PINTER HUKUM
#1 Platform for Legal Education and Consulting • Penyedia Layanan Jasa Hukum Terlengkap dan Terpercaya di Indonesia
MasukDaftar
Beranda Opini Loopholes Perlindungan Data Pribadi: Kekosongan dan Ketidakpastian Hukum Perlindungan Data Pribadi di tengah Maraknya Kasus Kebocoran Data
Opini  

Loopholes Perlindungan Data Pribadi: Kekosongan dan Ketidakpastian Hukum Perlindungan Data Pribadi di tengah Maraknya Kasus Kebocoran Data

PINTER HUKUM

Dalam beberapa tahun terakhir, Indonesia telah mengalami serangkaian kasus kebocoran data pribadi yang melibatkan berbagai institusi dan platform digital, mengakibatkan tereksposnya informasi sensitif milik jutaan warga. Pada tahun 2021, terjadi kebocoran data BPJS Kesehatan yang mencakup data pribadi 279 juta peserta, termasuk nama lengkap, alamat, nomor telepon, dan riwayat kesehatan, yang kemudian diduga diperjualbelikan di forum internet gelap (dark web). Kasus lain termasuk kebocoran data Tokopedia pada Mei 2020, yang berdampak pada 91 juta pengguna, serta kebocoran data KreditPlus pada November 2020 yang mempengaruhi 2 juta pelanggan.

Platform e-commerce Bukalapak juga mengalami kebocoran data pada Maret 2021 yang melibatkan 13 juta pengguna, sementara Bhineka.com mengalami kasus serupa pada September 2021, mempengaruhi 1,2 juta pengguna. Pada Agustus 2022, penyedia layanan internet IndiHome melaporkan kebocoran data pelanggan, termasuk riwayat browsing dan nomor induk kependudukan (NIK). Pada bulan berikutnya, peretas Bjorka mengklaim telah membobol data 105 juta pemilih dari situs web Komisi Pemilihan Umum (KPU). Desember 2023 menyaksikan kebocoran data di Bank Syariah Indonesia (BSI) yang berdampak pada jutaan nasabah. Selain itu, pada November 2022, Kementerian Komunikasi dan Informatika (Kominfo) mengidentifikasi kebocoran data di platform seperti Carousell, MyPertamina, PeduliLindungi, Lazada, dan Mobile Legends, yang melibatkan informasi pribadi pengguna. Yang terbaru, pada Juni 2024, Pusat Data Nasional Sementara (PDNS) dilaporkan menjadi korban serangan ransomware oleh grup Brain Chiper, mengunci data dari 282 kementerian/lembaga, dengan rincian data yang bocor masih belum diketahui. Rentetan insiden ini menunjukkan masih banyaknya loopholes atau celah hukum dalam perlindungan data pribadi yang diakibatkan oleh kekosongan dan ketidakpastian hukum perlindungan data pribadi di Indonesia. 

Baca Juga:Pengaruh Teknologi FinTech terhadap Hukum Perdata: Tantangan Regulasi dan Perlindungan Konsumen

Urgensi Perlindungan Data Pribadi

Seiring berkembangnya teknologi, informasi dan komunikasi mempercepat distribusi informasi dan data. Adapun awalnya internet hanya bisa menyajikan informasi satu arah (terbatas pada mempublikasi informasi saja), sekarang berkembang menjadi sarana untuk berkomunikasi dua arah yang tidak dibatasi oleh wilayah dan waktu, serta internet telah menjadi sarana untuk bertransaksi. Perkembangan ini berakibat informasi menjadi mudah untuk diakses dan dibagi. Salah satu hal yang menjadi krusial dalam perkembangan ini ialah data pribadi yang menjadi privasi setiap orang, serta menjadi Hak Asasi Manusia (HAM) yang telah diatur dalam hukum internasional sebagaimana yang termuat dalam beberapa instrumen internasional sebagai berikut:

