ELSAM Kritisi Rancangan Peraturan Kementerian Kominfo Tentang Perlindungan Data Pribadi

Jum’at, 31 Juli 2015

Dalam arus deras perkembangan teknologi yang sangat singkat dan cepat, peredaran data pribadi juga masuk dalam ranah digital terutama dengan pemanfaatan internet. Sedangkan perlindungan data pribadi belum diatur secara jelas dalam sistem hukum di Indonesia. Sehingga masyarakat menjadi kehilangan kendali atas data pribadi mereka sendiri dan menjadikan perlindungan data pribadi sebagai persoalan yang nyata dan aktual. Usaha pemerintah Indonesia untuk membuat payung hukum perlindungan data pribadi dirumuskan dalam bentuk Peraturan Pemerintah Kementerian Komunikasi dan Informatika (Kominfo).

Dalam menindaklanjuti siaran pers Kementerian Komunikasi dan Informatika (Kominfo )mengenai uji publik mengenai Rancangan Peraturan Menteri Kominfo tentang Perlindungan Data Pribadi dalam Sistem Elektronik pada tanggal 14 Juli 2015, Lembaga Studi dan Advokasi Masyarakat mengkritisi RPM tersebut dengan memberikan beberapa poin tanggapan beserta rekomendasi atas Rancangan Peraturan Menteri tersebut, yaitu:

I. Perlindungan Data Pribadi Merupakan Bagian dari Jaminan Hak Atas Privasi

Perlindungan Data Pribadi merupakan bagian dari Hak Atas Privasi yang diatur dalam sejumlah konsensus internasional dan Undang-Undang Dasar 1945 Pasal 26G ayat (1), maka memerlukan legitimasi hukum setingkat Undang-undang. Selain itu, konsekuensi lain yang akan muncul adalah mengenai kapasitas Kementerian Kominfo yang melampaui kewenangannya dalam mengatur perlindungan data pribadi, mengingat keberadaan data pribadi tersebar beberapa kementrian atau lembaga tidak hanya Kementrian Kominfo.

Oleh sebab itu Elsam merekomendasikan pemerintah untuk membentuk regulasi yang mengatur perlindungan data pribadi perlu dirumuskan dalam bentuk Undang-Undang yang mengatur pula mengenai badan otoritas pengawas penggunaan data pribadi. Selain itu, perlu dilakukannya penyelarasan rumusan cakupan Peraturan Menteri dengan batasan standar pembatasan yang berkaitan dengan UUD 1945, UU No. 39 Tahun 1999 dan UU no. 12 Tahun 2005.

II. RPM PDPSE Tidak Mengatur Detil Kriteria Data Pribadi yang Dapat Diakses, Khususnya oleh Aparat Penegak Hukum

Pada dasarnya setiap data tentang seseorang adalah rahasia kecuali pemilik data menyatakan sebaliknya dengan sepengetahuan dan persetujuannya. Demi kepentingan hukum, data pribadi dapat diakses sepanjang dalam proporsi dan kebutuhan yang relevan dengan tujuan pengaksesan. Dalam hukum positif Indonesia ditemukan sejumlah peraturan kelembagaan yang memiliki kewenangan melakukan penyadapan untuk mengakses informasi seseorang demi kepentingan penegakkan hukum. Akan tetapi, tidak ada pola pengaturan tunggal di berbagai perundang-undangan sehingga menimbulkan kerentanan tindakan pengaksesan yang sewenang-wenang dari institusi penegak hukum.

Dengan demikian, pembuat regulasi harus memperluas dimensi pengaturan mengenai pengaksesan data pribadi dengan merumuskan ketentuan kriteria batas data pribadi yang dapat digunakan untuk kepentingan data pribadi, yang hanya dapat diatur dalam bentuk undang-undang.

III. RPM PDPSE Belum Memiliki Rumusan Pengaturan Ihwal Mekanisme Pemulihan Hak Warga Negara yang Dilanggar

Perlindungan terhadap kerahasiaan data pribadi seseorang tidak cukup hanya diwujudkan lewat mekanisme ancaman sanksi administratif untuk mencegah pengaksesan yang melampaui dari apa yang dibolehkan oleh hukum hak asasi manusia. Pasal‐pasal kuratif (gugatan, upaya hukum, dll.) juga harus memiliki semangat pemulihan kembali (remedy) hak asasi warga negara yang telah gagal dilindungi. Sedangkan dalam RPM PDPSE ini, hanya memberikan kerangka prosedur pengaduan warga negara yang data pribadinya diakses dengan melampaui hukum tanpa pertimbangan adanya mekanisme pemulihan hak oleh pihak yang diadukan. Bentuk sanksi administrasi dan perdata belum cukup untuk mewujudkan efek perlindungan bagi warga negara yang haknya dilanggar.

