Baca berita dengan sedikit iklan, klik di sini

Politik

Peran Negara dalam Pelindungan Data

Di tengah ekosistem digital yang menguat, pelindungan data pribadi menjadi krusial. Di mana peran negara?

9 Oktober 2022 | 00.00 WIB

Image of Tempo
Perbesar

Baca berita dengan sedikit iklan, klik di sini

OMONG-OMONG tentang pelindungan data pribadi, kita perlu melihat Jepang. Mungkin Anda pernah menggunakan telepon seluler pintar di Tokyo, Osaka, atau kota lain di Jepang dan punya pengalaman yang tidak mengenakkan: shutter atau penjepret kamera berbunyi, tidak bisa dimatikan, dan tidak bisa dikecilkan volume suaranya. Jadi memotret apa pun dan di mana pun dengan ponsel akan terdengar suara jepretannya dengan keras.

Baca berita dengan sedikit iklan, klik di sini

Tujuan pemerintah Jepang jelas: melindungi privasi warga negaranya. Orang tidak akan mudah mengambil gambar secara sembunyi-sembunyi, apalagi dengan maksud tidak senonoh atau maksud jahat lain. Melindungi privasi, melindungi data pribadi, dan memastikan penggunaan data pribadi untuk pelayanan publik dan kemaslahatan bersama adalah salah satu bentuk kehadiran negara yang kita impikan.

Baca berita dengan sedikit iklan, klik di sini

Bagaimana dengan di Indonesia? Beberapa pekan lalu kita menyaksikan Dewan Perwakilan Rakyat akhirnya mengesahkan Undang-Undang Pelindungan Data Pribadi (UU PDP). Di tengah kontroversi tentang kebocoran data akibat gempuran “peretas” Bjorka dan para peretas lain terhadap banyak situs pemerintah, pengesahan undang-undang tersebut melegakan. Pemerintah bersama DPR sudah lebih serius melaksanakan Pasal 28 Undang-Undang Dasar 1945 melalui rencana pembentukan lembaga yang khusus menangani pelindungan warga negara sebagai subyek data, menetapkan sanksi bagi pengendali dan pengolah data pribadi yang lalai, serta memidanakan pembocor dan mereka yang menyalahgunakan data pribadi.

Kementerian Komunikasi dan Informatika (Kominfo) menyebutkan berbagai manfaat ratifikasi undang-undang ini, dari tersedianya payung hukum yang komprehensif, kepastian bagi kalangan bisnis, hingga meningkatnya profil Indonesia dalam tata kelola global. Setidaknya penantian selama bertahun-tahun untuk memiliki sebuah undang-undang yang menyangkut kebutuhan akan rasa aman atas data pribadi sudah terpenuhi. 

Masalahnya, ratifikasi UU PDP baru titik awal bagi pelindungan data pribadi yang konsisten dan bermanfaat bagi semua pihak. Berbagai ketentuan dalam undang-undang ini masih jauh dari muatan General Data Protection Regulation (GDPR) dari Uni Eropa yang begitu ketat dan cermat mengantisipasi masalah data pribadi. 

Dalam menuntut pertanggungjawaban pemilik platform digital, pemerintah Indonesia harus bergerak dari model imunitas luas dan sebagian model kekebalan bersyarat (safe harbour) ke arah model tanggung jawab mutlak (strict liability). Pelindungan data pribadi tidak mungkin diserahkan kepada setiap warga negara secara individual. Pelindungan juga masih kurang efektif jika menggunakan model kekebalan bersyarat seperti praktik notice and take down seperti yang diterapkan Kementerian Kominfo selama ini.

Independensi Lembaga PDP

Pelindungan data pribadi membutuhkan kehadiran negara secara efektif dan konsisten. Karena makin banyak data pribadi yang disimpan dalam format digital, pelindungan membutuhkan penguatan arsitektur teknologi, pasar, sosial, dan hukum. Keempat aspek arsitektur ini hendaknya dirancang secara sistematis untuk saling mendukung dan menyesuaikan diri dengan perkembangan teknologi di masa mendatang.

