UU ITE Juga Belum Ampuh Lindungi Data Pribadi
Perlindungan data pribadi jauh panggan dari api meskipun sudah ada jaminan dalam Undang-Undang Informasi dan Transaksi Elektronik.
JAKARTA, KOMPAS - Selain rawan digunakan untuk perkarakan secara pidana antar-sesama warga, Undang-Undang Informasi dan Transaksi Elektronik belum ampuh melindungi data pribadi. Rumusan pasal tentang perlindungan data pribadi di UU itu tidak detail sehingga multitafsir serta sulit dalam pembuktian jika terjadi pelanggaran terkait kebocoran atau pencurian data pribadi.
Undang-Undang Nomor 11 Tahun 2008 yang telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik menyebutkan bahwa penggunaan informasi melalui media atau sistem elektronik terkait data pribadi harus atas persetujuan dari empunya data.
Salah satu ayat dalam Pasal 26 dalam beleid itu mewajibkan penyelenggara sistem elektronik untuk menghapus informasi elektronik dan/atau dokumen elektronik yang tidak relevan di bawah kendalinya atas permintaan empunya data berdasarkan penetapan pengadilan.
Baca Juga: Pemerintah Terbuka Perbaiki Norma UU ITE, tetapi Tidak Menghilangkan Pasal
Dalam penerapannya, peraturan itu jauh panggang dari api. Di tengah masyarakat, marak terjadi penyalahgunaan data pribadi tanpa penyelesaian yang jelas.
Seperti yang dialami Valentina, warga Jakarta ini. Ia dibuat terkejut ketika ada pesan WhatsApp dari nomor tidak dikenal mengatasnamakan tim dari salah satu platform belanja daring beberapa waktu lalu. Si pengirim pesan menggunakan logo platform belanja daring pada profilnya di WhatsApp.
Pesan itu berisi informasi bonus cashback atau uang kembali sebesar Rp 2 juta beserta dengan foto tangkapan layar data nama pengguna, nomor kontak, dan alamat Valentina.
"Kok bisa data pribadi saya bocor. Sudah konformasi ke platform, tetapi jawabannya tidak memuaskan," ucap Valentina, Selasa (23/2/2021).
Layanan pelanggan merespon aduannya dengan permohonan maaf sekaligus mengingatkan waspada modus penipuan seperti itu. Jangan pernah memberikan kode One Time Password atau kode sandi sekali pakai, dan Personal Identification Number atau kata kunci.
Baca Juga: Peretasan Data Pengguna Rawan Berlanjut Menjadi Kejahatan Siber
Mira, warga Jakarta, ini juga kaget ketika ada panggilan masuk mengatasnamakan tim dari salah satu platform belanja daring. Si penelpon menyampaikan bahwa ada hadiah Rp 2.000.000. Cara pencairannya dengan mengisi saldo dengan nominal tertentu.
"Heran kenapa si penelpon bisa tahu semua data pribadi dalam akun belanja daring," ujar Mira.
Layanan pelanggan merespon komplainnya dengan pernyataan itu bukan nomor kontak resmi perusahaan. Abaikan pesannya dan blokir nomor tersebut serta pastikan tidak memberikan informasi data pribadi karena modus penipuan.
Baca Juga: Revisi UU ITE Dibutuhkan
Warga Jakarta lainnya, Ariadna pun mengaku data pribadinya dicuri pada 2020. Ia menduga data pribadinya dicuri melalui platform belanja daring. Saat itu informasi kebocoran data pribadi ramai di sosial media sebelum ada pernyataan resmi dari salah satu platform belanja daring.
Peristiwa itu membuatnya hilang kepercayaan terhadap platform dalam melindungi data pribadi pengguna. Ia kemudian menghapus akun dan aplikasi belanja daring serta mengganti nomor kontak jadi pilihan.
"Pas tahu data bocor langsung hapus akun dan ganti nomor. Saya berikan nilai rendah di Play Store (layanan distribusi digital)," kata Ariadna.
Sulit
Lembaga Studi dan Advokasi Masyarakat (Elsam) menilai pasal tentang perlindungan data pribadi di dalam UU ITE cenderung tidak mudah dalam penerapannya. Tidak heran terus terjadi kebocoran data pribadi tanpa penyelesaian yang pasti.
Direktur Eksekutif Elsam, Wahyudi Djafar menuturkan, tidak ada garansi khusus perlindungan data pribadi di dalam Pasal 26 UU ITE itu karena rumusan pasalnya terlalu umum. Hanya disebutkan bahwa setiap orang bisa menggugat ganti rugi melalui pengadilan.
