People Innovation Excellence

DATA PRIBADI DAN DATA PERSEORANGAN TERTENTU

Oleh SHIDARTA (September 2019)

Sejak 1 Desember 2016, Indonesia memiliki pengaturan tentang perlindungan data pribadi dalam sistem elektronik. Pengaturan ini dilakukan melalui Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016. Dalam konsiderans menimbang, peraturan menteri ini dinyatakan dibuat dalam rangka melaksanakan ketentuan Pasal 15 ayat (3) Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Sebenarnya, jika benar peraturan menteri ini mengacu pada Pasal 15 ayat (3) PP No. 82 Tahun 2012, nomenklatur yang digunakan sebagai judul peraturan menteri ini seharusnya adalah “Pedoman Perlindungan Data Pribadi dalam Sistem Elektronik”. Kata “Pedoman” ini tidak selayaknya dihilangkan karena demikianlah materi muatan yang telah didelegasikan oleh peraturan pemerintah untuk diatur dengan peraturan menteri. Pasal 15 PP No. 82 Tahun 2012 tersebut berada dalam Bab II berjudul “Penyelenggaraan Sistem Elektronik”. Pasal 15 tersebut ada pada Bagian Keenam dari Bab II, yaitu Bagian “Tata Kelola Sistem Elektronik”. Terkait dengan Tata Kelola Sistem Elektronik ini, sebenarnya diamanatkan untuk diatur dengan beberapa peraturan menteri. Pertama, peraturan menteri mengenai kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit (Pasal 14 ayat (2) PP No. 82 Tahun 2012). Kedua, peraturan menteri tentang pedoman perlindungan data  pribadi (Pasal 15 ayat [3]). Ketiga, peraturan menteri mengenai pedoman tata kelola sistem elektronik untuk pelayanan publik (Pasal 16 ayat [4]).
Peraturan Menteri No. 20 Tahun 2016 adalah dalam rangka menjalankan amanat yang kedua di atas. Peraturan ini berarti hanyalah sebagian dari peraturan menteri tentang tata kelola sistem elektronik, padahal tidak ada keharusan bahwa jumlah peraturan menteri yang dimaksud harus benar-benar dipecah menjadi tiga atau tidak dapat disatukan saja menjadi Peraturan Menkominfo tentang Tata Kelola Sistem Elektronik, sesuai dengan judul Bagian Keenam Bab II Peraturan Menteri Nomor 82 Tahun 2012. Lagi pula, apabila ketiga peraturan menteri di atas dipandang sebagai satu paket, maka seharunya ketiganya saling berkaitan dan perlu hadir secara bersamaan.
Mari kita kembali pada topik mengenai pengaturan dari Peraturan Menkominfo No. 20 Tahun 2016. Dalam Pasal 1 butir 1 dan 2  peraturan ini, diberikan definisi tentang “Data Pribadi” sebagai bagian dari “Data Perseorangan Tertentu”.
Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.
Data Perseorangan Tertentu adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan.

Dalam logika, dikenal ada alat bantu berupa pohon porphyrius yang dapat membantu kita mensistematisasi kedua definisi di atas. Cara membaca pohon ini adalah dengan melihat definiendum pada kata paling bawah (dalam hal ini kata “Data Pribadi”). Kata yang terletak persis di atasnya adalah genus proximum (dalam hal ini “Data Perseorangan Tertentu”). Kata pada level berikutnya diposisikan sebagai genus proximum dari kata “Data Perseorangan Tertentu”, yaitu kata “Keterangan”. Uraian pada bagian sebelah kiri adalah frasa penjelas, yang disebut sebagai definiens. Sementara itu, menurut model pembacaan pohon porphyrius, uraian pada bagian sebelah kanan tidak perlu diperhatikan karena hanya merupakan frasa dikotomis dari konotasi di bagian kiri.

Data Pribadi dengan demikian mengandung konotasi sebagai Data Perseorangan Tertentu yang [wajibkah?] untuk disimpan, dirawat, dijaga kebenarannya, dan dilindungi kerahasiaannya. Dalam definisi ini belum secara eksplisit disebutkan siapa yang ditugaskan menyimpan, merawat, menjaga kebenaran, dan melindungi kerahasiaannya, tetapi apabila mengacu pada sejumlah ketentuan lebih lanjut dari Permenkominfo tersebut, tergambarkan bahwa kewajiban itu menjadi beban pihak Penyelenggara Sistem Elektronik. Pihak penyelenggara ini wajib melengkapi dirinya dengan aturan internal perlindungan data pribadi guna mencegah terjadinya kegagalan dalam perlindungan data pribadi yang dikelolanya, yakni meliuti proses: (1) perolehan dan pengumpulan; (2) pengolahan dan penganalisisan; (3) penyimpanan; (4) penampilan, pengumuman, pengiriman, penyebarluasan dan/atau pembukaan akses; dan (5) pemusnahan.

Data Pribadi yang disimpan dalam Sistem Elektronik harus Data Pribadi yang telah diverifikasi keakuratannya dan disimpan dalam bentuk data terenkripsi. Lama penyimpanan disesuaikan dengan perundang-undangan terkait, atau jika lama penyimpanan itu belum ada aturannya, maka lanaya ditetapkan paling sedikit lima tahun.

