BEBERAPA CATATAN TENTANG RUU DATA PRIBADI
Oleh BAMBANG PRATAMA (Juni 2017)
Isu perlindungan data pribadi menjadi semakin santer muncul karena berjalan paralel dengan perkembangan optimalisasi ruang siber di masyarakat. Tetapi sayangnya, masalah privasi dan perlindungan data pribadi ini masih belum mendapat perhatian penuh dari pemerintah dan para pelaku usaha. Hal ini didasarkan pada banyaknya pelanggaran yang terjadi terkait data pribadi. Selain itu, dari sisi argumentasi hukum, sering kali lemah dari sisi alas hak, sehingga banyak penjelasan terkait perlindungan data pribadi lebih kepada deskripsi normatif, deskripri kasus, ataupun lebih banyak kepada deskripsi kerugian yang diderita. Penjelasan tentang alas hak sangat jarang ditemui dalam deskripsi hukum, sehingga dari sisi penalaran hukum menjadi lemah. Alhasil, selama ini banyak beredar penjelasan tentang perlindungan data pribadi tanpa landasan yang kuat. Meski demikian, tidak dapat dipungkiri pentingnya perlindungan data pribadi tidak bisa dihindari mengingat salah satu industri yang berkembang di ruang siber saat ini adalah industri informasi.
Seiring dengan urgensi tentang perlindungan data pribadi, ditemukan naskah akademik tentang data pribadi dan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU-PD) yang dibuat oleh Badan Pembinaan Hukum Nasional (BPHN) tahun 2016. Berdasarkan penjelasan pada bagian sebelumnya terkait perlindungan data pribadi, maka dapat diidentifikasikan tiga aspek umum yang perlu diperhatikan, yaitu: aspek konseptual, aspek kelembagaan dan aspek hukum formil. Rincian dari ketiga aspek tersebut di atas adalah sebagai berikut.
ASPEK KONSEPTUAL
- Cakupan perlindungan data pribadi seharusnya tidak hanya dikenakan kepada orang sebagai subjek hukum tetapi juga kepada badan hukum sebagai subjek hukum. Memang diperlukan pembedaan yang tajam antara subjek hukum orang dengan subjek hukum badan hukum. Meski pengaturan tentang data pribadi lebih menekankan kepada aspek pribadi (naturalijke person) akan tetapi rumusan umum dari subjek hukum tentang badan hukum juga penting untuk diatur. Pasalnya, badan hukum tidak hanya sebagai pengemban hak dan kewajiban dari hukum, tetapi ada beberapa pengaturan terkait perlindungan data terhadap badan hukum, misalnya: pengaturan tentang dokumen perusahaan, pengaturan tentang keterbukaan informasi publik, pengaturan tentang rahasia dagang, pengaturan tentang intelijen;
- Secara konseptual, pengaturan tentang pencemaran nama baik adalah perlindungan terhadap kehormatan manusia sedangkan data pribadi cakupannya lebih kepada perasaan manusia yang memiliki dimensi psikologis (Solove, 2002:1101). Oleh sebab itu konten tentang perasaan menjadi penekanan dari undang-undang data pribadi. Beberapa contoh perlindungan akan perasaan, misalnya tentang rasa kenyamanan, rasa aman, dan sebagainya. Berangkat dari perbedaan antara kehormatan dan perasaan, maka pengaturan tentang kehormatan tidak boleh muncul dalam undang-undang perlindungan data pribadi karena akan tumpang tindih dengan pengaturan pasal 310-311 KUH Pidana nantinya. Selain kehormatan, bagi sebagian orang menyembunyikan identitas diri dapat memberikan rasa aman, sehingga perlindungan atas anonimitas juga penting untuk diatur. Hanya saja batasan yang jelas sampai sejauh mana tingakt anonimitas ini perlu ditentukan oleh pemerintah, sehingga kedudukannya menjadi seimbang jika dilihat dari aspek publik yang bersifat keterbukaan dan dari aspek privat yang bersifat tertutup;
