tirto.id - Sungguh malang nasib Cep Yanto dan Dheva Suprayoga. Pada pertengahan Mei 2019 kemarin, data pribadi mereka tersebar di jagat media sosial.
Yang pertama kali mengumbar data pribadi mereka di Twitter ialah Ulin Yusron. Simpatisan Jokowi-Ma'ruf ini menuding Cep dan Dheva sebagai sosok laki-laki dalam sebuah video viral yang menyebut akan "memenggal kepala Jokowi". Video itu diketahui diambil ketika gerombolan orang yang menamakan diri Gabungan Elemen Rakyat untuk Keadilan dan Kebenaran (GERAK) berdemonstrasi di depan Kantor Bawaslu RI pada 5 Mei 2019.
"Ini orangnya. Silahkan diproses sesuai hukum yang berlaku!" ujar Ulin via akun Twitter @ulinyusron.
Nyatanya, Cep dan Dheva bukan sosok laki-laki dalam video tersebut. Pihak kepolisian menegaskan hal itu seraya mengatakan sosok laki-laki dalam video tersebut bernama inisial HS. Sudah jadi korban salah tuding, data pribadi Cep dan Dheva juga berhamburan di media sosial.
Ini hanya satu dari sekian banyak perkara pembocoran data pribadi ke publik. Per November 2018, Lembaga Bantuan Hukum (LBH) Jakarta menerima 1.330 aduan atas dugaan pelanggaran hukum dan hak asasi manusia yang dilakukan perusahaan penyedia pinjaman online. Setelah dicermati, setidaknya ada 14 dugaan pelanggaran, termasuk pembocoran data pribadi guna menekan peminjam agar segera mengembalikan uang.
Di satu sisi, Indonesia—negara yang 171,2 juta penduduknya menggunakan internet—tidak memiliki satu undang-undang yang secara khusus mengatur perlindungan data pribadi. Sejak 2016, Rancangan Undang-undang (RUU) Perlindungan Data Pribadi telah masuk Program Legislasi Nasional (Prolegnas). Namun, pembahasan RUU yang diusulkan pemerintah, dalam hal ini Kementerian Komunikasi dan Informasi (Kominfo), ini mangkrak hingga hari ini.
Di sisi lain, aturan mengenai perlindungan data pribadi bukannya tidak ada di Indonesia. Studi yang dilakukan Lembaga Studi dan Advokasi Masyarakat (ELSAM) pada 2016 menunjukkan ada 30 UU berbeda yang memuat ketentuan mengenai perlindungan pribadi di Indonesia. UU ini bersifat sektoral, mengatur ranahnya sendiri-sendiri, seperti kesehatan, administrasi penduduk, perbankan, atau jasa keuangan.
Misalnya, pasal 58 UU 24/2013 atas perubahan UU 23/2006 tentang Administrasi Kependudukan (Adminduk) mengatur bahwa pembukaan informasi data kependudukan, seperti data Cep dan Dheva yang dicuit Ulin, hanya bisa dilakukan instansi-instansi negara tertentu semacam Kemendagri dan Kepolisian. Pasal 95 A UU ini menegaskan penyebar data pribadi yang tidak memenuhi pasal 58 itu dapat dikenakan pidana.
Bercecerannya ketentuan perlindungan data pribadi dalam 30 UU itu mengandung masalah. Deputi Direktur Riset ELSAM Wahyudi Djafar mengatakan 30 UU tersebut tidak mengacu pada standar perlindungan data pribadi yang sama. Karena itu, UU Perlindungan Data Pribadi penting keberadaannya sebagai payung pelbagai UU yang telah memuat ketentuan perlindungan data pribadi secara sektoral.
"Ia [UU sektoral] akan tetap berlaku sejauh tidak bertentangan dengan UU Perlindungan Data Pribadi. Jadi, yang besarnya itu UU Perlindungan Data Pribadi," ujar Wahyudi kepada Tirto, Rabu (4/7/2019).
Berkaca Negara Tetangga
Indonesia bukan satu-satunya negara yang tengah was-was data pribadi penduduknya bocor atau dicuri. Perkara semacam ini juga dihadapi negara lain.
Mari kita lihat, negara-negara tetangga.
The Asean Post melaporkan data alamat 5.400 orang dengan HIV/AIDS (ODHA) dan data 1,5 juta pasien yang terdapat dalam Proyek Rekam Medik Elektronik Nasional di Singapura telah dicuri.
Pada Januari 2019, The Star melaporkan data sekitar 1,1 juta mahasiswa dan alumni Universiti Teknologi Mara (UiTM) sejak 2008 hingga 2018 dicuri peretas. Sedangkan di Filipina, penyedia jasa keuangan Cebuana Lhuillier mengatakan data 900 ribu kliennya telah diakses tanpa izin.
