Penyalahgunaan Data Pribadi Meningkat, Perlu Akselerasi Proses Pembahasan RUU Perlindungan Data Pribadi

Siaran Pers

Koalisi Advokasi RUU Perlindungan Data Pribadi

Lembaga Studi dan Advokasi Masyarakat (ELSAM), Imparsial, LBH Pers, LBH Jakarta, ICT Watch, Kelas Muda Digital (Kemudi), Perkumpulan untuk Pemilu dan Demokrasi (Perludem), Southeast Asia Freedom of Expression Network (SafeNet), YAPPIKA-ActionAid, Human Rights Working Group (HRWG), Aliansi Jurnalis Independen (AJI) Indonesia, Aliansi Jurnalis Independen (AJI) Jakarta, Institute for Criminal Justice Reform (ICJR), Indonesian Parliamentary Center (IPC), Perkumpulan Media Lintas Komunitas (MediaLink), Centre for Innovation Policy and Governance (CIPG),  Pusat Kajian Perlindungan Anak (Puskapa) UI, Lakpesdam, Institut Kewarganegaraan Indonesia (IKI)

 

Penyalahgunaan Data Pribadi Meningkat, Perlu Akselerasi Proses Pembahasan RUU Perlindungan Data Pribadi

Setelah tertunda beberapa tahun, akhirnya dalam tahun 2019, pemerintah dan DPR menyepakati untuk memasukan RUU Perlindungan Data Pribadi sebagai salah satu prioritas legislasi nasional yang akan dibahas di tahun ini. Namun demikian, kendati telah ada kesepakatan antara kedua institusi tersebut, pesimisme dan kekhawatiran akan gagalnya proses pembahasan RUU ini telah mengintai semenjak awal. Hal ini mengingat proses penyelenggaraan Pemilu 2019, dan DPR periode ini akan mengakhiri masa jabatannya pada 30 September 2019. Belum lagi berangkat dari catatan rendahnya kinerja legislasi DPR periode ini, setidaknya dalam empat tahun terakhir. Sementara kasus-kasus yang terkait dengan penyalahgunaan atau pun pemindahtanganan data pribadi yang dilakukan dengan semena-mena, nampak kian marak belakangan ini, yang makin merugikan hak-hak warga negara.

Mempertimbangkan situasi tersebut, diperlukan dorongan dan dukungan untuk mengakselerasi proses pembahasan RUU Perlindungan Data Pribadi, agar dapat diselesaikan bersamaan dengan berakhirnya masa jabatan DPR periode ini. Selain pertimbangan tersebut, kebutuhan untuk mempercepat proses pembahasan RUU ini juga dipicu oleh sejumlah faktor berikut: (i) Keharusan Indonesia untuk memiliki aturan perlindungan data pribadi yang setara dengan negara-negara di kawasan. Sebagai informasi, Malaysia telah mengesahkan aturan data privasi pada 2010, Singapura pada 2011, Filipina pada 2013, Laos pada 2017, dan terakhir Thailand pada Maret 2019; (ii) belakangan juga muncul dugaan adanya eksploitasi data pribadi, baik dalam konteks pengembangan bisnis, maupun sejumlah insiden kebocoran data pribadi pengguna; (iii) keterlibatan Indonesia dalam sejumlah negosiasi perjanjian dagang, baik PTA, RCEP, maupun CEPA, yang mulai membicarakan sektor e-commerce, juga memaksa pemerintah Indonesia untuk segera memperbaiki aturan perlindungan datanya di dalam negeri; dan (iv) mulai berlaku mengikatnya EU GDPR pada 25 Mei 2018 juga telah berdampak besar bagi perusahaan-perusahaan Indonesia di berbagai sektor, termasuk transportasi, e-commerce, perhotelan, maupun sektor lainnya yang melakukan praktik pengumpulan data pribadi.

Kebutuhan UU Perlindungan Data Pribadi yang komprehensif juga sejalan dengan sejumlah perkembangan aktual, yang terkait erat dengan praktik pengumpulan data pribadi, baik oleh institusi pemerintah maupun swasta. Dalam lingkup pemerintah misalnya, pengembangan sistem identitas kependudukan tunggal, yang bertumpu pada e-KTP, telah menempatkan pemerintah sebagai pengelola data pribadi yang sangat besar jumlah dan variannya. Belum lagi pasca-sinkronisasi dengan nomor ponsel tiap-tiap penduduk, yang terlembaga melalui kebijakan registrasi SIM Card, yang menjadikan pemerintah sebagai pengontrol data pribadi terbesar. Pengembangan kota pintar (smart city) di berbagai daerah, juga telah mendorong pengumpulan data pribadi dalam skala besar, khususnya dengan pemasangan ribuan CCTV yang sebagian diantaranya telah dilengkapi dengan teknologi pengenalan wajah (face recognition).