- Pengaturan tentang jangka waktu perlindungan data pribadi juga menjadi penting untuk ditegaskan. Pasalnya, hak kepribadian seseorang bisa saja tidak lengkang ditelan jaman. Misalnya, tentang kepribadian para pujangga atau filsup pada jaman Yunani yang hingga kini masih dikenal, atau bintang film lawas seperti Charlie Chaplin yang hingga kini masih dikenal. Meski para tokoh tersebut di atas sudah lama meninggal, tetapi hingga kini kepribadian mereka masih dikenal hingga beberapa generasi di bawahnya. Berdasarkan alasan tersebut, pengaturan tentang jangka waktu perlindungan data pribadi menjadi penting agar tidak terjadi penyalahgunaan terkait data pribadi ketika yang bersangkutan sudah meninggal dunia. Selain pejelasan tentang jangka waktu, pembedaan antara data pribadi orang biasa dengan data pribadi orang terkenal juga menjadi penting untuk diatur, karena diantara keduanya memiliki perbedaan nilai komersial. Dengan alasan penggunaan komersial, maka perlindungan data pribadi kepada orang terjenal (public figure) harus memiliki beberapa perbedaan khusus dibandingkan dengan perlindungan data pribadi kepada orang pada umumnya. Selain itu, konsep tentang hak ekonomi dari hak cipta juga bisa digunakan di dalamnya, karena sebagaimana dijelaskan sebelumnya data pribadi kepemilikannya dipersamakan sebagai hak kebendaan. Hal ini sejalan dengan prinsip hukum benda yang mengenal asas droit de suite atau hak kepribadian si pemilik benda melekat pada benda. Dari perspektif hak milik, data pribadi bisa dikategorikan sebagai hak kebendaan. Oleh sebab itu, argumentasi yuridisnya perlu disiapkan, karena sistem hak kebendaan di Indonesia menganut sistem tertutup (Sofwan, 2000:15). Sistem tertutup pada hak kebendaan ini hanya mengakui hak milik sebagaimana diatur dalam undang-undang (Lihat: Pasal 584 KUH Perdata). Oleh sebab itu, menjadi penting dijelaskan tentang tata cara mendapatkan haknya, jenis hak kebendaannya jenis apa? dan berapa lama jangka waktu kepemilikan dari hak kebendaan pada data pribadi. Jika undang-undang data pribadi tidak membuka pintu dengan cara menjelaskan tata cara mendapatkan hak kebendaan, maka secara yuridis data pribadi tidak bisa dikategorikan sebagai hak kebendaan. Selain itu, implikasi lainnya adalah penentuan nilai ganti rugi atau nilai denda yang dikenakan terhadap pelanggar data pribadi juga menjadi seolah-olah mengada-ada jika ditetapkan secara tinggi. Pasalnya tidak ada pegangan nilai ekonomi dari hak kebedaan atas data pribadi;
- Sebagaimana telah dijelaskan sebelumnya bahwa undang-undang tentang data pribadi perlu mengakomodir beberapa prinsip hukum dari bidang hukum lain, misalnya prinsip hukum hak cipta melalui prinsip ekonomi (Lihat: Pratama, 2017). Dengan dimasukkannya prinsip ekonomi pada perlindungan data pribadi maka doktrin fair use juga bisa digunakan. Doktrin fair use atau di Indonesia bisa dipersamakan dengan asas kepatutan merupakan asas hukum penting yang perlu dimasukkan ke dalam undang-undang perlindungan data pribadi. Hal ini didasarkan pada alasan bahwa yang akan terkena subjek norma dari undang-undang data pribadi diantaranya adalah industri informasi. Kedudukan undang-undang perlindungan data pribadi salah satunya adalah sebagai pagar pengaman hak-hak individu dari komodifikasi informasi, maka batasan yang jelas atau kepatutan tentang pengelolaan data pribadi penjadi penting untuk diatur.
