Perlindungan Data Pribadi

Andrey Sujatmoko (mediaindonesia.com)

Belum terlalu lama berselang (15/4/2022) Menteri Luar Negeri AS Antony J Blinken merilis laporan bertopik 2021 Country Reports on Human Rights Practices: Indonesia. Laporan itu menginformasikan adanya potensi pelanggaran terhadap hak atas privasi (the right to privacy) berupa penyalahgunaan data pribadi di dalam aplikasi PeduliLindungi.

Aplikasi PeduliLindungi diinisiasi oleh Kementerian BUMN bersama dengan Kementerian Komunikasi dan Informatika (Kemenkominfo) dan PT Telkom Indonesia yang diharapkan dapat membantu pemerintah dalam proses tracking. Melalui aplikasi ini nantinya pemerintah akan mudah mendeteksi alur penyebaran covid-19. Selain itu, juga dapat diketahui setiap kontak erat yang terjadi antara individu, sebagai upaya membatasi pertumbuhan covid-19 (aptika.kominfo.go.id).

Juru Bicara Kementerian Kesehatan Siti Nadia Tarmizi (15/4), telah menyatakan bahwa laporan itu sebenarnya tidak menyebut ada dugaan pelanggaran HAM. Tetapi, mempersoalkan bagaimana Pemerintah Indonesia melindungi data pribadi masyarakat di dalam aplikasi itu. Menurutnya, dalam laporan itu aplikasi PeduliLindungi (yang disebut dengan istilah care protect) memang menggunakan data pribadi masyarakat, seperti nomor induk kependudukan (NIK) sebagai data dasar.

Namun, perlindungan data tersebut telah dilakukan antara lain dengan melakukan penghapusan data secara berkala, seperti pelacakan lokasi individu hingga hasil tes covid-19, dari laboratorium. Ia pun menjelaskan bahwa aplikasi PeduliLindungi telah memuat prinsip tata kelola yang jelas, termasuk kewajiban tunduk pada ketentuan perlindungan data pribadi. Bahkan pengembangannya mengacu kepada kesepakatan global dalam Joint Statement WHO on Data Protection and Privacy in the Covid-19 Response 2020 lalu (katadata.com).  Menanggapi laporan AS tersebut (19/4), Ketua Komnas HAM RI Ahmad Taufan Damanik pada intinya menyatakan bahwa laporan itu seharusnya tidak perlu direspons karena hanya mengutip berbagai kasus pelanggaran HAM yang sudah dilaporkan dan diproses oleh sejumlah lembaga di Indonesia.

Menurutnya, pemerintah AS tidak punya dasar hukum dan moral untuk membuat laporan HAM di berbagai negara, termasuk Indonesia, sebab AS juga banyak melakukan pelanggaran HAM baik di dalam negaranya sendiri maupun terhadap negara lain (suara.com).

Rentan

Mengutip BBC News-Indonesia (2/9/2021), menurut pakar siber sekitar 1,3 juta data pengguna Kartu Kewaspadaan Kesehatan Elektronik (Indonesia Health Alert Card/eHAC) di Indonesia berisiko disalahgunakan, seperti untuk penipuan hingga yang paling parah adalah manipulasi data.

Pemerintah mengakui ada kerentanan pengambilan data dan karena itu dilakukan perbaikan, tapi menyangkal terdapat kebocoran data. Menurut pakar teknologi informasi (TI) Onno Widodo Purbo, di kalangan peretas, situs-situs pemerintah Indonesia tergolong ‘yang gampang dibobol’. Laporan soal kerentanan sistem keamanan situs milik pemerintah bukan sekali dua kali ia dengar, tapi berkali-kali. Karena itu insiden kebocoran data di sistem eHAC bukan hal yang mengejutkan baginya.  Sebetulnya terdapat paradoks ketika pemerintah melalui Kemenkominfo menggulirkan isu mengenai kedaulatan dan perlindungan data di forum internasional G20 Digital Economy Ministerial Meeting (30/7/2020), namun justru di Tanah Air sendiri masih marak terjadi berbagai kasus dugaan kebocoran atau penyalahgunaan data pribadi.

Terlebih, saat ini perlindungan data pribadi (PDP) di Indonesia masih sangat jauh dari kata aman.  Berbagai kasus yang terjadi telah membuktikan bahwa perangkat hukum mengenai PDP sangatlah mendesak. Apalagi UU mengenai PDP telah masuk ke dalam program legislasi nasional (prolegnas). Seperti diketahui, perlindungan hukum terhadap data pribadi baru diatur oleh Peraturan Menteri Komunikasi dan Informatika (permenkominfo) yang tidak memuat sanksi pidana.

Pasal 28 Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik mengatur bahwa setiap penyelenggara sistem elektronik (baik sektor swasta maupun pelayanan publik) wajib memberitahukan secara tertulis kepada pemilik data pribadi jika terjadi kegagalan perlindungan rahasia data pribadi dalam sistem elektronik yang dikelolanya.

