Perlindungan data pribadi menjadi hal yang penting pada era digital seperti sekarang ini seiring dengan semakin masifnya penggunaan teknologi dalam kehidupan sehari-sehari.
Belum lama ini ada kasus pembobolan rekening bank milik wartawan senior Ilham Bintang karena data pribadinya yang terdaftar dalam sistem online Otoritas Jasa Keuangan (OJK) disalahgunakan.
Sebelum itu, kasus lain yang pernah menarik perhatian masyarakat adalah penyalahgunaan Nomor Induk Kependudukan (NIK) dan Kartu Keluarga (KK) dalam registrasi kartu SIM untuk telepon genggam.
Pada 2019, hampir 80% orang Indonesia rentan menjadi korban kejahatan di dunia maya . Salah satu penyebabnya adalah belum adanya kesadaran dari pengguna internet Indonesia untuk melindungi data pribadi mereka.
Penelitian dari Asosiasi Penyelenggara Jasa Internet Indonesia menunjukkan 92% dari responden mereka dengan mudah memasukkan informasi data pribadi berupa nama ke aplikasi di internet, lalu 79% memberikan informasi tentang tempat dan tanggal lahir mereka, bahkan 65% memberikan alamat pribadi.
Hal ini diperparah dengan belum adanya satu undang-undang (UU) tersendiri yang mengatur mengenai perlindungan data pribadi di Indonesia.
Pengaturan mengenai perlindungan data pribadi di Indonesia saat ini tersebar di berbagai regulasi baik di level UU maupun aturan pelaksanaan yang efektivitasnya dalam melindungi masyarakat diragukan. Ini terbukti lewat kasus penyalahgunaan NIK dan KK di atas.
Salah satu upaya yang dapat dilakukan untuk memperkuat kerangka hukum perlindungan data pribadi adalah dengan membuat sistem perlindungan yang menerapkan prinsip yang menjunjung perlindungan privasi pengguna dalam tataran regulasi maupun teknis.
Prinsip tersebut dipakai dalam pembuatan setiap sistem layanan online dan akan menutup kemungkinan adanya perpindahan kontrol atas data milik pribadi ke sistem.
Prinsip ini telah diterapkan negara-negara Uni Eropa dalam aturan perlindungan data pribadi mereka yang dikenal dengan sebutan GDPR (General Data Protection Regulation).
Tujuh prinsip
Prinsip yang menjunjung tinggi perlindungan privasi pengguna ini memiliki tujuh prinsip utama, yaitu:
1. Proaktif, bukan reaktif. Artinya prinsip ini fokus pada antisipasi dan pencegahan.
2. Mengutamakan privasi pengguna. Prinsip ini memetakan pada upaya untuk memberikan perlindungan privasi secara maksimum dengan memastikan bahwa data pribadi secara otomatis dilindungi dalam sistem IT atau praktik bisnis tertentu.
3. Perlindungan privasi diintegrasikan ke dalam desain. Kewajiban menanamkan perlindungan data pribadi pada desain teknologi secara holistik.
4. Memiliki fungsi maksimal. Prinsip ini menekankan pada penyediaan standar mitigasi risiko untuk sistem elektronik yang kewajibannya tidak semata-mata demi keamanan perusahaan, tapi juga demi privasi dari pemilik data pribadi.
5. Sistem keamanan yang total. Prinsip ini terwujud dengan memperkuat sistem keamanan dari mula hingga akhir.
6. Transparansi. Prinsip ini memastikan praktik bisnis maupun teknologi yang ada beroperasi sesuai aturan yang sudah disepakati dan diungkap ke publik. Penyedia jasa juga harus tunduk pada proses verifikasi yang dilakukan oleh pihak independen.
7. Menghormati privasi pengguna. Prinsip paling vital yang diwujudkan dengan memberikan peran aktif bagi pemilik data pribadi untuk mengelola data mereka.
Bagaimana dengan hukum di Indonesia?
Dalam melindungi data pribadi pengguna internet, pemerintah Indonesia menggunakan beberapa instrumen hukum yang masing-masing berdiri sendiri.
Mereka adalah UU tentang Informasi dan Transaksi Elektronik (ITE), Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, dan Peraturan Otoritas Jasa Keuangan (OJK) Nomor 77/POJK.01/2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi.
Secara umum, ketujuh prinsip di atas sudah ditemukan tersebar pada level peraturan teknis di Indonesia.
Misalnya, untuk prinsip proaktif bukan reaktif, Pasal 15 dan Pasal 16 UU ITE mengatur bahwa penyedia sistem elektronik harus menyediakan sistem elektronik yang andal dan aman, dan bertanggung jawab atas operasi sistem, dan menetapkan persyaratan minimum untuk penerapan sistem elektronik tersebut.
Lalu prinsip penyediaan keamanan yang total bisa ditemukan dalam Pasal 26 huruf a Peraturan OJK yang mewajibkan terjaganya kerahasiaan, integritas, dan ketersediaan data pribadi sejak awal diperoleh hingga dihancurkan.
Sayangnya, pengaturan secara holistik mengenai ketujuh prinsip di atas tidak ditemukan pada level UU dan hanya terpecah-pecah dalam aturan-aturan pelaksana yang berbeda-beda.
Padahal, dengan semakin pesatnya perkembangan teknologi dan meningkatnya jumlah pengguna layanan berbasis teknologi di Indonesia, upaya perlindungan data pribadi memerlukan payung hukum yang lebih kuat guna memberikan jaminan terhadap hak masyarakat atas keamanan data pribadinya.
Oleh karena itu, kami mengharapkan Rancangan Undang-Undang Perlindungan Data Pribadi yang saat ini sudah masuk dalam tahap pembahasan di Dewan Perwakilan Rakyat (DPR) dapat mengakomodasi seluruh tujuh prinsip di atas. Hal ini penting agar dapat menjadi dasar hukum yang matang dalam pelaksanaan perlindungan data pribadi di Indonesia yang lebih baik pada masa yang akan datang.