  • Deklarasi Universal Hak Asasi Manusia (Universal Declaration of Human Rights) tahun 1948 
  • Kovenan Internasional tentang Hak-Hak Sipil dan Politik (International Covenant on Civil and Political Rights) tahun 1966 
  • Konvensi Eropa tentang Perlindungan Hak-Hak Asasi Manusia dan Kebebasan-Kebebasan Dasar (European Convention for the Protection of Human Rights and Fundamental Freedoms) tahun 1950 
  • Konvensi Amerika tentang Hak-Hak Asasi Manusia (American Convention on Human Rights) tahun 1979
  • Deklarasi Kairo tentang Hak-Hak Asasi Manusia dalam Islam (Cairo Declaration of Islamic Human Rights) tahun 1990

Dalam beberapa instrumen internasional diatas mengatur bahwa hak privasi merupakan HAM yang harus dilindungi, adapun akibatnya ialah perlindungan data yang menjadi salah satu bagian yang melekat sebagai privasi yang dimiliki oleh setiap orang wajib untuk dilindungi. Dalam hal ini penulis berpandangan bahwa perlindungan data merupakan HAM yang fundamental yang menjadi hak konstitusional yang wajib dilindungi atau sebagai habeas data dimana seseorang memiliki hak untuk menerima pengamanan terhadap datanya serta mendapatkan hak untuk mengakses, memperbarui, memperbaiki, dan menghapus data pribadi mereka yang telah dikumpulkan oleh pihak ketiga dan disimpan dalam basis data.

Namun, dalam praktiknya sangat banyak penyalahgunaan data pribadi sebagaimana yang penulis sebutkan beberapa kasus kebocoran data pribadi sebelumnya. Adapun dalam lingkup yang lebih luas terdapat beberapa pelanggaran data pribadi yang biasanya terjadi di beberapa sektor, diantaranya:

  • Perbankan: Pertukaran data pribadi nasabah sering terjadi melalui sistem berbagi informasi antara card center dan informasi termasuk transaksi kartu kredit diungkap kepada pihak ketiga atau dijual di antara bank atau pihak ketiga lainnya seperti individu atau perusahaan pengumpul data. 
  • Kesehatan: Data pasien diperjualbelikan atau diungkapkan untuk keperluan asuransi, peluang kerja, atau untuk mendapatkan bantuan pemerintah tanpa persetujuan pasien. 
  • Transportasi Online: Data telepon konsumen digunakan tidak sesuai dengan tujuan awal pengumpulannya dan data tersebut digunakan untuk mengancam konsumen akibat penilaian buruk dari penumpang atau mengganggu konsumen dengan pesan-pesan pribadi yang tidak berhubungan dengan layanan transportasi online. 
  • Belanja Daring (Online Marketplace): Penggunaan teknologi cookies dapat memanfaatkan data pribadi konsumen, termasuk pelacakan transaksi daring yang mencakup preferensi belanja, lokasi belanja, data komunikasi, hingga alamat konsumen.

Berdasarkan beberapa hal ini maka penulis berpendapat bahwa data pribadi merupakan “new oil” diera digital saat ini yang dapat disalahgunakan demi keuntungan pihak yang tidak bertanggungjawab. Berdasarkan hal ini maka diperlukan instrumen hukum khusus yang mengatur mengenai perlindungan data pribadi yang saat ini peraturan di Indonesia belum mengatur mengenai hal ini sehingga terjadi kekosongan dan ketidakpastian hukum terhadap perlindungan data pribadi.

