tirto.id - Undang-Undang Perlindungan Data Pribadi (UU PDP) memberikan perlindungan yang lebih kuat terhadap data pribadi warga Indonesia, di tengah kasus-kasus kebocoran data. UU ini menekankan pentingnya persetujuan eksplisit dari individu sebelum data mereka dapat dikumpulkan, digunakan, atau dibagikan, serta menetapkan sanksi berat bagi pelanggaran. Namun, undang-undang ini juga menuai kritik karena isinya ada yang dianggap berpotensi jadi alat kriminalisasi ke masyarakat sipil.
Undang-Undang Nomor 27 tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang disahkan pada Oktober 2022 lalu, akan segera berlaku secara penuh bulan depan. Aturan ini diharap bisa menjadi landasan hukum untuk memberi keamanan atas data pribadi, mengingat banyaknya kebocoran data di Indonesia.
Misalnya, baru-baru ini, serangan siber menyasar Pusat Data Nasional (PDN) pada Juni 2024. Akibat insiden ini, 282 instansi pemerintah lumpuh, termasuk keimigrasian. Data penting seperti Nomor Induk Kependudukan (NIK) sampai data kesehatan terkunci dan tidak dapat diakses.
Pemerintah harus membayar kerugian ekonomi yang estimasinya mencapai Rp6,3 triliun. Angka ini belum termasuk surplus usaha yang hilang dari lumpuhnya PDN, yang diperkirakan mencapai Rp2,7 triliun.
Tak hanya di level perusahaan, individu pun terdampak oleh masalah keamanan data di Indonesia.
Jati (bukan nama sebenarnya) tahu betul rasanya. Pria awal 30-an asal Sukabumi, Jawa Barat, ini, harus menelan pil pahit dari aktivitas yang dia pikir tidak berbahaya.
Informasi pribadi yang tercantum dalam kartu tanda penduduk (KTP)-nya bocor ke jaringan penyedia pinjaman online (pinjol) ilegal dan berujung dengan teror yang mulai mengganggu.
“Kalau cuman menyerang saya, mungkin tidak masalah. Ini sudah mulai menyasar ke orang tua,” ceritanya kepada Tirto, Kamis (5/9/2024).
Pada tahun 2021, Jati, yang saat itu bekerja di Jakarta, iseng mengisi data di platform pinjol, yang belakangan dia ketahui ilegal.
“Waktu itu panik juga, karena pinjamannya sekitar Rp2 juta tapi dapatnya (yang bisa dicairkan) cuman Rp1,2 juta. Sudah begitu waktu penggantiannya hanya satu minggu,” lanjutnya.
Setelah susah payah dan serangkaian ancaman, tagihan tersebut akhirnya lunas. Namun, ini ternyata awal petaka berikutnya. Sekitar tahun 2022, kedua orang tuanya di Sukabumi mendapat pesan-pesan yang menyebut Jati menunggak pinjol. Padahal, menurut pengakuan Jati, dia sudah kapok dengan kejadian pertama dan enggan menggunakan layanan model itu lagi.
“Itu langsung curiga data pribadi saya dipakai pihak tidak bertanggung jawab untuk melakukan pinjol,” ujarnya. Kecurigaan ini bukan tanpa asal. Para penagih hutang pada tahun 2021, sempat mengancam akan menyebar data pribadi Jati. Akun-akun media sosialnya juga sempat ada upaya peretasan.
Akhirnya, dia dan orang tuanya terpaksa membayar tagihan yang tidak pernah mereka nikmati sepeserpun itu. “Selesai itu, nomor bapak masih sering ‘diteror’ penawaran pinjol. Makanya akhirnya mereka (kedua orangtua), mengganti nomor,” cerita Jati.
Berkaca dari kejadian yang menimpanya tersebut, kini Jati lebih berhati-hati dalam membagikan data di internet. Dia juga mengamankan akun sosial media, aplikasi pesan singkat, serta akun surelnya dengan pengaman ganda, seperti verifikasi dua langkah (Two Factor Authentication, 2FA).
Beda lagi kasusnya dengan Irma. Pekerjaannya sebagai seorang jurnalis sempat membuat dia merasakan penyebaran data pribadi oleh orang lain. Kegiatan ini sering juga disebut sebagai doxing dewasa ini.
Tulisannya di media sempat membuat jengkel seorang pria dengan banyak pengikut. Orang itu kemudian mencari informasi data media sosial Irma, yang kemudian dia teror, bersama dengan pengikut-pengikutnya.