Namun, karena permenkominfo bukan merupakan peraturan-perundang-undangan (jika mengacu kepada UU Nomor 15 Tahun 2019 tentang Perubahan atas Undang-undang Nomor 12 Tahun 2011 tentang Pembentukan Peraturan Perundang-undangan), aturan itu tidak memadai dalam melindungi data pribadi, lantaran tidak mengatur sanksi pidana.

Peraturan itu hanya mengatur sanksi peringatan lisan, peringatan tertulis, pencabutan izin aplikasinya atau pemblokiran pihak ketiga sebagai penyedia aplikasi, juga kementerian atau lembaga pengendali dan pemroses data.  Oleh karena itu, kasus-kasus pencurian data pribadi masih terus terjadi tanpa adanya proses hukum yang jelas. Pemilik data masih rentan menjadi korban kejahatan di dunia maya maupun ancaman nyata sehari-hari, juga rentan menjadi korban penyebarluasan (doxing) informasi pribadi ke publik, penipuan (phising, simshing, vishing) dan jenis-jenis kejahatan lainnya.

Kasus dugaan terjadinya pencurian data pribadi di laman eHAC milik kementerian kesehatan merupakan bukti mengenai hal di atas. Bahkan sebelumnya, jutaan data pribadi para peserta BPJS pun diduga bocor dan dijual di forum daring. Tidak berhenti sampai di situ, muncul lagi kasus berikutnya, misalnya kasus dugaan adanya kebocoran data pelamar kerja di anak perusahaan Pertamina, yaitu PT Pertamina Training and Consulting (PTC). Menurut Kemenkominfo, dugaan kebocoran data PT PTC itu menjadi kasus kedua yang terjadi pada 2022. Informasi di atas menunjukkan adanya urgensi perlindungan data pribadi (sebagai wujud dari hak atas privasi) dan harus segera diambil langkah-langkah yang konkret.

Tulisan ini akan membahas secara singkat dalam perspektif HAM, bagaimana kedudukan hak atas privasi dalam instrumen hukum internasional, lalu apa upaya yang harus dilakukan oleh Indonesia untuk melindungi data pribadi.

Hak Privasi

Data pribadi adalah sekumpulan informasi yang berisikan identitas seseorang. Oleh karena itu, data pribadi akan terkait dengan hak atas privasi yang pada hakikatnya merupakan HAM. Hak atas privasi saat ini telah diatur dalam instrumen hukum HAM internasional, seperti Universal Declaration of Human Rights (UDHR) dan International Covenant on Civil and Political Rights (ICCPR), maupun hukum nasional seperti dalam UUD 1945.

Berdasarkan ketiga instrumen hukum tersebut, maka kedudukan hak atas privasi secara hukum adalah justiciable right, artinya hak itu dapat diperkarakan di pengadilan karena di samping sebagai HAM juga merupakan hak konstitusional.     Indonesia telah meratifikasi ICCPR dengan UU No. 12/2005. Oleh karena itu Indonesia sebagai negara pihak pada kovenan itu memiliki kewajiban hukum (legal obligation) untuk melindungi, menghormati, dan memenuhi hak atas privasi yang salah satunya adalah data pribadi.

Pasal 12 UDHR dan 17 ICCPR pada dasarnya mengatur hak atas privasi. Kedua pasal itu menyatakan bahwa tidak seorang pun boleh diganggu urusan pribadinya, keluarganya, rumah tangganya atau hubungan surat menyuratnya dengan sewenang-wenang; juga tidak diperkenankan melakukan pelanggaran atas kehormatan dan nama baiknya. Setiap orang berhak untuk mendapat perlindungan hukum terhadap gangguan atau pelanggaran seperti ini.

Berdasarkan kedua pasal di atas, dapat disimpulkan dua hal, yaitu; hak atas privasi tidak boleh dilanggar secara sewenang-wenang dan jika terjadi pelanggaran, maka orang yang dilanggar harus dilindungi secara hukum.

Selanjutnya, apa yang harus dilakukan oleh negara jika terjadi pelanggaran hak atas privasi?  Pasal 2 ayat 3 (a), (b), (c) ICCPR mengatur bahwa negara menjamin; a. Setiap orang yang hak atau kebebasannya diakui dalam kovenan ini dilanggar, akan memperoleh upaya pemulihan yang efektif (effective remedy); b. Setiap orang yang menuntut upaya pemulihan tersebut harus ditentukan haknya itu oleh lembaga peradilan, administratif, atau legislatif yang berwenang, atau oleh lembaga berwenang lainnya yang diatur oleh sistem hukum negara tersebut, dan untuk mengembangkan segala kemungkinan upaya penyelesaian peradilan; c. Lembaga yang berwenang akan melaksanakan pemulihan tersebut ketika dikabulkan.

Jika pasal di atas dikaitkan dengan kasus kebocoran data pribadi, orang yang dirugikan berhak atas pemulihan yang efektif. Konkretnya, misalnya, ada proses hukum yang jelas terhadap kasusnya, siapa pelaku yang bertanggung jawab secara hukum, dst. Lalu, dimungkinkan pula adanya pemberian ganti rugi atas kerugian yang telah dialami oleh korbanya melalui proses hukum.