Yang membuat negara-negara ini beda dari Indonesia adalah fakta bahwa mereka telah memiliki UU Perlindungan Data Pribadi.
Malaysia punya UU Perlindungan Data Pribadi sejak 2010. Singapura dan Filipina memilikinya sejak 2012. Negara Asia Tenggara lain yang baru tahun ini mengumumkan berlakunya UU Perlindungan Data Pribadi adalah Thailand.
UU Perlindungan Data Pribadi Filipina menyebut data pribadi sebagai informasi personal, yakni Informasi apapun yang dicatat dalam bentuk materiil atau tidak, yang di situ identitas seseorang terlihat atau dapat secara wajar dan langsung dipastikan oleh entitas penyimpan informasi.
Sedangkan dalam UU Perlindungan Data Pribadi Singapura, data pribadi berarti data, entah benar atau tidak, mengenai seseorang yang dapat dikenali lewat data itu; atau lewat data itu dan informasi lain yang dimiliki atau mungkin akan diakses organisasi. Organisasi yang dimaksud mencakup seseorang, perusahaan, asosiasi atau sekelompok orang, korporasi, baik yang dibentuk pun diakui hukum Singapura maupun memiliki kantor di Singapura.
Filipina dan Malaysia juga mendefinisikan "data pribadi sensitif", sementara Singapura tidak, dalam UU Perlindungan Data Pribadi.
Informasi kesehatan, keadaan fisik dan mental, pendapat politik, keyakinan agama termasuk data pribadi sensitif di Malaysia. Sedangkan data pribadi sensitif di Filipina mencakup empat pokok. Salah satunya, yakni ras, etnis, status perkawinan, umur, warna kulit, serta afiliasi agama, filsafat, dan politik. Kesehatan, pendidikan, kehidupan seksual dan genetik seseorang juga termasuk data pribadi sensitif di Filipina.
Unsur Pidana Denda
Di Malaysia, pelanggar UU Perlindungan Data Pribadi dapat dikenai hukuman pidana, yakni denda, penjara, atau keduanya. Apakah unsur pidana terdapat dalam RUU Perlindungan Data Pribadi Indonesia?
Studi Wahyudi di ELSAM menunjukkan bahwa dalam RUU Perlindungan Data Pribadi Indonesia terdapat juga unsur hukuman pidana. Namun pidananya bersifat denda saja. Tidak ada hukuman penjara.
Meski demikian, hal ini bisa jadi masalah di kemudian hari. Menurut Wahyudi, kriminalisasi masih mungkin terjadi karena kemungkinan ada gap pemahamanan aparat penegak hukum mengenai perlindungan data pribadi.
Bagi Wahyudi, ketentuan itu bisa diubah. Wahyudi ingin penyelesaian sengketa perlindungan data diurus otoritas perlindungan data alias data protection authority (DPA).
"Penyelesaian melalui fungsi pengadilan memang disediakan tapi konteksnya adalah ketika Anda tidak puas dengan putusan data pritection authority. Kamu bisa banding ke pengadilan. Konteksnya banding perdata, bukan pidana," ujar Wahyudi.
Untuk saat ini, Indonesia tidak memiliki lembaga semacam itu, tak seperti Singapura, Malaysia, Filipina dan Thailand yang sudah memiliki UU Perlindungan Data Pribadi.
Di Malaysia, Jabatan Perlindungan Data Peribadi (JPDP) dibentuk untuk mengimplementasikan ketentuan dalam UU Perlindungan Data Pribadi Malaysia. Lembaga ini berada di bawah Kementerian Komunikasi dan Multimedia Malaysia.
UU Perlindungan Data Pribadi Filipina mengamanatkan pembentukan Komisyon para sa Proteksiyon ng Personal na Impormasyon (KPPI) alias Komisi Privasi Nasional. Menurut UU itu, komisi ini merupakan lembaga independen. Namun, ia melekat pada Departemen Teknologi Komunikasi dan Informasi Filipina untuk koordinasi kebijakan.
Di Singapura, lembaga semacam itu bernama Personal Data Protection Commission (PDPC). Menurut UU Perlindungan Data Pribadi Singapura, Otoritas Pengambangan Media Komunikasi Singapura, lembaga di bawah Kementerian Komunikasi dan Informasi, ditunjuk sebagai PDPC.
Sedangkan di Thailand, perlindungan data pribadi diampu Menteri Ekonomi dan Masyarakat Digital.
Editor: Windu Jusuf