Oleh sebab itu, elemen kewajiban untuk melakukan pemulihan atas hak privasi yang dilanggar harus ditambahkan dalam bagian kewajiban penyelengagra sistem elektronik. Selain itu RPM harus menyediakan mekanisme pemulihan dalam bagian proses penyelesaian sengketa sesuai dengan standar internasional perlindungan hak atas privasi.

IV. RPM PDPSE Belum Memuat Mekanisme Pengawasan Terhadap Efektivitas Pelaksanaan Perlindungan Data Pribadi Dalam Sistem Elektronik

Untuk efektivitas pelaksanaan peraturan perundang-undangan maka diperlukan mekanisme pengawasan, termasuk dalam instrumen hukum yang mengatur mengenai data perlindungan data pribadi ini. Namun, RPM belum mengakomodir tentang mekanisme pengawasan karena tidak adanya aturan khusus yang memberikan otoritas pada lembaga negara untuk melaksanakan mekanisme tersbeut. Selain itu perlu ada harmonisasi sejumlah aturan terkait dengan mekanisme pengawasan, mengingat sejumlah lembaga sudah memiliki mekanisme pengawasan atas data pribadi yang menyangkut kinerja lembaganya seperti Peraturan Otoritas Jasa Keuangan atau Peraturan Menteri Kesehatan mengenai Rekam Medis. Hal tersebut perlu dilakukan untuk menghindari ketidakjelasan kedudukan mekanisme pengawasan pelaksanan RPM PDSE ini.

Dengan demikian, RPM semestinya memuat ketentuan khusus terkait mekanisme pengawasan terhadap pelaksanaan ketentuan dalam RPM seperti tercermin dalam sejumlah instrumen hukum yang terdahulu. Mekanisme pengawasan tersebut harus pula disinergikan dengan badan/lembaga pengawasan yang telah ada sebelumnya dan berada di luar struktur kelembagaan Kominfo.

V. Kebutuhan Otoritas Independen Dalam Upaya Penyelesaian Sengketa Atas Kegagalan Sistem Elektronik Dalam Rangka Perlindungan Data Pribadi

Dalam hal terjadinya kegagalan perlindungan data pribadi yang dilakukan oleh penyedia sistem elektronik penyimpan data, negara berkewajiban untuk memberikan perlindungan yang efektif terhadap terjadinya kemungkinan penyalahgunaan. Sedangkan dalam RPM ini hanya memuat kewajiban penyelenggara Sistem Elektronik untuk memberikan pemberitahuan tertulis pada Pemilik Data Pribadi. Selain itu mengenai penyelesaian sengketa, dijelaskan bahwa dapat ditempuh dengan cara musyawarah dan proses gugatan perdata. Sedangkan tidak dijelaskan lebih lanjut pengaturan mengenai badan otoritas yang memiliki kompetensi dalam bidang perlindungan data pribadi. Hal ini juga berkaitan dengan keraguan kapasitas pengetahuan pada pihak Pengadilan Negri dalam penyelesaian sengketa Perlindungan Data Pribadi.

Oleh sebab itu, berdasarkan pada asas ‘dapat dilaksanakan’, peraturan Menteri harus memperhatikan sumber daya manusia atau aparatur untuk pelaksanaan dan penegakkan instrumen hukum yang dibentuk, dalam konteks ini mengenai otoritas perlindungan data pribadi. Sehingga perlu adanya otoritas independen atau pemberian wewenang yang memiliki kapasitas dalam perlindungan data pribadi demi terciptanya perlindungan hak atas privasi.

Penulis: :Lintang Setianti

Untuk melihat secara lengkap tanggapan dan masukan ELSAM terhadap Rancangan Peraturan Menteri (RPM) Komunikasi dan Informatika (Kominfo) ini, silakan unduh