Pada level di atasnya, setelah definisi tentang Data Pribadi (adalah Data Perseorangan Tertentu yang…), dan Data Perseorangan Tertentu (adalah suatu Keterangan yang…)  maka dengan sendirinya Data Pribadi adalah Keterangan. Maksud dari “Keterangan” di sini haruslah keterangan yang benar, nyata melekat, dapat diidentifikasi (langsung/tidak langsung) pada individu, dan pemanfaatannya harus sesuai peraturan perundang-undangan. Pertanyaan yang “mengganggu” kemudian adalah, jika terdapat data yang memuat tentang diri seseorang, misalnya data rekam medis, namun data ini mengandung kesalahan seperti kesalahan penyebutan usia, sekalipun masih nyata dan melekat, dan dapat diidentifikasi (langsung/tidak langsung) pada individu tersebut, apakah Keterangan rekam medis seperti ini masih dapat disebut sebagai Data Perseorangan Tertentu? Jawabannya, jika kita benar-benar konsisten dengan mengacu sepenuhnya pada definisi di atas, maka rekam medis itu sudah bukan lagi Data Perseorangan Tertentu. Sebab, Data Perseorangan itu adalah keterangan yang [harus] benar. Konsekuensinya, apabila ia bukan Data Perseorangan Tertentu, maka dengan sendirinya ia bukan lagi Data Pribadi, mengingat genus proximum dari Data Pribadi adalah Data Perseorangan Tertentu.

Lalu, di mana hakikat pembeda dari Data Pribadi itu? Menurut definisi di peraturan menteri tersebut hakikat pembedanya terletak pada penyimpanan, perawatan, dan penjagaan kebenarannya, serta perlindungan kerahasiaannya. Artinya, semua yang disebut Data Pribadi haruslah data yang sudah pasti disimpan, dirawat, dijaga kebenarannya, dan dilindungi kerahasiaanya. Padahal, tugas untuk menyimpan, merawat, menjaga kebenaran, dan melindungi kerahasiaan ini tidak sepenuhnya ada di bawah kontrol si individu pemilik data. Apabila data itu tidak lagi terjaga kebenarannya atau tidak terlindungi kerahasiaannya, maka secara hukum, data itu lalu bakal kehilangan statusnya sebagai Data Pribadi. Apakah benar demikian?

Sampai di sini, kita menemukan ada sesuatu yang kurang logis dari dua definisi yang saling terkait itu. Karakter yang paling hakiki dari Data Pribadi seharusnya adalah data yang nyata-nyata melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu. Namun, bukankah frasa seperti itu terdapat pada level yang lebih abstrak yakni definiens dari Data Perseorangan Tertentu? Karakter yang penting dari Data Pribadi adalah kerahasiaannya yang perlu dilindungi. Karakter terakhir ini sudah ada dalam definisi Data Pribadi, sehingga dapat dipertahankan.

Nah, jangan-jangan, sebagian uraian dari kedua definisi itu letaknya terbalik! Secara spekulatif, kita dapat menawarkan sebuah pemikiran tentang definisi Data Pribadi sebagai Data Perseorangan Tertentu yang nyata melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu, dan dilindungi kerahasiaannya. Siapakah yang wajib melindungi kerahasiaan ini? Pertama-tama tentu negara. Perlindungan negara ini merupakan perlindungan melalui kekuasaan publik terhadap perilaku setiap orang, khususnya ‘controllers’ dan ‘processors’. Melalui kekuasaan publik itu, negara dapat setiap saat menjatuhkan sanksi pada setiap orang yang tidak melindungi kerahasiaan tersebut. Sementara itu, Data Perseorangan Tertentu adalah Keterangan yang disimpan, dirawat, dan dijaga kebenaran, dengan pemanfaatannya sesuai ketentuan peraturan perundang-undangan. Kata-kata “dirawat dan dijaga kebenaran” ini penting untuk diperhatikan di sini. Kata “dirawat” menunjukkan ada upaya yang berkelanjutan untuk memutakhirkan data tersebut. Dalam proses pemutakhiran ini, ada tuntutan untuk selalu menjaga akurasi data itu (=menjaga kebenaran data). Hanya data yang benar inilah yang dapat dimanfaatkan sesuai ketentuan peraturan perundang-undangan. (***)


 


Published at :

Periksa Browser Anda

Check Your Browser

Situs ini tidak lagi mendukung penggunaan browser dengan teknologi tertinggal.

Apabila Anda melihat pesan ini, berarti Anda masih menggunakan browser Internet Explorer seri 8 / 7 / 6 / ...

Sebagai informasi, browser yang anda gunakan ini tidaklah aman dan tidak dapat menampilkan teknologi CSS terakhir yang dapat membuat sebuah situs tampil lebih baik. Bahkan Microsoft sebagai pembuatnya, telah merekomendasikan agar menggunakan browser yang lebih modern.

Untuk tampilan yang lebih baik, gunakan salah satu browser berikut. Download dan Install, seluruhnya gratis untuk digunakan.

We're Moving Forward.

This Site Is No Longer Supporting Out-of Date Browser.

If you are viewing this message, it means that you are currently using Internet Explorer 8 / 7 / 6 / below to access this site. FYI, it is unsafe and unable to render the latest CSS improvements. Even Microsoft, its creator, wants you to install more modern browser.

Best viewed with one of these browser instead. It is totally free.

  1. Google Chrome
  2. Mozilla Firefox
  3. Opera
  4. Internet Explorer 9
Close