Potensi penyalahgunaan data pribadi juga meningkat, akibat mudahnya akses terhadap NIK (Nomor Induk Kependudukan) dan sejumlah item data pribadi lainnya, yang berasal dari Data Pemilih Tetap (DPT) yang dirilis oleh Komisi Pemilihan Umum (KPU) secara daring. DPT dibuat berdasarkan pada database kependudukan yang mengacu pada mereka yang telah memiliki e-KTP, artinya data-data ini juga mengandung konten data pribadi. Pada sisi lain DPT merupakan data terbuka, yang bisa diakses oleh siapapun, guna menjamin pelaksanaan pemilu yang fair dan akuntabel. Kontradiksi kemudian muncul, UU Adminduk menyebutkan konten data yang ada dalam daftar pemilih adalah bagian dari data pribadi yang harus dilindungi, dan hanya bisa diakses oleh otoritas pemerintah untuk sejumlah keperluan, sementara UU Pemilu mengatakan Partai Politik bisa mengakses secara utuh data pemilih.

Belakangan juga menyeruak masalah yang terkait dengan data-data pribadi yang dikumpulkan oleh swasta, khususnya perusahaan yang berbasis teknologi informasi dan komunikasi. Misalnya pengungkapan data pribadi pengguna platform financial technology (fintech) yang berbasis peer to peer lending. Mulanya perusahaan penyedia platform mengakses data-data pribadi yang ada di ponsel pengguna, seperti foto dan nomor kontak yang tersimpan, dengan alasan untuk melakukan credit scoring atau penilaian yang menentukan kelayakan pinjaman yang dapat diberikan. Namun praktiknya, data yang diakses tersebut justru digunakan untuk proses penagihan, yang dilakukan oleh pihak ketiga, yang tidak terkait dalam perjanjian pengumpulan data. Selain itu, debt collector (pihak ketiga) dalam penagihannya, juga kerap melakukan penyebaran data pribadi pengguna, yang berupa transaksi keuangan dan foto dari pengguna kepada kontak-kontak atau kerabat yang ditemukan dari ponsel kreditur tanpa seizin dari pemilik data. Tidak sedikit pula model penagihan tersebut dilakukan dengan bentuk kekerasan berupa ancaman penyebaran foto pribadi. Sepanjang tahun 2018, Kominfo sendiri mengatakan telah memblokir 738 fintech illegal, umumnya mereka tidak memenuhi persyaratan yang ditentukan oleh Otoritas Jasa Keuangan (OJK), dan kerap melakukan penyalahgunaan data pribadi penggunanya.

Ancaman kebocoran data pribadi juga kian mengemuka dengan kian berkembangnya sektor e-commerce di Indonesia, seperti kasus peretasan terhadap data-data pribadi pengguna sejumlah platform e-commerce. Mengacu pada term of services sejumlah e-commerce di Indonesia, mereka mengumpulkan data pribadi konsumen antara lain: nama, NIK, alamat, alamat email, nomor telepon, sebagian/potongan data dari anggota tubuh (data biometrik). Sayangnya, sampai sekarang belum ada standarisasi prinsip perlindungan data, yang menyebabkan minimnya pengakuan terhadap right of data subject. Studi ELSAM (2018), terhadap 10 perusahaan berbasis teknologi informasi dan komunikasi menemukan sejumlah temuan perihal kesenjangan antara kebijakan privasi dan term of services dari tiap-tiap platform, dengan prinsip-prinsip perlindungan data pribadi. Belum adanya UU Perlindungan Data Pribadi menjadi alasan utama mereka belum selarasnya aturan internal dengan aturan perlindungan data, selain juga masalah rendahnya pemahaman perusahaan mengenai konsep privasi dan perlindungan data pribadi.