Perbandingan Perlindungan Data Pribadi di kawasan Asia

Adapun negara lain di kawasan asia telah memiliki instrumen hukum mengenai jaminan perlindungan data pribadi warga negaranya, diantaranya:

  1. Ordinansi Privasi Data Pribadi 1995 (PDPO) di Hong Kong adalah peraturan hukum pertama yang secara menyeluruh mengatur privasi data di Asia. Selama 18 tahun pelaksanaannya, undang-undang ini diawasi oleh Privacy Commissioner for Personal Data (PCPD), lembaga yang bertanggung jawab atas perlindungan privasi data di Hong Kong. Selain itu, PDPO juga mewajibkan pembentukan Komisioner Privasi Data Pribadi sebagai badan independen dengan tugas luas, termasuk mengawasi dan menyosialisasikan kepatuhan terhadap PDPO, meningkatkan kesadaran publik tentang undang-undang ini, menilai legislasi baru agar tidak mengancam privasi individu, melakukan pemeriksaan terhadap sistem pengelolaan data pribadi, serta melakukan penelitian mengenai privasi. Keunikan dari perlindungan data pribadi di bawah PDPO terletak pada penerapan prinsip keterbukaan, yang menekankan bahwa setiap individu, bukan hanya subjek data, harus memiliki akses dan pemahaman yang jelas mengenai kebijakan dan praktik pengelolaan data pribadi oleh “Data User.” Ini mencakup informasi tentang jenis data pribadi yang dikumpulkan, disimpan, dan tujuannya. Di Hong Kong, organisasi dan entitas hukum diwajibkan untuk mempublikasikan Kebijakan Privasi mereka kepada publik, dan kegagalan untuk melakukannya dianggap sebagai pelanggaran terhadap prinsip keterbukaan. Jika terjadi pelanggaran, Komisioner memiliki wewenang untuk mengeluarkan surat teguran (enforcement notice) sebagai bentuk penegakan hukum. 
  2. Undang-Undang Perlindungan Data Pribadi No. 709 Tahun 2010 (PDPA Malaysia) adalah peraturan hukum yang mengatur perlindungan data pribadi di Malaysia, mencakup tujuh prinsip utama yaitu: prinsip pengolahan berdasarkan persetujuan, pemberitahuan dan pilihan, pengungkapan, keamanan, serta integritas data (retensi dan akses). Komisi Perlindungan Data Pribadi Malaysia, atau Personal Data Protection Commissioner, memiliki wewenang untuk mencabut pendaftaran pengguna data jika ditemukan pelanggaran terhadap ketentuan PDPA Malaysia, ketidakpatuhan terhadap persyaratan pendaftaran, informasi palsu, atau penghentian pemrosesan data. Keunikan dari PDPA Malaysia adalah penerapan Prinsip Retensi Data dan Hak untuk Memblokir Pemrosesan, di mana data pribadi tidak boleh disimpan lebih lama dari yang diperlukan setelah tujuan sah tercapai, dan pengguna data harus memastikan data dihancurkan atau dimusnahkan secara permanen sesuai standar yang ditetapkan oleh Komisioner. Subjek data memiliki hak untuk menarik persetujuan pengolahan data kapan saja, dan pengguna data wajib mematuhi permintaan ini. Selain itu, subjek data dapat meminta penghentian atau pelarangan pengolahan data jika pengolahan tersebut dapat menyebabkan kerugian substansial atau tekanan. 
  3. Undang-Undang Perlindungan Informasi Pribadi (PIPA) 2011 adalah peraturan hukum yang mengatur perlindungan data pribadi di Korea Selatan, termasuk pembentukan komisi perlindungan data pribadi yang disebut Personal Information Protection Commission (PIPC). Berdasarkan Pasal 7 PIPA Korea Selatan, PIPC dibentuk untuk menangani dan menyelesaikan permasalahan terkait perlindungan data. Komisi ini terdiri dari lima belas komisioner yang dipilih oleh Presiden. PIPC memiliki berbagai fungsi, termasuk merancang dan menyelesaikan pelaksanaan rencana dasar dan rencana pelaksanaan yang diatur dalam PIPA Korea Selatan, memperbaiki kebijakan, sistem, dan peraturan terkait perlindungan data, serta mengoordinasikan posisi institusi publik dalam pengelolaan data pribadi. Salah satu keunikan dari prinsip perlindungan data di Korea Selatan adalah adanya upaya untuk mengelola data pribadi tanpa menyertakan nama subjek data, jika memungkinkan, sebagai langkah tambahan untuk melindungi privasi individu.