Dengan makin lengkapnya arsitektur hukum melalui pengesahan UU PDP, bukan berarti perangkat arsitektur yang lain boleh diabaikan. Sejalan dengan prinsip yang dipegang dalam sistem internasional di GDPR, alangkah baiknya jika sistem pelindungan data yang dikembangkan selanjutnya berpegang pada upaya meminimalkan risiko di tingkat individu ataupun risiko kolektif. 

Pelindungan data dengan pendekatan berbasis risiko (risk-based approach to data protection) melalui penegakan peraturan terhadap organisasi yang mengolah data pribadi dan meningkatkan tanggung jawab setiap organisasi dalam melindungi data adalah konsep pokok yang diterima secara internasional (Gelert, 2020). Itulah sebabnya konsep GDPR yang digagas Uni Eropa sudah diadopsi di 28 negara maju yang menghargai privasi dan mengutamakan pelindungan data pribadi. 

Salah satu penyebab berlarut-larutnya pembahasan UU PDP adalah kedudukan lembaga pengawas atau yang dalam wacana internasional disebut data protection authority. Pemerintah berpendapat otoritas pelindungan data pribadi semestinya di bawah kementerian atau menggunakan format lembaga pemerintah non-kementerian (LPNK) dengan pertimbangan bahwa hal ini sepenuhnya urusan pemerintah. Sebaliknya, DPR yang didukung akademikus, asosiasi bisnis, dan lembaga swadaya masyarakat menghendaki posisi di luar pemerintahan untuk menjaga independensi mengingat lembaga tersebut juga harus mengawasi kementerian dan lembaga pemerintah.

Kebocoran data pernah terjadi bukan hanya di institusi swasta dan layanan perusahaan negara seperti Tokopedia, Bukalapak, dan IndiHome, tapi juga di lembaga pemerintah seperti Badan Penyelenggara Jaminan Sosial Kesehatan, e-HAC Kementerian Kesehatan, bahkan Bank Indonesia, Kepolisian RI, dan Badan Intelijen Negara. Jalan tengahnya adalah membuat beleid yang mengatur lembaga yang dimaksud akan bertanggung jawab langsung kepada presiden. Tapi konstruksi UU PDP sebenarnya masih belum jelas mengenai independensi lembaga ini nanti. Pasal 58 hanya menyebutkan penyelenggara pelindungan data pribadi (PPDP) ditetapkan oleh dan bertanggung jawab langsung kepada presiden. Ketentuan lebih lanjut akan diatur dalam peraturan presiden.

Independensi, wilayah otoritas, dan kewenangan lembaga PPDP memang akan sangat menentukan efektivitas pelindungan data. Penunjukan para pejabat yang mengisi lembaga ini oleh pemerintah dalam format LPNK mungkin tidak akan terjamin independensinya. Maka lembaga dengan kepemimpinan kolektif dan diseleksi oleh tim independen akan lebih memenuhi ekspektasi publik. Lembaga non-struktural yang memadukan unsur pemerintah dengan non-pemerintah akan lebih mampu menjamin pelindungan data pribadi secara nasional.

Gagasan Direktorat Jenderal Aplikasi Informatika Kementerian Kominfo pada 2018 menarik dipertimbangkan: lembaga PPDP berbentuk komisi dengan jumlah komisioner sembilan orang, terdiri atas tiga orang pemerintah, tiga dari masyarakat, dan tiga dari unsur industri. Seperti halnya di Komisi Pemberantasan Korupsi, Komisi Pemilihan Umum, atau lembaga non-struktural lain, pemilihan komisioner di PPDP juga harus mementingkan kompetensi, integritas, profesionalisme, dan independensinya.

