Saat ini Rancangan Undang-undang (RUU) Perlindungan Data Pribadi (PDP) sudah masuk ke Prioritas Legislasi Nasional (Prolegnas) 2020 dan ditargetkan untuk segera dibahas oleh Dewan Perwakilan Rakyat pada tahun 2020 ini untuk selanjutnya diundangkan.
Sampai tahun 2019 yang lalu, Profesor Graham Greenleaf dari UNSW Australia melaporkan ada 132 negara yang saat ini memiliki UU khusus terkait Perlindungan Data Pribadi. Indonesia belum masuk ke daftar itu. Disejajarkan dengan India, Indonesia adalah negara besar yang sedang menyiapkan RUU terkait.
Untuk menambah diskursus tentang Perlindungan Data Pribadi ini berikut kami sampaikan beberapa istilah kunci berdasarkan pemahaman umum literatur hukum PDP dunia, tidak khusus yang termaktub di RUU PDP Indonesia.
Data Pribadi
Obyek pengaturan utama dalam RUU PDP adalah “Data Pribadi”. Dalam RUU PDP terkini, Data Pribadi adalah data tentang seseorang, baik yang teridentiflkasi atau dapat diidentiflkasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung, melalui sistem elektronik dan/atau non elektronik.
Ini berarti data itu haruslah yang bisa digunakan untuk mengenali seseorang secara individual, dengan kata lain data yang bisa merujuk kepada pribadi seseorang.
Maka jika misalnya ada sebuah dokumen yang merujuk kepada “Sonny Zulhuda dosen IIUM asal Indonesia”, maka jelaslah bahwa data di dalam dokumen itu merupakan data pribadi si empunya identitas yang khusus itu, yaitu Sonny Zulhuda. Namun apabila dokumen tersebut hanya menyebut “Sdr. Muhammad dosen di Perguruan Tinggi Negeri di Indonesia”, maka data tersebut masih terlalu umum, tidak spesifik, tidak pribadi karena tidak merujuk atau mengidentifikasi orang tertentu.
Berdasarkan pemahaman di atas, skop data pribadi sangatlah luas, termasuk data -data berikut:
- Identitas pribadi (nama, foto wajah, biometrik, DNA, dan lain-lain)
- Data kependudukan dan kewarganegaraan (data kelahiran, kematian, pernikahan, keluarga, hukum dan perpajakan, dan lain-lain)
- Data komunikasi (nomer telepon, konten telekomunikasi, email, IP Address, media sosial, dan lain-lain)
- Data perjalanan (paspor, visa, itinerary perjalanan, data tiket transportasi, dan lain-lain)
- Data medis (penyakit, sejarah sakit, data pengobatan, transfusi darah, dan lain-lain)
- Data ekonomi (data pekerjaan, data pendidikan, data perniagaan, data konsumen, dan lain-lain)
Privasi
Privasi adalah “hak untuk bersendirian”, untuk dijaga “ruang pribadinya”, serta “dihormati otoritas personal terhadap kontrol data pribadinya”. Secara konseptual, penafsirannya bisa pelbagai, tergantung nilai yang berkembang dan dianut di setiap masyarakat. Dalam normatif Islam, privasi mencakup kehormatan dan aurat.
Dalam kerangka hukum Indonesia, privasi menemukan normanya sebagai bagian dari “hak perlindungan diri pribadi, keluarga, kehormatan, martabat dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi”. Ini tercantum dalam Pasal 28G ayat 1 UUD NRI 1945.
Di RUU PDP, kata-kata privasi banyak dirujuk dan dipakai dalam konsep Penjelasan terhadap UU tersebut.
Orang-Orang Terkait
Dalam konteks Perlindungan Data Pribadi, ada beberapa pihak yang diatur atau diberikan haknya, terutama adalah “Pengendali Data”, “Pemilik Data” dan “Prosesor Data”.
Pengendali Data Pribadi adalah pihak yang melakukan kendali pemrosesan Data Pribadi. Contohnya, pihak bank atau penyedia jasa telekomunikasi adalah pengendali data bagi konsumennya masing-masing. Perusahaan majikan adalah pengendali data bagi orang-orang yang bekerja di perusahaan tersebut.
Selain itu, ada juga Prosesor Data Pribadi yaitu pihak yang melakukan pemrosesan Data, dan biasanya mereka tidak berhubungan langsung dengan konsumen atau individu terkait, namun statusnya dikontrak oleh Pengendali Data Pribadi.
Terakhir, dan ini yang merupakan pengambil manfaat terbesar dan dilindungi haknya oleh UU, adalah Pemilik Data Pribadi. Merekalah orang perseorangan yang data pribadinya dikendalikan dan diproses oleh pihak lain. Mereka adalah subyek data yang dilindungi hak-haknya oleh Undang-undang PDP.