“Waktu itu foto dia share, terus dia bikin status Facebook (FB) yang intinya menyerang kredibilitas saya, bahkan sampai menyebut nama kampus,” ceritanya ke Tirto, Rabu (5/9/2024).
Akhirnya Irma melaporkan akun itu ke Meta, perusahaan yang membawahi media sosial Facebook. Kejadian ini berujung dengan penutupan akun si penyerang yang melakukan praktik doxing tersebut.
“Secara psikologis itu kesel sih, dan ada perasaan merasa direndahkan juga,” tambah Irma mengingat kejadian tersebut. Setelah kejadian tersebut dia pun semakin berhati-hati dan membatasi informasi yang dibagikan di media sosial.
Cerita Jati dan Irma hanya satu dari ribuan, atau mungkin jutaan kasus kebocoran data lain. yang ada di Indonesia. Pemeriksaan singkat ke platform seperti Periksa Data, bisa dengan cepat menunjukkan surel mana yang ikut "bocor" di kasus-kasus kebocoran data yang terekam platform tersebut.
Berdasar riset perusahaan penyedia jasa virtual private network (VPN), Surfshark, Indonesia menjadi salah satu negara yang paling banyak mengalami kebocoran data. Berdasar data yang perusahaan ini kumpulkan di media Januari 2020-April 2024, terdapat 94,9 juta akun yang mengalami kebocoran data di Indonesia. Kondisi ini menempatkan Indonesia di peringkat ke-8 negara yang paling banyak mengalami kebocoran data dalam periode tersebut.
Sementara berdasar National Cyber Security Index tahun 2023, Indonesia menempati peringkat 49 dari 176 negara. Skor indeks keamanan siber Indonesia adalah 63,64, dari skala 1-100. Skor ini di bawah Malaysia (peringkat 22; indeks skor 79,22), Singapura (31; 71,43), Thailand (45; 64,94), dan Filipina (48; 63,64).
Lantas, dengan segera berlakunya UU PDP, bagaimana undang-undang ini bisa jadi harapan untuk memecahkan masalah-masalah ini? Lalu, sejauh apa UU ini menjamin hak asasi individu terhadap keamanan data pribadi, serta apa yang akan berubah?
Undang-Undang Perlindungan Data Pribadi JadiSolusi?
Dalam UU PDP, data pribadi didefinisikan sebagai data orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung, melalui sistem elektronik atau non-elektronik.
Bisa dibilang, perlindungan data pribadi diartikan sebagai keseluruhan upaya untuk melindungi data pribadi, dalam rangkaian pemrosesan data pribadi.
Ada juga beberapa istilah lain di undang-undang ini. Subjek data pribadi adalah individu dengan data pribadinya. Lalu, ada dua peran utama dalam UU PDP: pengendali dan prosesor data pribadi. Pengendali mengontrol pemrosesan data, sedangkan prosesor hanya mengolah data atas nama pengendali.
Pengendali data pribadi dan prosesor data pribadi ini bisa jadi orang, badan publik, atau organisasi internasional.
“Jika terjadi kebocoran, pengendali datalah yang diminta bertanggung jawab,” mengutip cuitan Lembaga Studi & Advokasi Masyarakat (ELSAM).
Melihat sekilas bagian awal UU PDP, bisa langsung terlihat hak-hak diberikan kepada pemilik data pribadi. Mulai dari hak untuk mendapat kejelasan identitas pihak yang meminta data pribadi, hak untuk memperbarui data pribadi yang diberikan, sampai dengan hak untuk menghapus data pribadi yang dikumpulkan kepada pengendali data pribadi.
Ada juga aturan sanksi bagi pihak pengendali data yang abai dengan kewajibannya menjamin hak subjek data pribadi. Ketentuan-ketentuan ini memberikan jaminan hukum bagi pemilik data pribadi untuk bisa menuntut haknya jika terjadi kebocoran data.
Chairman Lembaga Riset Keamanan Siber CISSReC, Pratama Persadha, mengatakan UU PDP memang bisa dilihat sebagai harapan bagi masyarakat untuk bisa terlindungi data pribadinya.
"Angin terang inilah sebenarnya UU PDP ini, yang bisa melindungi masyarakat kita supaya tidak menjadi korban kesewenang-wenangan para penyelenggara sistem elektronik," ujarnya saat berbicara dengan Tirto, Rabu (4/9/2024).
Dia menjelaskan ada sejumlah hak pemilik data yang diatur. Mulai dari pengumpulan data, penyimpanan data, pengolahan data, perbaikan data, pengungkapan data, sampai perkara penghapusan atau pemusnahan data. Aturan yang ada menjamin subjek data untuk punya kendali atas hal-hal tersebut.
“Enggak boleh tuh, suatu lembaga, baik pemerintah ataupun swasta, mengumpulkan data yang berlebih. Pengumpulan data berlebih itu misalkan, kita hanya menuliskan data absensi, tapi di situ, harus ada (diminta) nomor handphone, alamat email, alamat rumah, nama ibu kandung, gitu. Nah, itu nggak boleh tuh, pengumpulan data berlebih. Kita bisa menuntut bahwa itu tidak boleh. Kita boleh tidak mengisi,” ujar Pratama memberi contoh.
Contoh lain soal penghapusan data, misal subjek data meminta menghapus data akunnya di marketplace daring, jika dia masih menerima penawaran dari platform tersebut, bisa dicurigai platform tidak menghapus data sepenuhnya.
"Masyarakat bisa menuntut di situ, karena platform abai dalam permintaan penghapusan data," ujar Pratama.
Pratama juga sempat menyoroti soal transfer data. Dia memberi contoh, misalnya seseorang mengikuti suatu seminar dan menuliskan data pribadi, berupa nomor ponsel atau alamat surel, di daftar hadir. Jika nantinya, tiba-tiba orang tersebut mendapat pesan promosi dari sponsor acara tersebut, pemilik data pribadi berhak menuntut penjelasan kepada pengumpul data jika memang merasa tidak memberi izin sebelumnya.
Hal-hal ini menurut Pratama menjadi catatan positif terkait upaya memberi perlindungan data pribadi kepada masyarakat. Meski dia juga menegaskan kalau UU PDP masih jauh dari sempurna.
Potensi Sanksi ke Masyarakat dari UU PDP
Direktur Eksekutif ELSAM, Wahyudi Djafar, menyoroti adanya pasal dalam UU PDP yang menurutnya berpotensi jadi alat kriminalisasi ke masyarakat sipil.
Wahyudi yang juga menjabat sebagai Koordinator Koalisi Advokasi Perlindungan Data Pribadi (Koalisi Advokasi PDP), menjelaskan ada enam dasar hukum pemrosesan yang berlaku dalam konteks perlindungan data pribadi yaitu konsen atau persetujuan, kewajiban hukum/perintah dari undang-undang, performance of contract atau bekerjanya suatu kontrak, kepentingan umum, vital interest, dan legitimate interest atau kepentingan yang sah.
Secara spesifik, ia lalu mencontohkan pasal 65 ayat 2 UU PDP yang mengatur bahwa setiap orang dilarang secara melawan hukum untuk mengungkapkan data pribadi yang bukan miliknya. Lewat pasal tersebut, Wahyudi mencontohkan bahwa masyarakat tidak bisa lagi untuk sembarangan memberikan kontak nomor telepon apalagi jika tidak memenuhi salah satu dari enam dasar hukum pemrosesan data tersebut.
“Jadi pasal 65 ayat 2 ini justru berbahaya. Sepanjang misal membagikan kontak tanpa memenuhi minimal satu dari enam dasar hukum pemrosesan data pribadi maka bisa dikatakan sifatnya melawan hukum. Salah satu dasar hukum dalam pemrosesan itu konsen. Artinya, ketika tidak ada konsen, maka kemudian itu sudah bisa dikatakan melawan hukum,” terang Wahyudi kepada Tirto, Rabu (4/9/2024).
Wahyudi menyinggung sejumlah profesi, termasuk jurnalis, yang rentan terjerat oleh adanya pasal ini. Apalagi, menurutnya, berbeda dari yang tercantum dalam European Union General Data Protection Regulation (EU GDPR) –yang sering jadi acuan UU PDP di sejumlah negara– dalam UU PDP, kerja-kerja jurnalistik tidak dikualifikasikan sebagai kepentingan umum yang bisa dikecualikan.
“Jurnalis itu melakukan pengungkapan data pribadi pejabat publik dalam hal memberitakan aspek-aspek yang berkaitan dengan pejabat publik ini. Pasal itu (Pasal 65 ayat 2 juncto Pasal 67 ayat 2) juga bisa menjadi alasan kemudian misalnya untuk mempidanakan si jurnalis,” tambah Wahyudi.
Sementara itu, asisten peneliti Center for Digital Society (CfDS), M. Irfan Dwi Putra, menyebut konsen memang menjadi titik berat untuk mendefinisikan perbuatan melawan hukum yang termaktub dalam UU PDP.
“Berbicara tentang ketentuan pidana itu kan memang landasannya apakah perbuatan tersebut itu melawan hukum atau tidak. Kalau dalam undang-undang PDP itu kan heavy-nya memang ada di konsen dari subjek data. Jadi, untuk mengatakan apakah itu melawan hukum atau tidak kita lihat dulu apakah memang subjek data ini konsen atau setuju untuk datanya itu diberikan atau tidak,” terang Irfan pada Tirto, Rabu (4/9/2024).
Lebih lanjut, Irfan menyoroti substansi penegakan hukum, terutama dari segi sanksi. Dia mengkritisi bahwa UU PDP tampak tumpul ke badan publik/instansi pemerintah, namun tajam kepada masyarakat sebagai individu.
Ia menyoroti sanksi pidana dalam beleid tersebut, yang tidak dikenakan ke badan publik, dalam hal ini instansi pemerintah. Padahal, Indonesia saat ini sudah mengenal konsep pemidanaan terhadap badan publik yang termaktub dalam Undang-Undang Keterbukaan Informasi Publik (UU KIP).
“Nah, itu juga menjadi salah satu kritikan kita, beberapa ketentuan sanksi dalam UU PDP ini seolah-olah tidak berlaku ke badan publik. Padahal tadi kebocoran data itu paling banyak terjadi di mereka,” terang Irfan.
Senada, Pratama dari CISSReC juga menyoroti adanya ketimpangan sanksi terhadap pelanggar data pribadi dalam UU PDP ini yang dinilai tumpul ke instansi pemerintah namun tajam kepada masyarakat sebagai individu.
Padahal, menurutnya, pengendali data terbesar di Indonesia itu adalah sektor pemerintahan. Ia mencontohkan, sejumlah data penting dengan skala besar milik masyarakat seperti data kependudukan dan catatan sipil itu dikelola oleh pemerintah dan pernah beberapa kali mengalami kebocoran.
“Karena undang-undang ini kalau kita baca, tajamnya itu adalah kepada lingkup private. Tapi ketika kita ngomongin pemerintahan, itu hampir nggak ada sanksi yang disebutkan di sana,” tambahnya.
Lebih lanjut, ia juga menyoroti sisi penegakan hukum UU PDP yang dirasa belum maksimal. Menurutnya, hal ini disebabkan oleh dua hal, pertama, belum terbitnya aturan turunan pelaksana dari UU PDP. Kedua, belum dibentuknya lembaga otoritas perlindungan data pribadi.
Padahal, ia menyinggung, pasal 58 UU PDP mengamanatkan penyelenggaraan perlindungan data pribadi dilaksanakan oleh lembaga yang ditetapkan oleh Presiden. Namun, dua tahun berlalu pasca pengesahan UU tersebut, hingga saat ini, lembaga tersebut belum dibentuk.
“Jadi setiap ada pelanggar data pribadi kemudian dibawa ke ranah hukum nggak pernah
bisa, dengan alasan bahwa belum ada aturan turunan dan lembaga yang menangani juga belum ada. Padahal, sekarang ini kebocoran data terjadi dan terus terjadi. Termasuk juga kemarin ketika kebocoran data Pusat Data Nasional,” katanya.
Wahyudi dari Elsam mengungkap hal yang serupa. Menurutnya, pilar utama dari implementasi UU PDP adalah adanya aturan implementasi dalam bentuk Peraturan Pemerintah (PP) dan adanya lembaga otoritas perlindungan data pribadi.
Ia menceritakan, berdasarkan catatannya, semenjak UU PDP disahkan pada tahun 2022, hingga saat ini, paling tidak sudah ada tiga kasus pidana yang diputuskan secara inkracht (berkekuatan hukum tetap) berdasarkan UU PDP.
“Tetapi dalam konteks administrasi atau kemudian pelaksanaan standar kepatuhan terutama dalam hal kewajiban atau pelaksanaan kewajiban dari pengendali dan prosesor data, tanpa PP implementasi UU PDP dan tanpa lembaga otoritas PDP akan sulit untuk bisa diterapkan dalam jangka waktu dekat ini,” jelas Wahyudi.
Bentuk Lembaga Otoritas Perlindungan Data Pribadi dan Tingkatkan Sosialisasi
Pratama mendesak pemerintah untuk segera melaksanakan amanat UU PDP untuk membentuk Lembaga Otoritas Perlindungan Data Pribadi. Hal ini disebabkan, karena lembaga tersebut lah yang memiliki kewenangan dan tanggung jawab untuk menangani laporan-laporan kebocoran data, pemanfaatan data secara ilegal dan penyalahgunaan data pribadi.
“Kalau sampai Oktober 2024 ini, Pak Presiden belum membentuk lembaga otoritas perlindungan data pribadi, artinya nanti Pak Presiden itu lengsernya melanggar undang-undang. Karena (pembentukan lembaga ini) ini sudah amanat undang-undang untuk dibentuk oleh Presiden,” katanya
Pratama menyebut idealnya lembaga otoritas perlindungan data pribadi ini merupakan lembaga independen yang posisinya langsung bertanggung jawab ke presiden. Selain itu lembaga ini juga harus diberi kekuasaan penuh dan keleluasaan untuk melakukan penegakan hukum ketika terjadi insiden kebocoran data pribadi.
“Kenapa harus independen? Dalam UU PDP juga ditulis bahwa yang akan melakukan audit, melakukan pemeriksaan, melakukan penyidikan, sampai nanti ke proses finalisasi hukum adalah lembaga otoritas perlindungan data pribadi ini. Jadi, tugasnya memang sangat kompleks sekali dan kekuatannya sangat powerful sekali,” tambahnya.
Serupa, Wahyudi dari Elsam juga turut mendorong agar lembaga otoritas perlindungan data pribadi yang nantinya akan dibentuk merupakan sebuah lembaga yang independen.
Menurut Wahyudi, hal tersebut penting, mengingat UU PDP yang berlaku di Indonesia berbeda dengan UU serupa yang berlaku di Singapura dan Malaysia. Di kedua negara tersebut, aturannya hanya mengikat sektor swasta. Sementara, dalam UU PDP yang berlaku di Indonesia, badan pemerintah juga harus tunduk pada aturan tersebut.
“Idealnya lembaga tersebut dibentuk dalam sebuah kerangka kelembagaan yang independen. Tidak menjadi bagian dari kekuasaan eksekutif, di mana kemudian kekuasaan eksekutif pada dasarnya juga bagian dari pengendali data yang wajib memenuhi seluruh standar kepatuhan perlindungan data pribadi,” lanjut Wahyudi.
Wahyudi juga meminta pemerintah untuk lebih meningkatkan sosialisasi terhadap UU PDP. Berdasarkan pengamatannya bersama Koalisi Advokasi PDP, ia menilai masih banyak masyarakat bahkan penegak hukum yang masih belum mengetahui tentang keberadaan dan substansi UU PDP ini.
Ia menceritakan, berdasarkan temuannya di lapangan, ada satu pengadilan yang dalam putusannya salah mencantumkan UU PDP menjadi Undang-undang Perlindungan Data Konsumen. Menurutnya, ketidaktahuan ini merupakan hal yang wajar karena Indonesia tidak memiliki pengalaman dan sejarah yang panjang dengan perlindungan data pribadi.
“Jadi wajar kalau mungkin lebih dari 70 persen atau bahkan 80 persen publik tidak tahu dengan undang-undang ini. Kalau kita kuantifikasi, kita kalkulasi mungkin baru sekitar 2-5 persen orang Indonesia yang tahu tentang undang-undang PDP,” katanya.
Tirto juga sempat menanyakan pengetahuan soal UU PDP ini ke Jati dan Irma, dua orang yang pernah menjadi korban kebocoran data. Irma tahu mengenai keberadaan UU PDP berkat banyak berkomunikasi dengan rekan kerja, namun dia mengaku kalau hampir tidak pernah menemukan edukasi dari pihak pemerintah terkait UU PDP. Sementara Jati bahkan sama sekali tidak mengetahui mengenai adanya UU PDP, apalagi terkait pengesahannya pada Oktober 2022 lalu, saat datanya yang bocor disalahgunakan.
Wahyudi meminta pemerintah menyiapkan strategi khusus untuk meningkatkan pengetahuan masyarakat soal perlindungan data pribadi. Ia mengusulkan, soal privasi dan perlindungan data pribadi ini untuk diajarkan secara dini ke masyarakat dengan cara memasukan materi tersebut ke kurikulum pendidikan.
==
Bila pembaca memiliki saran, ide, tanggapan, maupun bantahan terhadap klaim Periksa Fakta dan Decode, pembaca dapat mengirimkannya ke email factcheck@tirto.id.
Editor: Farida Susanty