Literasi dan Pelindungan Data

Euforia ekonomi digital adalah pendorong urgensi UU PDP. Ruang digital dalam sistem ekonomi di Indonesia sedang tumbuh pesat. Saat ini 204,7 juta dari total 275,3 juta penduduk tersambung ke Internet dan sebagian besar adalah pengguna aktif media sosial. Volume ekonomi digital berkembang dari kisaran di bawah US$ 90 miliar menjadi sekitar US$ 124 miliar pada 2024 (Hootsuite, Temasek, 2022).

Masa pandemi yang diprediksi mengurangi volume perdagangan karena pembatasan sosial justru meningkatkan transaksi melalui berbagai platform digital. Tapi perkembangan itu tidak disertai peningkatan kesadaran masyarakat akan risiko yang makin besar terhadap akses data pribadi dalam bentuk digital. Kejahatan yang terjadi akibat akses ilegal makin mengkhawatirkan. Serangan siber dan lalu lintas data makin tidak wajar. Data dari Badan Sandi dan Siber Negara mengungkapkan bahwa anomaly traffic tercatat sekitar 800 juta pada 2020 dan meningkat menjadi 1,6 miliar pada 2021.

Survei menunjukkan, meski masyarakat sudah paham akan apa yang dimaksud data pribadi, pengetahuan mengenai data pribadi umum masih terbatas pada nomor induk kependudukan, nomor ponsel, dan alamat rumah. Pemahaman tentang data lain, seperti alamat surat elektronik, tanggal lahir, nomor pokok wajib pajak, ijazah, dan tempat kerja, masih terbatas.

Data pribadi khusus yang paling banyak diketahui adalah data keuangan/perbankan dan biometri. Sedangkan tingkat pemahaman akan data pribadi khusus seperti nama ibu kandung, anak, rekam medis, lokasi, foto anggota keluarga, riwayat pembelian daring, dan catatan kejahatan masih rendah. Publik juga kurang selektif mengatur akses gawai dan aplikasi yang memungkinkan pencurian data.

Di kalangan perusahaan swasta, meskipun kebanyakan melihat pentingnya pelindungan data, sebagian besar (69,9 persen) belum memiliki sistem manajemen informasi yang memperhitungkan risiko kebocoran data (Kementerian Kominfo, 2021). Masyarakat yang pernah menjadi korban penipuan digital hanya pasrah dan cenderung menjadi fatalis dengan menganggap bahwa itu bagian dari cobaan atau nasib buruk (Novi Kurnia, 2022). Betapa rendahnya literasi digital masyarakat kita.

Dalam tulisannya yang berjudul Consumer Privacy and Data Protection, Daniel Solove dan Paul Schwartz (2021) mengungkapkan bahwa perangkat peraturan untuk melindungi data pribadi oleh negara harus lengkap, yaitu meliputi undang-undang siber, privasi, konsumen, dan lalu lintas informasi. Sebagian besar peraturan itu sudah dimiliki Indonesia. Kini pemerintah bersama semua unsur masyarakat harus memastikan peraturan pelindungan data pribadi itu terlaksana dengan efektif agar membawa manfaat.

Image of Tempo
Image of Tempo
Berlangganan Tempo+ untuk membaca cerita lengkapnyaSudah Berlangganan? Masuk di sini
  • Akses edisi mingguan dari Tahun 1971
  • Akses penuh seluruh artikel Tempo+
  • Baca dengan lebih sedikit gangguan iklan
  • Fitur baca cepat di edisi Mingguan
  • Anda Mendukung Independensi Jurnalisme Tempo
Lihat Benefit Lainnya
Wahyudi Kumorotomo

Wahyudi Kumorotomo

Gurubesar Kebijakan Publik Fakultas Ilmu Sosial dan Ilmu Politik Universitas Gadjah Mada Yogyakarta

Image of Tempo

Baca berita dengan sedikit iklan, klik di sini

Image of Tempo
Logo Tempo
Unduh aplikasi Tempo
download tempo from appstoredownload tempo from playstore
Ikuti Media Sosial Kami
© 2024 Tempo - Hak Cipta Dilindungi Hukum
Beranda Harian Mingguan Tempo Plus