Hak-Hak Pemilik Data Pribadi
Apa saja hak-hak yang dilindungi oleh UU PDP? Berbagai negara memiliki cakupan yang bervariasi. Namun pada intinya ada beberapa hak utama pemilik data yang dilindungi oleh UU, antara lain:
Hak untuk menentukan atau mengontrol pemrosesan data. Hak ini biasa disebut hak ijin atau “Consent”. Ini merupakan prinsip utama dalam UU PDP untuk mengembalikan otoritas dan hak privasi kepada masing-masing individu. Dengan kata lain, penggunaan dan pemrosesan data pribadi hanya bisa dilakukan jika disetujui oleh si pemilik data.
Dalam praktiknya hak ini berkembang menjadi hak untuk diberitahu (Notice/notification) tentang adanya pemrosesan dan pemungutan data pribadi. Dalam keadaan tertentu yang ditentukan oleh UU, ijin pemilik data dapat ditepikan, misalnya untuk kepentingan keamanan publik, kesehatan masyarakat, ataupun kepentingan umum lainnya.
Selain Hak memberikan Ijin atau persetujuan, ada lagi hak-hak lain yang disediakan oleh UU seperti hak untuk mengetahui peredaran data, hak untuk melakukan koreksi, hak untuk penhapusan data (atau “hak untuk dilupakan”) dan juga hak untuk menghentikan pemrosesan data pribadi.
Kewajiban Pengendali Data
Paralel dengan adanya hak privasi pemilik data, maka UU PDP biasanya akan menguraikan berbagai kewajiban pengendali data pribadi. Diantara kewajiban-kewajiban tersebut antara lain:
- Kewajiban meminta ijin pemilik data untuk memproses data pribadi;
- Kewajiban memberitahu tentang hak-hak dan skop proses data pribadi (biasanya melalui penerbitan kebijakan privasi/privacy policy/privacy notice);
- Kewajiban mengamankan data pribadi;
- Kewajiban melaporkan kebocoran data pribadi terhadap pihak yang berwajib;
- Kewajiban menghapuskan data pribadi purna niaga atau pasca penggunaan, yaitu ketika sudah putus hubungan antara pengendali data pribadi dan pemilik data pribadi.
Hal-Hal yang Diatur
UU PDP sering dipahami sebagai pembatasan atau pelarangan mengguakan data pribadi secara mutlak. Ini tidak tepat, karena UU PDP, selain melindungi hak atas privasi, juga bertujuan mendorong ekonomi masarakat dan negara dalam konteks pemanfaatan teknologi informasi dan komunikasi serta mendorong inovasi dan ekonomi kreatif dan ekonomi digital. UU PDP dapat diartikan sebagai prasyarat digitalisasi masyarakat dan ekonomi negara dalam kerangka undang-undang.
Maka UU PDP mesti memberikan pengaturan yang jelas, terukur dan terstruktur dalam rangka pemanfaatan data pribadi. Hal-hal penting yang diatur oleh UU PDP adalah sebagai berikut:
- Pengumpulan dan pemrosesan data pribadi dalam konteks bisnis dan kerja;
- Agregasi dan anonimisasi data untuk berbagai keperluan seperti penelitian, medis, bisnis dan usaha, dan lain-lain;
- Pengelolaan data pribadi dalam konteks penggunaannya oleh negara;
- Pengelolaan persetujuan pemilik data;
- Pengelolaan dan standarisasi pengamanan data;
- Pengaturan orang tengah seperti manajemen outsourcing data;
- Pengaturan pemrosesan data pribadi di luar negeri terkait konsep kedaulatan data.
Hal-Hal yang Dilarang
UU PDP di berbagai dunia mencantumkan berbagai hal yang dilarang dan dapat dikenakan sanksi pidana maupun perdata. Diantara hal-hal tersebut adalah sebagai berikut:
- Mengumpulkan, memproses dan/atau mengeksploitasi data pribadi tanpa ijin atau diluar batas kewenangan.
- Memalsukan, menyalahgunakan dan/atau membocorkan data pribadi baik secara offline maupun online.
- Menjualbelikan data pribadi secara tidak sah.
- Kelalaian mengamankan data sehingga terjadi penyalahgunaan atau kebocoran data pribadi.
Kenapa Perlu UU PDP?
Berdasarkan pemaparan diatas, kita melihat banyak sekali nilai penting dan urgensi UU PDP bagi Indonesia.
Pertama, pengaturan PDP merupakan upaya pemerintah untuk hadir dan melindungi hak sipil warga terkait privasi atas data pribadinya, yang memiliki keterkaitan langsung dengan hak asasi manusia lainnya seperi hak untuk melanjutkan kehidupan, hak kebebasan bersuara dan hak untuk bebas bergerak.
Kedua, PDP melindungi aset informasi yang kini menjadi primadona ekonomi dunia saat ini. Dengan pengelolaan data yang baik, inovasi dan ekonomi digital akan berkembang pesat karena hak semua orang terukur dan terlindungi.
Ketiga, dengan adanya UU PDP, Indonesia dapat menjalankan interaksi antarbangsa dengan mantap karena kita PDP kini sudah menjadi agenda dan prasyarat perdagangan dunia.
Minimal, itulah nilai-nilai utama pentingnya kehadiran UU PDP bagi Indonesia.
Demikian konsep dasar Perlindungan Data Pribadi yang perlu kita ketahui bersama.
Editor: Yusuf R Y