Baca Juga: PERLINDUNGAN HUKUM TERHADAP NASABAH DALAM TRANSAKSI PERBANKAN

Penulis berpandangan bahwa Indonesia sangatlah amat jauh tertinggal dalam masalah jaminan perlindungan data pribadi warga negaranya, hal ini menggambarkan bahwa hukum di Indonesia tidak progresif karena tidak bisa mengikuti perkembangan zaman dan kebutuhan masyarakat saat ini.

Masalah Perlindungan Data Pribadi di Indonesia

Indonesia telah mengadopsi Deklarasi Universal Hak Asasi Manusia ke dalam konstitusinya, khususnya pada Pasal 28G ayat (1), yang mengatur bahwa “setiap individu berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, serta harta benda yang berada dalam kekuasaannya, dan berhak atas rasa aman serta perlindungan dari ancaman ketakutan untuk melakukan atau tidak melakukan sesuatu yang merupakan hak asasi”. Sebagai tindak lanjut dari pasal ini maka dibentuk beberapa peraturan, yaitu Undang-Undang Nomor 1 Tahun 2024 yang merupakan perubahan kedua dari Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE), Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/2019), serta Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo 20/2016). Namun, ketiga peraturan tersebut dinilai belum memberikan kepastian hukum yang memadai mengenai perlindungan data pribadi di Indonesia. UU ITE, misalnya, tidak mendefinisikan data pribadi secara jelas, dan lingkup perlindungannya hanya mencakup data yang diperoleh melalui sistem elektronik sebagaimana diatur dalam Pasal 26 UU ITE. PP 71/2019 sebagai aturan pelaksana memberikan tanggung jawab kepada penyelenggara sistem elektronik untuk melindungi data pribadi, namun tidak menjelaskan dasar perlindungan secara terperinci. Permenkominfo 20/2016 memang mencakup ruang lingkup perlindungan data pribadi dari perolehan, pengumpulan, pengolahan, analisis, penyimpanan, penyajian, pengumuman, pengiriman, penyebarluasan, hingga pemusnahan data pribadi, tetapi ketidakjelasan dalam definisi dan ruang lingkup perlindungan menunjukkan perlunya pengaturan yang lebih komprehensif.

Selain itu, di tengah ketidakpastian serta kekosongan hukum terhadap perlindungan data pribadi di Indonesia menurut penulis terjadi suatu “ironi” dimana masyarakat diwajibkan memberikan data pribadinya sebagai syarat administrasi birokrasi di Indonesia. Dalam hal ini hak-hak subjek data pribadi sebagaimana diatur dalam Pasal 8, Pasal 9, Pasal 10 ayat (1), Pasal 11, dan Pasal 13 ayat (1) dan ayat (2) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) dapat dikecualikan dalam beberapa kondisi tertentu, yakni “untuk kepentingan pertahanan dan keamanan nasional, yang mencakup upaya menjaga kedaulatan dan integritas negara dari ancaman luar dan dalam. Selain itu, pengecualian juga diberikan untuk kepentingan proses penegakan hukum, di mana data pribadi dapat diakses dan digunakan untuk mendukung investigasi dan penuntutan tindak pidana. Kepentingan umum dalam rangka penyelenggaraan negara, termasuk untuk memastikan kelancaran fungsi-fungsi pemerintahan, juga menjadi alasan yang sah untuk pengecualian ini. Selain itu, pengecualian berlaku untuk kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan, yang merupakan bagian dari tugas penyelenggaraan negara untuk menjaga stabilitas ekonomi. Terakhir, pengecualian juga diberikan untuk kepentingan statistik dan penelitian ilmiah, di mana data pribadi dapat digunakan untuk tujuan analisis yang tidak mengidentifikasi individu secara spesifik, sehingga mendukung pengembangan pengetahuan dan kebijakan public”. Penulis berpandangan hal ini menjadi ironi dimana masyarakat diwajibkan menyerahkan data pribadinya kepada negara namun negara tidak memberikan kepastian hukum mengenai jaminan terjaganya data pribadi yang diserahkan.

