Perlindungan terhadap Keamanan Data Non-Elektronik Dipertanyakan
Definisi data dalam RUU PDP diperdebatkan oleh Panja RUU PDP DPR dengan pemerintah. Sebab, RUU PDP tidak mengatur mengenai data non-elektronik, padahal masyarakat Indonesia masih banyak. menggunakan data jenis ini
Oleh
RINI KUSTIASIH
·5 menit baca
JAKARTA, KOMPAS — Regulasi mengenai keamanan data non-elektronik dipertanyakan di dalam Rancangan Undang-Undang Pelindungan Data Pribadi. Dari beberapa daftar inventarisasi masalah yang dibahas antara Dewan Perwakilan Rakyat dan pemerintah, keamanan data non-elektronik itu belum diatur secara detail, sementara data non-elektronik itu juga masih banyak yang digunakan oleh masyarakat.
Pertanyaan mengenai data non-elektronik ini mengemuka ketika Panitia Kerja RUU PDP membahas daftar inventaris masalah (DIM) lanjutan dengan pemerintah yang diwakili oleh Kementerian Komunikasi dan Informatika (Kominfo), Selasa (12/1/2021), di Jakarta. Di dalam DIM Nomor 53 yang membahas tentang transfer data, sejumlah anggota panja mempertanyakan bentuknya, apakah transfer data yang dimaksud itu hanya meliputi data elektronik ataukah juga data non-elektronik.
Sejumlah anggota Panja RUU PDP mempertanyakan bentuknya, apakah transfer data yang dimaksud itu hanya meliputi data elektronik ataukah juga data non-elektronik.
Pertanyaan mengenai jenis data itu penting karena tidak semua data yang dimiliki warga negara di Indonesia merupakan data elektronik. Beberapa jenis data tertentu, seperti rekam jejak kesehatan atau medis (medical record) yang dikeluarkan oleh rumah sakit (RS), adalah data non-elektronik. Adapun ketentuan di dalam DIM yang dibahas dengan pemerintah itu belum secara eksplisit menyebutkan apakah data itu termasuk juga data non-elektronik.
DIM dari Pasal 14 Ayat (2) itu berbunyi, ”Subyek data pribadi berhak menggunakan dan mengirimkan data pribadi miliknya ke pengendali data pribadi lainnya, sepanjang sistem tersebut dapat saling berkomunikasi secara aman sesuai dengan prinsip perlindungan data pribadi berdasarkan UU ini.”
Direktur Jenderal Aplikasi Informatika Kominfo Semuel Abrijani Pangerapan mengatakan, data yang dimaksud di dalam DIM tersebut adalah data elektronik. Ia mencontohkan pemindahan data dari suatu RS ke RS yang lain terkait dengan medical record seorang warga. Transfer data itu ditujukan untuk kepentingan perawatan kesehatan. Namun, penjelasan ini dipertanyakan oleh sejumlah anggota Panja RUU PDP karena RUU tersebut mengatur semua jenis data, tidak hanya data berbentuk elektronik.
”Kalau RUU ini hanya mengatur data elektronik, bagaimana dengan UKM, koperasi, dan institusi-institusi kecil lainnya yang belum tentu bisa menggunakan komputer. Perlindungan data yang dimaksud ini harus diatur lebih detail sehingga harus ada pasal atau ayat yang mengatur pemindahan data yang sifatnya manual atau hard copy sehingga data non-elektronik itu juga dijamin perlindungannya,” kata Abdul Kadir Karding, anggota Panja RUU PDP dari Fraksi Partai Kebangkitan Bangsa (PKB).
Kalau RUU ini hanya mengatur data elektronik, bagaimana dengan UKM, koperasi, dan institusi-institusi kecil lainnya yang belum tentu bisa menggunakan komputer.
Semuel mengatakan, rumusan Pasal 14 Ayat (2) RUU PDP itu merujuk pada pengaturan serupa di dalam General Data Protection Regulation (GDPR) yang berlaku di Uni Eropa. Dalam pemahaman atas GDPR, transfer data yang dimaksud adalah transfer terhadap data elektronik.
