.
JAKARTA, KOMPAS — Rancangan Undang-Undang Perlindungan Data Pribadi memungkinkan warga untuk menggugat ke pengadilan dan menerima ganti rugi atas kebocoran data pribadi mereka. Pengendali atau pengelola data pribadi diwajibkan melindungi data pribadi dan memastikan data itu tidak bocor.
Di rapat pembahasan daftar inventarisasi masalah (DIM) RUU Perlindungan Data Pribadi (PDP), Senin (30/11/2020), di Jakarta, anggota panitia kerja (panja) menyepakati bunyi Pasal 13, ”Subjek data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.”
Anggota Panja RUU PDP menyepakati makna pasal itu yang melindungi hak setiap warga yang merasa data pribadinya disalahgunakan. Ini bisa karena lalai, atau bahkan sengaja dibocorkan pengelola data pribadi. Mereka bisa menggugat dan menerima ganti rugi. Rapat dipimpin Ketua Panja RUU PDP Abdul Kharis.
Anggota Panja RUU PDP dari Fraksi Golkar, Christina Aryani, mengatakan, jaminan perlindungan data pribadi berupa hak menggugat dan menerima ganti rugi itu memang salah satu yang ingin diatur di RUU itu. ”Justru itu yang mau kami berikan, yakni ada denda dan ganti rugi jika pemrosesan data warga dilanggar,” ujarnya.
Pengaturan itu pun, menurut Christina, sebaiknya dikaitkan dengan pasal-pasal lain yang akan dibahas di rapat selanjutnya tentang pembentukan badan atau lembaga independen yang berperan sebagai pengawas pengelolaan data pribadi. Posisi gugatan dan penerimaan ganti rugi kepada warga itu harus dipastikan apakah dalam kerangka tindak pidana, yang artinya diajukan melalui pengadilan, ataukah diupayakan oleh lembaga atau badan independen tersebut.
Baca juga : Lembaga Independen Optimalkan Pengawasan Data Pribadi
Muncul pertanyaan dari anggota Panja dari Fraksi Partai Keadilan Sejahtera Sukamta tentang siapa yang dapat dikenai gugatan dan permintaan ganti rugi tersebut. Sebab, pada kenyataannya data warga diolah dan dipindahtangankan kepada pihak ketiga. Kadang kala pemindahan data itu pun tanpa sepengetahuan pemilik data pribadi.
”Dalam banyak kasus, data pribadi ini dipindahtangankan. Dia, si subjek data ini, menuntut ganti rugi kepada siapa? Apakah kepada pihak kedua ataukah kepada pihak ketiga yang telah menerima pemindahan data?” tanyanya.
Direktur Jenderal Aplikasi Informatika Kementeri Komunikasi dan Informatika (Kominfo) Semuel Abrijani Pangerapan, yang mewakili pemerintah, mengatakan, RUU PDP juga mengatur pelarangan pemindahan data pribadi tanpa persetujuan pemilik data. Karena itu, permintaan ganti rugi dapat diajukan kepada pihak kedua yang diserahi kepercayaan mengelola data oleh warga. Ketika terjadi pemindahan data, maka baik pihak kedua maupun pihak ketiga sama-sama dapat dikenai gugatan.
”Tidak bisa Pak memindahkan data pribadi ini tanpa consent (persetujuan) karena itu hak subyek atau pemilik data. Dua-duanya bisa kena tanggung renteng. Misalnya, data kita di marketplace dipindahtangankan kepada pihak lain, hal itu bisa digugat dan UU ini akan menjamin itu,” katanya.
Semuel mengatakan, dengan adanya jaminan hak menggugat dan menerima ganti rugi atas kebocoran data itu, pengelola data secara tidak langsung dibebani kewajiban memastikan keamanan data pribadi yang dikelolanya. Setiap pengelola data wajib memitigasi kemungkinan kebocoran dengan berbagai cara. Misalnya, dengan memberikan nama samaran atau pseudonym atau perlindungan khusus dengan metode masking (penutupan data) atau enkripsi.
”Upaya-upaya itu menjadi kewajiban mereka. Kalau tidak bisa dilakukan, warga yang merasa dirugikan dapat menggugat pengelola data, karena warga dirugikan datanya bocor,” ungkap Semuel.
Christina meminta pemerintah nantinya lebih detil mengatur mengenai gugatan dan penerimaan ganti rugi tersebut. Sebab, tidak semua persoalan dapat dibawa ke pengadilan untuk mendapatkan ganti rugi.