"Masalahnya membuktikan kebocoran data pribadi sangat sulit dalam mekanisme perdata. Pemilik data sulit membuktikan bagaimana mekanisme atau proses datanya bocor hingga disalahgunakan dan seterusnya," kata Wahyudi.
Kasus Facebook
Wahyudi mencontohkan kasus yang belum jelas penyelesaiaannya akibat sulitnya implementasi di lapangan. Ada kasus gugatan kebocoran data pribadi pengguna Facebook oleh pihak ketiga, yaitu Cambridge Analytica.
Saat itu Lembaga Pemberdayaan Masyarakat Informasi Indonesia dan Indonesia ICT Institute menggugat Facebook karena dugaan kebocoran data 1 juta pengguna Facebook dari Indonesia ke Pengadilan Negeri Jakarta Selatan medio 2018.
Kasus lainnya gugatan terhadap Tokopedia pada 2020. Kala itu jagat media sosial ramai membicarakan peretasan data pengguna Tokopedia yang tersebar di situs gelap atau DarkNet. Dalam situs itu, seorang peretas tak dikenal menjual 91 juta data pengguna Tokopedia seharga 5.000 dollar AS.
Ia mengatakan, memang ada ayat tambahan setelah revisi yang coba mengadopsi ketentuan terkait hak untuk dilupakan atau Right to be Forgotten.
Baca Juga:
Perlindungan terhadap Keamanan Data Non-Elektronik Dipertanyakan
Perlindungan data pribadai dalam UU ITE tertuang dalam Pasal 26 Ayat 1-5. Ayat 1 berbunyi kecuali ditentukan lain oleh peraturan perundang- undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.
Dalam penjelasaan Ayat 1 disebutkan bahwa dalam pemanfaatan teknologi informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi atau privacy rights. Hak pribadi mengandung arti hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan; hak untuk dapat berkomunikasi dengan orang lain tanpa tindakan memata-matai; dan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.
Sementara itu, Ayat 2 berbunyi setiap orang yang dilanggar haknya sebagaimana dimaksud pada Ayat 1 dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan undang-undang ini.
Baca Juga: Pemilik Data, Sudah Jatuh Ketiban Tangga
Pasal 26 Ayat 3 berbunyi setiap penyelenggara sistem elektronik wajib menghapus Informasi elektronik dan/atau dokumen elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan orang yang bersangkutan berdasarkan penetapan pengadilan.
Selanjutnya Ayat 4 menyebutkan setiap penyelenggara sistem elektronik wajib menyediakan mekanisme penghapusan informasi elektronik dan/atau dokumen elektronik yang sudah tidak relevan sesuai dengan ketentuan peraturan perundang-undangan.
UU ITE tidak secara baik mengelaborasi apa itu data pribadi, cakupannya, bagaimana ketika hak publik bertemu dengan hak pribadi dan seterusnya. Tidak implementatif dan belum optimal
Menurut Wahyudi belum ada batasan yang jelas perihal hak untuk dilupakan terkait informasi yang tidak relevan. Penyebabnya tidak ada penjelasan kualifikasi data seperti apa yang masuk ranah pribadi maupun bisa menggunakan hak untuk dilupakan.
"UU ITE tidak secara baik mengelaborasi apa itu data pribadi, cakupannya, bagaimana ketika hak publik bertemu dengan hak pribadi dan seterusnya. Tidak implementatif dan belum optimal sebagai rumusan atau rujukan untuk melindungi data pribadi warga negara," katanya.
Baca Juga:
Ketika Cengkeraman Internet Kian Erat
Lembaga Studi dan Advokasi Masyarakat ELSAM juga menilai Pasal 26 Ayat 5 tidak optimal. Pasal itu menegaskan bahwa ketentuan mengenai tata cara penghapusan informasi elektronik dan/atau dokumen elektronik sebagaimana dimaksud pada Ayat 3 dan Ayat 4 diatur dalam peraturan pemerintah.
Aturan itu ialah Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Peraturan Menteri Komunikasi dan Informatika Nomor 5 Tahun 2020 tentang Penyelenggara Sistem Elektronik Lingkup Privat.
Menurut Wahyudi, satu-satunya jalan untuk melindungi data pribadi adalah melalui UU Perlindungan Data Pribadi yang kini rancangannya masih dalam pembahasan di DPR. "Jalan satu-satunya harus rumuskan dalam UU Perlindungan Data Pribadi yang komprehensif," ujarnya.