PERSPEKTIF UU-ITE DALAM PERLINDUNGAN DATA PRIBADI DAN KEBUTUHAN PENGATURANNYA
Oleh BAMBANG PRATAMA (September 2020)
Pembahasan tentang perlindungan data pribadi yang sering kali dibahas di dalam konteks hukum siber. Ditambah lagi dengan diterapkannya General Data Protection Regulation (GDPR) di Uni Eropa yang efektif berlaku pada 28 Mei 2018 yang secara paralel diikuti oleh berbagai negara dalam memberlakukan aturan hukum tentang perlindungan data pribadi. Dalam perbincangan atas pengaturan data pribadi, sebenarnya terdapat aspek internasional yang perlu diketahui, yaitu transfer data, yang mana di dalam ketentuan GDPR disyaratkan pengiriman data lintas territorial hanya diijinkan jika negara penerima data memiliki standar yang sama dan/atau lebih tinggi dari negara pengirim. Akibat ketentuan tersebut di atas, maka banyak negara yang mengadopsi ketentuan GDPR agar dalam aktivitas pengiriman data lintas negara diperbolehkan. Di lain pihak, bagi negara yang tidak memiliki standar yang sama dengan GDPR, maka harus menerima konsekwensi tidak dapat dikirimkannya data dari negara lain yang memiliki standar perlindungan data yang lebih tinggi. Dengan tidak dapat dikirimkannya data ke suatu negara yang belum memiliki standar perlindungan data yang baik maka tentunya akan menyulitkan dalam aktivitas diantaranya: penegakkan hukum, perdagangan, dan sebagainya.
Dalam kaitanya perlindungan data pribadi di Indonesia, hingga saat ini bisa dikatakan belum ada suatu aturan yang komprehensif yang mengatur tentang perlindungan data pribadi. Namun demikian, bukan berarti tidak ada aturan hukum terkait data pribadi. Kondisi perlindungan data pribadi saat ini diatur di berbagai undang-undang secara sektoral dengan ketersebaran lebih dari 30 undang-undang. Bertolak dari ketersebaran pengaturan perlindungan data pribadi, maka pada prinsipnya Indonesia sudah memiliki perlindungan data pribadi, namun belum secara komprehensif pengaturannya.
Perlindungan data pribadi juga pada prinsipnya telah diatur di dalam UU-ITE, namun bentuk pengaturannya tidak eksplisit, sehingga seringkali dianggap UU-ITE tidak mengatur tentang perlindungan data pribadi, kecuali pada pasal 26 UU-ITE. Apabila kita melihat secara seksama rumusan konsep dari UU-ITE tentunya UU-ITE tidak memiliki jangkauan yang sangat sempit, karena data pribadi yang bentuknya elektronik, disimpan, ditransfer, ditransmisikan adalah objek dari UU-ITE. Dengan demikian maka membaca ketentuan tentang perlindungan data pribadi pada UU-ITE tidaklah sebatas pada pasal 26 UU-ITE saja.
Apabila mengacu pada UU-ITE terdapat beberapa konsep kunci yang bisa dikualifikasikan untuk menetapkan data pribadi (yang berbentuk elektronik) sebagai objek dari UU-ITE, yaitu: informasi elektronik dan dokumen elektronik. Artinya, segala macam informasi elektronik dan segala macam dokumen elektornik adalah objek dari UU-ITE, yang juga termasuk di dalamnya data pribadi. Oleh sebab itu, membaca ketentuan tentang data pribadi di dalam UU-ITE terdapat dua kualifikasi, yaitu: (1) data pribadi yang bentuknya elektronik, (2) data pribadi bisa berbentuk informasi elektronik dan/atau dokumen elektronik. Dengan dua kualifikasi di atas, maka segala macam bentuk data pribadi yang bentuknya elektronik adalah objek dari UU-ITE.
Selanjutnya, berkaitan dengan objek dari UU-ITE, maka terdapat norma larangan di dalam UU-ITE yang secara tidak langsung ikut melindungan data pribadi, yaitu pada pasal 30, pasal 31, pasal 32, pasal 34, dan pasal 36 UU-ITE. Keseluruhan norma larangan dari pasal tersebut di atas adalah melindungan informasi elektronik dan/atau dokumen elektronik (termasuk data pribadi).
Bertolak dari penjelasan di atas, maka kemudian muncul pertanyaan selanjutnya tentang kedudukan dari pasal 26 UU-ITE seperti apa? Jawaban atas pertanyaan di atas bisa dijawab bahwa ketentuan yang ada di dalam pasal 26 UU-ITE adalah subset dari rezim perlindungan data pribadi, yaitu hak untuk penghapusan informasi yang dianggap sudah tidak relevan. Adapun konsep penghapusan ini memiliki terminologi antara lain right to be forgotten, right to oblivion, right to be let alone. Namun dalam terminologi hukum positif kita mengenal berbagai terminologi tersebut di atas dengan “penghapusan informasi yang tidak relevan”.
Berdasarkan penjelasan di atas, maka bisa disimpulkan bahwa pada prinsipnya UU-ITE telah mengatur dan melindungi data pribadi (yang bentuknya elektronik), sehingga kondisi perlindungan data pribadi di Indonesia tidak benar-benar mengalami kekosongan hukum. Namun demikian, dengan kondisi saat ini bukan berarti Indonesia tidak memerlukan pengaturan tentang perlindungan data pribadi, karena dalam hal pengaturannya terdapat berbagai macam aspek yang harus dilindungi, diantaranya adalah transfer data lintas negara, cakupan data pribadi, kelembagaan yang berwenang, pengenaan sanksi yang sepadan dengan penyalahgunaan data pada korporasi, dan berbagai pengaturan lainnya yang dapat merefleksikan kekuatan pengaturan hukum atas perlindungan data pribadi di mata internasional.
Kebutuhan akan pengaturan terhadap data pribadi tidak hanya merefleksikan kehadiran negara dalam melindungi warga negaranya, tetapi juga merefleksikan kewibawaan negara di mata internasional. Dengan kondisi saat ini, maka kedudukan UU-ITE baru sebatas perlindungan negara terhadap warga negaranya, karena cakupan pengaturannya belum mampu mengimbagi rezim hukum perlindungan data pribadi seperti GDPR. Semoga di masa depan pemerintah dapat segera membuat undang-undang tentang perlindungan data pribadi.
Published at :
SOCIAL MEDIA
Let’s relentlessly connected and get caught up each other.
Looking for tweets ...