Kekosongan hukum menurut penulis juga terjadi karena terdapat ketidakpastian terkait berlakunya UU PDP. Dalam hal ini terdapat dua pandangan yakni pertama beberapa ahli berpendapat bahwa UU PDP sudah berlaku sejak diundangkan pada 17 Oktober 2022, sedangkan pendapat ahli yang lain menyebutkan bahwa UU PDP ini belum bisa digunakan dalam kasus kebocoran data pribadi karena masih dalam grace period (masa tenggang) sebagaimana disebutkan dalam Pasal 74 UU PDP. 

Selain itu, UU PDP menjelaskan bahwa apabila terjadi kebocoran data pribadi maka pengendali data “hanya” perlu mempublikasikan pemberitahuan tertulis maksimal 3×24 jam yang memuat data pribadi yang terungkap, kapan dan bagaimana data tersebut bocor, apabila pengendali data tidak memberitahukan tertulis kebocoran data maka pengendali data dikenakan sanksi administratif paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Lebih lanjut pada Pasal 12 UU PDP menjelaskan bahwa pemilik data pribadi berhak mengajukan gugatan dan memperoleh kompensasi atas pelanggaran dalam pengolahan data pribadinya, sesuai dengan ketentuan yang berlaku dalam peraturan perundang-undangan. Ketentuan lebih lanjut mengenai pelanggaran dalam pengolahan data pribadi dan tata cara pemberian kompensasi diatur dalam peraturan pemerintah. Namun, hingga tulisan ini diterbitkan, peraturan pemerintah yang dimaksud belum diundangkan.

Berdasarkan beberapa penjelasan diatas maka penulis berpandang masing banyak kekosongan hukum yang mengikabatkan ketidakpastian hukum terhadap perlindungan data pribadi di Indonesia.

Baca Juga: Perlindungan Negara Terhadap Keamanan Nasional Ditinjau dari Hukum Internasional Studi Kasus Penyadapan Indonesia oleh Australia

Kesimpulan

Dalam beberapa tahun terakhir, Indonesia telah menghadapi berbagai kasus kebocoran data pribadi yang signifikan, menunjukkan adanya kekosongan dan ketidakpastian hukum dalam perlindungan data pribadi. Kasus-kasus seperti kebocoran data BPJS Kesehatan, Tokopedia, dan Bank Syariah Indonesia menyoroti celah hukum yang ada, dimana data pribadi warga negara seringkali terekspos tanpa adanya perlindungan yang memadai. Sementara beberapa negara di Asia seperti Hong Kong, Malaysia, dan Korea Selatan telah mengadopsi undang-undang yang kuat dan komprehensif dalam melindungi data pribadi warganya, Indonesia masih tertinggal dalam menyediakan kerangka hukum yang memadai. Perlindungan data pribadi merupakan hak asasi manusia yang fundamental dan harus dijamin oleh negara, namun hingga saat ini, belum ada instrumen hukum yang efektif di Indonesia untuk menangani pelanggaran tersebut secara memadai. Hal ini diperparah dengan belum diundangkannya peraturan pemerintah yang mendetail tentang pelanggaran pemrosesan data pribadi dan tata cara pengenaan kompensasi, menambah ketidakpastian bagi pemilik data pribadi yang menjadi korban. Situasi ini mencerminkan urgensi untuk membentuk Undang-Undang Payung (umbrella act) mengenai perlindungan data pribadi di Indonesia guna menjamin keamanan dan privasi setiap individu dalam era digital saat ini serta mengharmonisasi peraturan mengenai perlindungan data pribadi karena penulis menilai banyak aturan yang telah ada hanya bersifat sektoral saja. Penulis memberikan saran kepada pemerintah selain memperkuat regulasi diperlukan pembentukan komisi independen perlindungan data pribadi nasional sebagaimana yang telah diadopsi di Hongkong, Malaysia, dan Singapura. Komisi ini dapat memberikan kepastian hukum dimana komisi ini dapat menentukan sanksi terhadap kebocoran data pribadi secara objektif dengan menilai fakta kebocoran yang terjadi.