”Nanti, kan, juga ada lembaga independen yang akan terbentuk. Gugatan itu tidak semuanya masuk ke pengadilan sekalipun ini jadi salah satu penyelesaian. Atau dapat juga nanti permohonan itu diajukan kepada lembaga tersebut. Ini yang perlu diperjelas dan menjadi catatan bagi kita,” ujarnya.
Semuel sependapat dengan masukan anggota Panja RUU PDP. Pemerintah mengatakan, pelanggaran atas pemrosesan data warga itu meliputi juga akses ilegal berupa pembobolan data hingga kelalaian perlindungan atas data warga.
”Termasuk juga kelalaian. Karena ada kewajiban melindungi data, sehingga kalau sampai data kita bocor karena kelalaian mereka (pengelola data), itu termasuk ke dalam pelanggaran pemrosesan data pribadi,” katanya.
Selain menyepakati hak gugatan dan penerimaan ganti rugi, Panja RUU PDP juga menyepakati agar subjek data dapat mengakhiri pemrosesan data pribadi mereka oleh pengelola. Hal itu diatur di dalam Pasal 8, yang disetujui berbunyi, ”Subjek data pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.”
Pasal tersebut menegaskan data pribadi adalah milik warga dan dapat ditarik dari pengelolaannya oleh pihak lain, bahkan dihapus dan dimusnahkan dari pengelolaan pihak lain. Kendati demikian, Pasal 7 juga memberikan hak kepada warga untuk memperbaiki datanya yang dikelola pengendali data.
Sementara itu, Pasal 6 disepakati untuk berbunyi, ”Subjek data pribadi berhak mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.”
Anggota Panja RUU PDP dari Fraksi Partai Kebangkitan Bangsa Abdul Kadir Karding mengusulkan, ketentuan itu agar dilengkapi dengan keterangan tanpa dipungut biaya atau gratis. Sebab, ada kekhawatiran warga tidak dapat mengakses datanya sendiri dan jika diizinkan, dipungut biaya tertentu.
”Tidak semua pemilik data memiliki kemampuan finansial untuk mengakses datanya. Oleh karena itu, ketentuan akses pada datanya tersebut tidak dikenai biaya harus diatur,” ujarnya.
Semuel mengatakan, semua data itu dapat diakses gratis dan salinannya wajib diberikan kepada pemilik data oleh pihak pengelola data. Namun, pemerintah akan mengatur lebih detil ketentuan bebas biaya itu di aturan pelaksana UU.
Atur mekanisme pembuktian
Pendiri Indonesia Cyber Security Forum (ICSF), Ardi K Sutedja, mengatakan, upaya perlindungan hak warga atas data pribadinya patut diapresiasi. Kendati demikian, dalam pengajuan gugatan dan tuntutan ganti rugi harus diatur mekanisme pembuktiannya, baik di pengadilan maupun di lembaga independen. Untuk membuktikan suatu data telah bocor dan apakah ada kelalaian atau kesengajaan dalam kebocoran data itu dibutuhkan penyelidikan digital forensik.
”Saat ini, pihak yang memiliki kemampuan penyelidikan digital forensik adalah Bareskrim Polri. Oleh karena itu, bagaimana mekanismenya harus diatur. Banyak celah juga terjadinya pembobolan data karena tidak semua terjadi karena orang luar. Kadang kala ada orang dalam yang bermain. Ketika ada gugatan, tentu harus dapat dibuktikan kebocoran itu,” kata Ardi.
Selama ini, menurut Ardi, data baru disadri bocor ketika telah ramai diberitakan di media massa, atau setelah diungkap oleh pihak ketiga. Kerap kali pihak pengelola data juga tidak menyadari datanya telah bocor, dicuri, dan, dimanipulasi di luar kepentingannya. Untuk mengungkap berbagai modus pembobolan data tersebut, RUU PDP harus secara detail mengatur mekanismenya dan memberikan jaminan bagi pemilik data.
”Setiap pengelola data mesti diwajibkan memiliki 1-2 data privacy officer. Tugas pejabat ini ialah memastikan data itu tidak bocor. Tentu harus ada ketentuan pemerintah soal ini dan bagi setiap pejabat itu harus ada sertifikasi kompetensinya yang harus diatur,” ujarnya.