Penjelasan yang bersifat otoritatif dan mendetail tentang hak atas privasi dan data pribadi dapat merujuk kepada komentar umum (general comment) Komite tentang Hak-hak Sipil dan Politik No. 16; Pasal 17 (Hak atas Privasi) Hak untuk Menghormati Privasi, Keluarga, Rumah dan Korespondensi, dan Perlindungan Kehormatan dan Reputasi.

Diadopsi pada Sesi Ketiga Puluh Dua Komite HAM, pada 8 April 1988.  Pada angka 1 komentar umum di atas, dijelaskan bahwa Pasal 17 ICCPR mengatur hak setiap orang untuk dilindungi dari campur tangan sewenang-wenang atau tidak sah dengan privasi, keluarga, rumah atau korespondensinya, serta terhadap serangan yang melanggar hukum atas kehormatan dan reputasinya.  Menurut pandangan Komite, hak ini harus dijamin terhadap semua gangguan tersebut dan serangan apakah mereka berasal dari otoritas Negara atau dari orang atau badan hukum.

Kewajiban yang dikenakan oleh pasal ini mengharuskan Negara untuk mengadopsi peraturan perundang-undangan dan lainnya langkah-langkah untuk memberlakukan larangan terhadap gangguan dan serangan itu maupun untuk perlindungan hak ini. Lalu, pada angka 10 komentar umum di atas, dijelaskan bahwa pengumpulan dan penyimpanan informasi pribadi di komputer, bank data dan perangkat lain, baik oleh otoritas publik atau individu atau badan swasta, harus diatur oleh undang-undang.

Langkah-langkah efektif harus diambil oleh negara-negara untuk memastikan bahwa informasi mengenai kehidupan pribadi seseorang tidak sampai ke tangan orang yang tidak diberi wewenang oleh undang-undang untuk menerima, mengolah, dan menggunakannya, serta tidak pernah digunakan untuk tujuan yang tidak sesuai dengan Kovenan.

Agar mendapatkan yang paling efektif perlindungan kehidupan pribadinya, setiap individu harus memiliki hak untuk memastikan secara bentuk yang dapat dipahami, apakah, dan jika demikian, data pribadi apa yang disimpan dalam data arsip (file) otomatis, dan untuk tujuan apa. Setiap individu juga harus dapat memastikan mana yang otoritas publik atau individu atau badan swasta mengontrol atau mungkin mengontrol arsip mereka. Jika arsip tersebut berisi data pribadi yang salah atau telah dikumpulkan atau diproses dengan cara yang bertentangan ketentuan undang-undang, setiap orang berhak untuk meminta perbaikan atau dikeluarkan (datanya).

Kesimpulan dari kedua komentar umum di atas adalah bahwa negara harus melakukan langka-langkah legislasi untuk membuat undang-undang dalam rangka menjamin perlindungan terhadap hak atas privasi- termasuk di dalamnya PDP- dari gangguan/penyalahgunaan yang dilakukan oleh negara, orang atau badan hukum (seperti korporasi). Melalui UU PDP setidaknya ada kepastian hukum mengenai hak serta kewajiban dari pemilik data dan otoritas yang mengontrol data (misalnya penyelenggara sistem elektronik/PSE) baik publik maupun privat.

Terkait hal di atas, setiap PSE baik publik ataupun privat wajib melaksanakan ketentuan yang antara lain diatur oleh Pasal 26 ayat (1) UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik serta perubahannya, menyatakan bahwa kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.

Lalu, Pasal 24 ayat 3 PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), menyatakan bahwa dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap sistem elektronik, PSE wajib mengamankan informasi elektronik dan/atau dokumen elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan kementerian atau lembaga terkait. Pembatasan (derogation) berupa ditunda/ditangguhkannya pelaksanaan HAM tertentu yang bersifat derogable right karena terjadi situasi darurat (misalnya darurat kesehatan berupa pandemi covid-19) memang dimungkinkan oleh Pasal 4 ayat (2) ICCPR. Oleh karena itu, pembatasan terhadap hak atas privasi (yang bersifat derogable right), berupa penggunaan data pribadi oleh pemerintah melalui aplikasi PeduliLindungi adalah telah sesuai dengan pasal tersebut.

Namun demikian, pembatasan yang dilakukan tidak boleh bertentangan dengan kewajiban lainnya (dari negara) berdasarkan hukum internasional dan tidak melibatkan diskriminasi semata-mata atas dasar ras, warna kulit, jenis kelamin, bahasa, agama atau asal-usul sosial (Pasal 4 ayat (1) ICCPR). Terkait aplikasi PeduliLindungi, kata ‘kewajiban lainnya’ tersebut, dapat ditafsirkan bahwa negara harus menjamin dan melindungi data pribadi pada aplikasi PeduliLindungi dari penyalahgunaan melalui peraturan perundang-undangan.

Oleh:

Andrey Sujatmoko,

Dosen Fakultas Hukum Universitas Trisakti Jakarta

Opini Media Indonesia, Senin 09 Mei 2022

Sumber: https://mediaindonesia.com/opini/491268/perlindungan-data-pribadi

You may also like...