”Kalau yang dimaksud itu ialah data non-elektronik, saya juga tidak dapat membayangkan bagaimana hal itu dilakukan. Misalnya, kalau ada soft copy, saya minta itu untuk dicetak sehingga menjadi hard copy, selanjutnya data itu saya serahkan kepada pihak lain, mungkin seperti itu,” katanya.
Terkait dengan hal ini, anggota panja lainnya dari Fraksi Golkar, Bobby Adhityo Rizaldi, mempertanyakan definisi data yang dilindungi di dalam RUU PDP. Apakah hanya data elektronik ataukah semua data, baik yang elektronik maupun bukan. ”Jika kita merujuk GDPR, yang dilindungi di sana pun juga termasuk data non-elektronik. Nah, bagaimana hal ini juga dapat diperjelas di dalam RUU ini,” katanya.
Anggota Panja RUU PDP dari Fraksi Golkar lainnya, Christina Aryani, mengatakan, Indonesia tidak harus merujuk sepenuhnya kepada GDPR. Jika memang ada celah di dalam pengaturannya terkait dengan data, hal itu juga harus diperbaiki oleh pemerintah dan DPR.
Indonesia tidak harus merujuk sepenuhnya kepada GDPR. Jika memang ada celah di dalam pengaturannya terkait dengan data, hal itu juga harus diperbaiki oleh pemerintah dan DPR.
Ketua Panja RUU PDP Abdul Kharis juga memberikan analogi transfer data itu terjadi antarplatform. Sebagai contoh, platform media sosial Whatsapp mengatur transfer data penggunanya kepada platform medsos lainnya, yakni Facebook. Apakah transfer data yang dimaksud itu merupakan sesuatu yang harus diikuti oleh pengguna ataukah tidak. Selain itu, jika hal itu tidak diikuti oleh pengguna, apa akibatnya bagi pengguna.
Semuel mengatakan, pada dasarnya kebijakan transfer data pengguna itu merupakan pilihan. Pengguna boleh setuju ataukah tidak untuk membagi datanya dengan platform lain. ”Jika memang tidak setuju datanya dibagi ke facebook, akibatnya tentu tidak dapat lagi menggunakan aplikasi Whatsapp itu. , sekali lagi itu kan pilihan. Saya sendiri sudah mendapatkan pesan dari banyak teman yang menginformasikan dirinya keberatan datanya dibagi dengan platform lain, dan itu tidak apa-apa. Hanya saja, soal kebijakan ini, baik whatsapp maupun facebook di Indonesia harus menjelaskannya kepada publik, supaya menjadi jelas,” kata Semuel.
Bobby mengatakan, contoh medical record yang digunakan oleh Semuel tidak tepat dalam menggambarkan transfer data di dalam Pasal 14 Ayat (2) RUU PDP. Sebab, medical records umumnya merupakan hard copy, yang itu tidak boleh semena-mena dibagikan tanpa seizin pemilik data. Bagaimana data manual atau non-elektronik itu dipindahtangankan dan dilindungi juga harus menjadi suatu isu yang diatur di dalam RUU PDP.
Semua data pada dasarnya dilindungi di dalam RUU PDP, apa pun jenisnya. Perlindungan data yang diberikan di dalam RUU PDP tidak hanya terbatas pada data elektronik.
Semuel mengatakan, semua data pada dasarnya dilindungi di dalam RUU PDP, apa pun jenisnya. Perlindungan data yang diberikan di dalam RUU PDP tidak hanya terbatas pada data elektronik. Namun, terkait dengan transfer data yang diatur di dalam Pasal 14 Ayat (2) RUU PDP, ia sepakat untuk ditunda dulu pembahasannya. Sebab, ada beberapa rumusan yang harus ditegaskan kembali supaya tidak menimbulkan kerancuan.
Pembahasan RUU PDP sendiri telah dilakukan dalam dua kali masa sidang. Kharis mengatakan, pembahasan RUU PDP ini diharapkan dapat selesai tahun ini.