Problem mendasar yang memicu rentannya penyalahgunaan data pribadi di Indonesia, sebagaimana terekam dalam sejumlah praktik di atas, adalah masih centang-perenangnya peraturan perundang-undangan yang terkait dengan data pribadi. Studi ELSAM (2016) mengidentifikasi sedikitnya terdapat 30 undang-undang, yang memiliki keterkaitan dengan data pribadi, dengan prinsip dan rumusan yang berbeda-beda. Akibatnya ada kekaburan istilah dan ruang lingkup data pribadi yang harus dilindungi, selain masalah tumpang tindih yang terkait dengan: (a) tujuan pengolahan data pribadi; (b) notifikasi atau persetujuan dari pemilik data pribadi; (c) rentan waktu retensi data pribadi; (d) penghancuran, penghapusan atau pengubahan data pribadi; (e) tujuan pembukaan data pribadi kepada pihak ketiga; (f) pemberi izin untuk membuka data pribadi kepada pihak ketiga; (g) jangka waktu data pribadi dapat dibuka kepada pihak ketiga; (h) sanksi bagi pelanggar perlindungan data pribadi; (i) mekanisme pemulihan bagi korban yang hak privasinya dilanggar; dan (j) otoritas regulator yang memastikan pengawasan dalam perlindungan data pribadi.

Mengacu pada EU General Data Protection Regulation (GDPR), data pribadi adalah suatu informasi yang teridentifikasi atau dapat diidentifikasi menyangkut pribadi seseorang. Misalnya nama dan nomor ponsel, nama dan alamat, alamat email, nomor kartu identitas. Bahkan pada perkembangannya, internet protocol (IP) address, cookie ID, advertising ID pada ponsel, data yang dimiliki oleh rumah sakit atau dokter yang dapat secara unik mengidentifikasi seseorang. Kaburnya konsep data pribadi tentu menyebabkan tidak optimalnya jaminan perlindungan atas hak subjek data. Secara konseptual, hak atas subjek data adalah hak individu untuk mengakses (data pribadinya); hak menghapus; hak memperbaiki; hak terkait dengan pembuatan profil dan pengambilan keputusan otomatis; portabilitas data; pemulihan efektif dan kompensasi. Dengan adanya jaminan perlindungan hak terhadap subjek data, maka akan meningkatkan kewajiban-kewajiban dari pengendali (controller) dan pemroses (processor) data, juga pihak ketiga yang menggunakan.

Menyikapi perkembangan dan sejumlah permasalahan di atas, diperlukan suatu aturan perlindungan data yang komprehensif, yang mampu menjawab centang-perenangnya regulasi data, yang berakibat pada rentannya perlindungan data pribadi. Aturan perlindungan data pribadi yang komprehensif ini akan menjadi langkah penting untuk menyudahi maraknya penyalahgunaan data pribadi. Oleh karenanya penting bagi pemerintah dan DPR untuk segera memulai proses pembahasan RUU Perlindungan Data Pribadi. Dalam rangka akselerasi proses tersebut, Koalisi Advokasi RUU Perlindungan Data Pribadi menekankan:

  1. Pemerintah segera merampungkan proses di internal pemerintah dan melimpahkan RUU Perlindungan Data Pribadi ke DPR, sehingga dapat dibahas dan disahkan pada periode DPR 2014-2019 ini;
  2. Mengingat centang-perenangnya aturan perlindungan data pribadi saat ini, pemerintah harus memastikan sinkronisasi dan harmonisasi keseluruhan aturan yang ada, dengan mengacu pada prinsip-prinsip perlindungan data pribadi dalam perumusan undang-undang. Rumusan RUU harus mengakomodasi materi-materi terkait dengan kejelasan definisi dan ruang lingkup data pribadi; prinsip-prinsip perlindungan data; hak dari subjek data; pemrosesan data pribadi, termasuk di dalamnya transfer data; kewajiban pengontrol dan pemroses data; independent regulatory and supervisory authority; dan aturan yang terkait dengan pemulihan.
  3. Merespon maraknya dugaan praktik penyalahgunaan data pribadi, penegak hukum perlu memaksimalkan hukum positif yang ada, terhadap kasus-kasus yang terjadi, sebagai bentuk perlindungan terhadap hak-hak individu;
  4. Pemerintah mengambil peran kunci dalam menumbuhkembangkan kesadaran publik, untuk melindungi data-data pribadinya, khususnya dalam penggunaan teknologi informasi dan komunikasi, yang telah menjadi bagian tak-terpisahkan dalam kehidupan masyarakat sehari-hari;
  5. Pentingnya komitmen DPR dan fraksi-fraksi yang ada di dalamnya, untuk memastikan terselenggaranya proses pembahasan RUU Perlindungan Data Pribadi, sepanjang sisa waktu periode jabatan DPR 2014-2019.

Jakarta, 15 Mei 2019

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Deputi Direktur Riset ELSAM), telepon: 081382083993, atau Lintang Setianti (Peneliti ELSAM), telepon: 085711624684.