ASPEK INSTITUSI/KELEMBAGAAN
- Salah satu kekhasan dari ruang siber (cyber space) adalah kecepatan proses dan bentuknya yang paperless. Hal ini perlu diketahui dengan baik oleh pembuat undang-undang, sehingga dalam merumuskan aturan hukum dalam perlindungan data pribadi, hal-hal yang sifatnya paper-based harus dihindari. Jika hal yang bersifat paper-based tidak dihindari, maka keberadaan undang-undang perlindungan data pribadi nantinya akan membelenggu kecepatan proses dari ruang siber dan menjadi beban ketika dioperasikan. Pentingnya penegasan akan bentuk permintaan yang dimohonkan melalui saluran elektronik ini juga didasarkan pada alasan pemahaman para pengemban hukum yang menjadi operator dari norma undang-undang perlindungan data pribadi. Di samping itu, secara subjek norma perlindungan data pribadi pada generasi milenial yang melek dengan teknologi informasi juga perlu diantisipasi agar dalam pelaksanaan undang-undang perlindungan data pribadi terjadi masalah-masalah yang sifatnya sangat teknis. Alih-alih undang-undang perlindungan data pribadi dapat bioperasikan secara efektif tetapi malah mengurusi masalah teknis semata;
- Salah satu kelemahan dari UU-ITE adalah kesulitan dalam menjalankan amanat standardisasi penyelenggara sistem elektronik sebagaimana tertuang pada Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan transaksi Elektronik (PP-PSTE). Pemerintah memiliki kewajiban mengawasi penyelenggara sistem elektronik agar menyelenggarakan sistem yang andal dan laik yang dipantai melalui sistem penjaminan mutu nasional. Secara konvensional sistem penjaminan mutu nasional adalah domainnya Badan Standardisasi Nasional. Sayangnya, dalam penyelenggaraan sistem elektronik, standardisasi naasionalnya belum berjalan, sehingga masih mengacu pada sistem penjaminan mutu milik ISO. Amanat kedua terkait sistem elektronik dari UU-ITE pasca amandemen tahun 2016 adalah tentang kewajiban memiliki mekanisme sistem penghapusan data pribadi (lihat pasal 26 ayat (4) UU-ITE Tahun 2016). Amanat pasal di atas adalah tentang right to be forgotten, yang mana merupakan derivasi hak dari perlindungan data pribadi. Tatapi sayangnya pada ayat selanjutnya diamanatkan pembentukan peraturan pemerintah terkait mekanisme penghapusan data pribadi, yang mana hingga kini peraturan pemerintahnya belum ada. Belajar dari pengalaman UU-ITE di atas, maka sudah seharusnya undang-undang data pribadi tidak membebankan amanat tambahan terkait sistem elektronik, karena sangat terbuka kemungkinan kebijakan sistem elektronik yang dibuat tidak bisa dijalankan secara cepat. Oleh sebab itu, sebaiknya undang-undang data pribadi memiliki posisi menguatkan sistem elektronik yang sudah diatur sebelumnya oleh UU-ITE;
- Pada bulan Mei 2017 ini Presiden Joko Widodo mengeluarkan Peraturan Pemerintah No. 53 Tahun 2017 tentang Badan Siber dan Sandi Negara (BSSN). Badan Siber nasional atau BSSN merupakan penggabungan antara Badan Sandi Nasional dengan Direktorat Jenderal Aplikasi dan Informatika Kominfo. Dengan demikian secara kelembagaan badan siber nasional resmi dibentuk. Mengingat rigitnya birokrasi di Indonesia dan tumpang tindih kewenangan antar lembaga negara, maka dalam pembentukan undang-undang perlindungan data pribadi perlu diformulasikan suatu peran yang diemban oleh badan siber nasional. Jika badan siber tidak diberi peran yang jelas, maka dikhawatirkan akan terjadi tumpang tindih kewenangan, sehingga secara struktur kelembagaan bermasalah.