Referensi

Undang-Undang Nomor 1 Tahun 2024 yang merupakan perubahan kedua dari Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.

Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

Ordinansi Privasi Data Pribadi 1995 (PDPO Hong Kong).

Undang-Undang Perlindungan Data Pribadi No. 709 Tahun 2010 (PDPA Malaysia).

Undang-Undang Perlindungan Informasi Pribadi (PIPA Korea).

Achmad Firdaus, Kasus Kebocoran Data Pribadi di Indonesia: 10 Kejadian Terbesar yang Perlu Diketahui, medcom.id, (Diakses pada 30 Juli 2024).

Berenice Fernandez Nieto, Habeas Data and Personal Data Protection in Latin America, Data-Pop Alliance.org, (Diakses pada 31 Juli 2024).

David Christian, UU PDP: Landasan Hukum Pelindungan Data Pribadi, hukumonline.com, (Diakses 30 Juli 2024).

Mochamad Januar Rizki, Begini Seluk Beluk Pelindungan Data Pribadi dalam UU PDP, hukumonline.com, (Diakses pada 30 Juli 2024).

Nafiatul Munawaroh, Tanggung Jawab Pemerintah atas Kebocoran Data Pribadi, hukumonline.com, (Diakses pada 31 Juli 2024).

Niffari, H., “Perlindungan Data Pribadi Sebagai Bagian Dari Hak Asasi Manusia Atas Perlindungan Diri Pribadi (Suatu Tinjauan Komparatif Dengan Peraturan Perundang-Undangan Di Negara Lain)”, Jurnal Yuridis, No. 1, Vol. 6, 2020.

Nurhidayati, N., Sugiyah, S., & Yuliantari, K., “Pengaturan perlindungan data pribadi dalam penggunaan aplikasi Pedulilindungi”, Jurnal Khatulistiwa Informatika, No. 1, Vol. 5, 2021.

Rizal, M. S., “Perbandingan Perlindungan Data Pribadi Indonesia dan Malaysia”, Jurnal Cakrawala Hukum”, No. 2, Vol. 10,2019.

Yuniarti, S., “Perlindungan hukum data pribadi di Indonesia”, Business Economic, Communication, and Social Sciences Journal (BECOSS), No. 1, Vol. 1, 2019.

 

Pengunjung: 71
Komentar

Baca Juga

KODE ETIK KEPOLISIAN
Hukum Positif Indonesia dalam Teori “ Hukum Merupakan Kehendak Etis Umum “ Dari J.J.Rousseau.
Kapitalisme sebagai Agama Baru: Menyembah Pasar, Mengorbankan Manusia
Rakyat Diadili, Perwira Dilindungi: Ironi Hukum Dua Wajah
Kriminalisasi Masyarakat Adat dan Hak Asasi Manusia
Kriminalisasi terhadap Komunitas Gay di Aceh
Pengadaan Tanah untuk Kepentingan Umum, Modus Perampasan Tanah Rakyat?
RUU Masyarakat Adat Digantung: DPR Mempertimbangkan Atau Melupakan?
Cerdas Secara Finansial, Strategi Investasi Pasar Modal bagi Generasi Muda di Indonesia
Kotak Kosong dan Matinya Demokrasi
Mengurai Benang Kusut Pungli di Dunia Pendidikan
Pertambangan Untuk Ekonomi Berkelanjutan; Runyam dan Menyiksa

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *