Menuju konten utama
Prof. Jovan Kurbalija

"Data warga Eropa yang Disimpan di Indonesia Harus Dilindungi"

General Data Protection Regulation menerapkan aturan baru yang mengubah model bisnis internet di dunia.

Avatar Jovan Kurbalija. tirto.id/Sabit

tirto.id - Sejak 25 Mei 2018, Uni Eropa menerapkan regulasi General Data Protection Regulation alias GDPR untuk mengatur bagaimana perusahaan internet, baik yang beroperasi di Eropa ataupun tidak, memperlakukan data milik warga Uni Eropa.

Regulasi yang digodok selama empat tahun dan baru disetujui pada 14 April 2016 itu, memiliki empat poin utama. Pertama, perusahaan internet wajib memberitahukan pengguna jika kebocoran data terjadi pada sistem mereka, maksimal selama 72 jam sejak kebocoran diketahui.

Kedua, perusahaan internet wajib memberikan kebebasan penuh atas pengendalian data milik penggunanya yang berasal dari Uni Eropa. Warga Uni Eropa berhak mengizinkan, mengizinkan sebagian, atau tidak mengizinkan datanya digunakan oleh perusahaan internet.

Ketiga, ialah hak untuk dilupakan, yang memungkinkan warga Uni Eropa menghapus segala jejak digital miliknya dari perusahaan internet yang digunakan.

Keempat, warga Uni Eropa juga diberikan kekuatan untuk memiliki hak data portabilitas, yakni data yang diformat untuk bisa dibaca dengan mudah pada mesin komputer. Hak ini memungkinkan warga Uni Eropa memindahkan data mereka ke mesin komputer lain.

Selain itu, melalui GDPR, perusahaan internet wajib menciptakan sistem yang melindungi data warga Uni Eropa, yakni "privacy by design", yang artinya sistem mereka memang telah dirancang untuk memberikan perlindungan maksimal. Jika aturan GDPR dilanggar, perusahaan internet bisa dikenai sanksi berupa denda hingga 4 persen dari pendapatan global mereka.

Tepat di saat GDPR mulai berlaku, Google dan Facebook dituntut $8,8 miliar di pengadilan oleh seorang aktivis asal Austria bernama Max Schrems.

Prof. Jovan Kurbalija, Executive Director of the UN Panel on Digital Cooperation, dalam sebuah tulisannya mengatakan bahwa GDPR akan menjadi pusat politik digital. Aturan tersebut akan berpengaruh sangat besar bagi perusahaan internet.

Pada pertengahan Juli 2018, Tirto berkesempatan mewawancarai Prof. Jovan tentang GDPR. Berikut petikannya:

Anda bilang GDPR akan mengubah dunia internet keseluruhan, bagaimana dampaknya?

GDPR secara sederhana memperkenalkan aturan baru yang akan mempengaruhi bisnis model internet. Karena industri internet berhubungan dengan memproses data. Dan GDPR melindungi data itu, khususnya data pribadi. Contohnya, data tidak bisa digunakan tanpa izin pengguna. Hanya bisa digunakan untuk meningkatkan kualitas layanan yang mereka sediakan pada internet, bukan untuk meningkatkan pemasaran internet. GDPR akan mempengaruhi ini secara langsung. Kami saat ini sedang menunggu dampak pertama implementasi GDPR.

GDPR hanya aturan bagi Uni Eropa, bukan dunia?

GDPR melekat pada semua perusahaan yang memproses data warga Uni Eropa. Jika Anda menjalankan perusahaan Indonesia dan memiliki pelanggan dari Italia dan jika Anda menggunakan data mereka, Anda harus melindungi data itu sesuai dengan GDPR. Ini sederhana, jika ada data warga Eropa disimpan di Indonesia atau AS, ya harus dilindungi.

Termasuk jika Tirto.id menyimpan data penggunanya yang berasal dari Uni Eropa?

Iya, termasuk.

Sekarang perusahaan internet membagi unit bisnisnya, antara Eropa dan selain Eropa. Inikah respon terbaik mereka?

Ini hanya beberapa solusi saja karena ini akan menyebabkan biaya dan kompleksitas bisnis meningkat. Tapi ini adalah bukti bagaimana perusahaan internet bereaksi pada GDPR. Bagaimana mereka memproses data warga Uni Eropa dan data warga negara lainnya.

Skandal Cambridge Analytica juga “mencuri” data warga Indonesia. Bisakah GDPR membantu kasus ini?

GDPR hanya berlaku bagi warga Uni Eropa, dan GDPR telah dicanangkan jauh sebelum skandal Cambridge Analytica terkuak. Aturan ini pun tidak berlaku surut, sedangkan GDPR aktif digunakan selepas skandal terkuak. GDPR tidak bisa membantu warga Indonesia untuk melindungi datanya yang dicuri.

Tapi, Indonesia tidak memiliki aturan sekuat GDPR?

Indonesia punya beberapa regulasi. Pertanyaannya bagaimana menjalankan regulasi tersebut. Di Eropa aturan GDPR lahir karena sejarah mereka, termasuk sejarah Perang Dunia. Data pribadi merupakan isu sensitif di Eropa. Saya tidak tahu bagaimana isu data pribadi di Indonesia.