ASPEK HUKUM FORMIL
- Salah satu kelemahan dari produk undang-undang adalah sempitnya ruang lingkup dari definisi yang dibuat, yang mana bisa dilihat dari danya penyebutan contoh pada definisi undang-undang. Agar nantinya undang-undang data pribadi tidak cepat usang, maka pemberian contoh dari suatu definisi harus dihindari. Jika suatu contoh ingin dikemukakan oleh pembuat undang-undang, maka pemberian contoh bisa disiasati dengan cara memasukannya pada bagian penjelasan undang-undang. Dengan cara demikian maka pembuat undang-undang tidak mempersempit definisi yang dibuatnya, sehingga bisa menciptakan definisi yang futuristis seperti kata ’barang’ di KUH Pidana yang bisa ditafsirkan secara ekstensif;
- Terkait kewajiban membangun server di Indonesia. Sekitar tahun 2008-2011 salah satu masalah yang dihadapi oleh Indonesia adalah ketidakmampuan pemerintah memaksa perusahaan Research in Motion (RIM) untuk membangun server-nya di Indonesia. Perusahaan RIM atau dikenal dengan produk gawai cerdas Blackberry ini dianggap memiliki kewajiban moral untuk membuat server di Indonesia. Alasannya, karena Blackberry mengelola data pengguna yang berasal dari Indonesia. Akan tetapi pada waktu itu, perusahaan RiM seolah-solah tidak menggubris permintaan pemerintah Indonesia dengan alasan tidak adanya kepastian hukum bagi RIM karena diangggap pada waktu itu Indonesia belum memiliki undang-undang perlindungan data. Padahal, jika melihat instrumen hukum pada waktu itu, Indonesia sudah memiliki Undang-undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU-ITE). Akan tetapi dengan alasan teknis keamanan, perusahaan RIM tetap menolak untuk membuka server-nya di Indonesia. Berangkat dari pengalaman sejarah di atas, maka sudah seharusnya undang-undang data pribadi Indonesia mampu mengatur dan memaksa perusahaan asing untuk membuka server-nya di Indonesia. Selain itu, mobilitas data atau perpindahan data dari dalam wilayah Indonesia ke luar wilayah Indonesia juga perlu diatur secara jelas seperti di Uni Eropa, sehingga proteksi hukum yang dibuat memang benar-benar antisipatif. Hal lainnya yang perlu diwaspadai adalah antisipasi pengelolaan jarak jauh atau remote. Pengaturan tentang pengendalian jarak jauh yang jelas menjadi penting karena jika tidak diatur secara cermat maka penyelenggara sistem elektronik bisa menolak membangun server di Indonesia dengan alasan telah menempatkan operator di Indonesia. Keberadaan fisik server menjadi penting untuk menjaga keamanan dan kedaulatan hukum Indonesia. Hal ini bisa dicontohkan pada kasus penangkapan Kim Dot Com (2014), salah satu pendiri MegaUpload yang ditangkap oleh pemerintah Amerika Serikat di New Zealand dengan menggunakan hukum Amerika Serikat. Kekuatan Amerika Serikat pada waktu itu adalah menggunakan argumentasi jurisdiksi server (Davidson, 2009:183), yang mana server MegaUpload berada di Amerika Serikat, sehingga dengan demikian hukum Amerika Serikat bisa diberlakukan. Belajar dari kecerdasan Amerika Serikat, maka dalam undang-undang perlindungan data pribadi, ketentuan tentang jurisdiksi server menjadi penting untuk diatur;
- Salah satu perdebatan dalam hukum formil terkait aspek teknologi informasi dan komunikasi adalah tentang kedudukan CCTV sebagai alat bukti elektronik. Celakanya, beredar opini keliru yang mengatakan bahwa CCTV harus dipasang oleh penyidik. Jika suatu CCTV tidak dipasang oleh penyidik, maka CCTV tersebut tidak bisa dijadikan sebagai alat bukti di persidangan. Meski keberadaan CCTV yang dimaksud berada di ruang publik, akan tetapi perdebatan tentang alat bukti elektronik CCTV ini pada akhirnya menjadi lebar dan tidak jelas. Opini tentang isu CCTV sebagai alat bukti elektronik ini muncul pada kasus Jessica Kumala Wongso pada tahun 2016. Mengingat kasus Jessica adalah kasus yang menyita perhatian secara nasional, maka kekeliruan dan silang pendapat tentang CCTV sebagai alat bukti elektronik mendapat sorotan di tingkat nasional juga. Apabila silang pendapat di atas dicermati secara seksama, permasalahan utama dari alat bukti CCTV semata-mata lebih kepada masalah otentisitas alat bukti elektronik. Jika dalam bentuk dokumen fisik salah satu ciri untuk menandakan otentisitasnya misalnya dengan cara legalisir cap basah, maka dalam hal alat bukti elektronik CCTV juga diperlukan ciri otentisitasnya. Sayangnya otentikasi ini tidak diatur oleh pemerintah. Padahal masalah otentikasi ini telah diatur dalam UU-ITE, misalnya pada bagian tanda tangan digital (lihat pasal 1 angka 12). Tanpa otentisitas maka tentunya akan selalu muncul silang pendapat tentang keabsahan alat bukti elektronik di dalam persidangan. Dalam kaitannya undang-undang data pribadi terhadap pengaturan CCTV, memperjelas rumusan norma menjadi penting untuk memberikan penegasan bahwa CCTV tidak boleh menyoroti ruang pribadi seseorang. Jika CCTV berada di ruang publik, maka sudah seharusnya CCTV tidak melanggar hak pribadi seseorang. Dengan adanya penegasan tentang rumusan norma terkati CCTV, maka diharapkan undang-undang perlindungan data pribadi bisa menjadi jawaban dari silang pendapat tentang alat bukti elektronik berupa CCTV.
Berdasarkan urian di atas, terlihat bahwa RUU perlindungan data pribadi masih memerlukan beberapa masukan. Masukan yang komprehensif terhadap RUU perlindungan data pribadi menjadi penting, karena kedudukan dari undang-undang perlindungan data pribadi bisa dikatakan sebagai umbrella law. Hal ini dikuatkan dari penelitian yang dilakukan oleh ELSAM pada tahun 2016 ada sekitar 30 undang-undang terkait data pribadi (lihat: Djafar, dkk., 2016). Oleh sebab itu, agar kedudukan undang-undang perlindungan data pribadi benar-benar bisa memayungi 30 undang-undang yang ada maka aspek konseptual, hukum formil dan kelembagaan harus benar-benar diperhatikan. (***)
REFERENSI
Alan Davidson, The Law of Electronic Commerce, Cambridge University Press, New York, 2009.
Bambang Pratama, Prinsip Moral Sebagai Klaim Pada Hak Cipta dan Hak Untuk Dilupakan (Right to be Forgotten), Jurnal Veritas et Justitia, Vol. 2 No. 2. Universitas Katolik Parahyangan, 2016.
BPHN, Naskah Akademik Perlindungan Data Pribadi, 2016.
Daniel J. Solove. Conceptualizing Privacy, California Law Review, 2002.
Sri Soedewi Masjchoen Sofwan, Hukum Perdata: Hukum Benda, Liberty Yogyakarta, Cetakan kelima, 2000.
Wahyudi Djafar, Bernhard Ruben Fritz Sumigar, Blandina Lintang Setianti, Perlindungan Data Pribadi di Indonesia, ELSAM, 2016.
SOCIAL MEDIA
Let’s relentlessly connected and get caught up each other.
Looking for tweets ...