(Catatan redaksi: Indonesia punya regulasi tentang perlindungan data, baik data pribadi seperti KTP maupun data digital. Beberapa aturan tersebut yakni Undang-Undang Nomor 23 tahun 2006 tentang Administrasi Kependudukan, Undang-Undang Nomor 14 tahun 2008 tentang Keterbukaan Informasi Publik, dan Undang-Undang Nomor 16 tahun 2016 tentang Informasi dan Transaksi Elektronik)

Apa yang harus dilakukan?

Satu penjelasan yang bisa dilihat ialah bagaimana masyarakat melihat isu ini, bagaimana pilihan masyarakat, antara fokus pada pertumbuhan ekonomi digital atau fokus menyeimbangkannya dengan proteksi data. Meskipun saya tetap yakin bahwa kita bisa melakukan pertumbuhan ekonomi dan proteksi data secara seimbang.

Tapi beberapa masyarakat bilang “mari bangun ekonomi startup dan kita ‘berdamai’ dengan data.” Saya tidak tahu yang terjadi di Indonesia dan pemerintahannya. Tapi yang pasti, Eropa ialah tempat yang paling sensitif soal proteksi data. Lebih sensitif daripada AS, Asia, atau Afrika. Ini berhubungan dengan sejarah mereka.

Apakah Anda melihat negara lain akan mengikuti Uni Eropa membuat GDPR-nya sendiri?

Kita lihat aturan “Right to be forgotten.” Aturan tersebut diperkenalkan oleh Uni Eropa dan negara lain mengikutinya. Negara seperti Korea, Brazil, dan lainnya memiliki aturannya. Saya pikir negara lain akan menunggu bagaimana GDPR berpengaruh, lantas jika baik mereka akan menggunakannya. Lihatlah aturan “Right to be forgotten” saya kira baru diikuti di Indonesia 3 tahun selepas diperkenalkan Uni Eropa. Saya pikir nanti akan ada aturan seperti GDPR, meskipun mungkin tak sekuat GDPR milik Uni Eropa.

(Catatan redaksi: Di Indonesia, aturan “Right to be forgotten” diimplementasikan dalam Pasal 26 ayat 3 revisi UU ITE. Pasal itu menyatakan bahwa: “Setiap Penyelenggara Sistem Elektronik wajib menghapus Informasi Elektronik dan/atau Dokumen Elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan Orang yang bersangkutan berdasarkan penetapan pengadilan.”)

Di sini tidak ada aturan sekuat GDPR, tapi ekonomi digital yang tengah meningkat pasti berhubungan dengan proses data pengguna. Bagaimana kami harus bertindak?

Ini soal tingkat toleransi dan perhatian orang terhadap data mereka. Mereka peduli atau tidak? Jawabannya sangat tergantung tempat. Anda bisa bertanya apakah mereka akan berhenti menggunakan Facebook jika data tidak dilindungi? Jawabannya tidak. Internet sangat global, namun dampaknya sangat lokal. Soal perlindungan data ini berhubungan dengan fokus masyarakat beserta budayanya. Saya pikir Indonesia harus menunggu bagaimana GDPR dilaksanakan dan melihat beberapa elemennya. Barulah nanti bisa diterapkan pada masyarakat Indonesia.

Tidak bisa sekadar ikut-ikutan kebijakan proteksi data. Misalnya, Facebook sepakat tidak menggunakan data pribadi. Tapi kemudian teman-teman Anda berkata bahwa mereka tidak menggunakan Facebook. Yang pasti, kita membutuhkan aturan yang kuat ketika saya berkata saya tidak ingin menggunakan Facebook atau saya ingin menggunakan Twitter.

Data pribadi sangat terkait dengan keamanan pribadi. Pemerintah bisa menggunakannya untuk kepentingan politik. Mana yang lebih baik: menunggu regulasi seperti GDPR datang ke Indonesia atau membuat orang-orang memahami pentingnya data?

Anda harus meningkatkan kesadaran masyarakat. Saya hanya menyarankan itu. Lantas Anda harus membangun ruang dialog substantif antara semua pihak yang terkait. Ini langkah terbaik yang memang sangat rumit. Anda tidak bisa bilang ya dan tidak. Meskipun Anda tahu internet merupakan dunia ya dan tidak versi digital. 1 dan 0. Ya dan tidak. Anda tahu cara kerjanya. Tapi, politik internet sangat berantakan.

Jalan terbaik ialah meningkatkan kesadaran masyarakat dan melaksanakan check and balances di sistem pemerintahan serta mewujudkan transparansi. Ini tiga elemen yang bisa diperjuangkan.

Afrika, misalnya. Mereka sudah menyelenggarakan konvensi keamanan siber dan perlindungan privasi pertama. Mengapa mereka menggelar acara itu? Dalam kasus Afrika, mereka perlu melaksanakan konvensi tersebut karena memiliki akses data ke orang-orang yang hidup di wilayah konflik. Data tersebut bisa digunakan untuk menentukan jumlah orang yang hidup dan mati.

Baca juga artikel terkait KEAMANAN DATA atau tulisan lainnya dari Ahmad Zaenudin

tirto.id - Teknologi
Penulis: Ahmad Zaenudin
Editor: Windu Jusuf