Pada pidato kenegaraan dalam rangka peringatan hari kemerdekaan Republik Indonesia ke 74, Presiden Joko Widodo telah menekankan pentingnya perlindungan data pribadi sebagai bagian dari hak warga. Guna mendukung hal itu, peraturan perundang-undangan harus segera disiapkan, tanpa kompromi, kata Presiden (16/8). Pernyataan ini sesungguhnya dapat dimaknai sebagai bentuk cepat tanggap (responsiveness) dari negara atas perkembangan aktual pemanfaatan teknologi digital, yang berbasis pada data. Sebagai tindak lanjut pernyataan itu, pemerintah sendiri telah mengusulkan pembahasan RUU Pelindungan Data Pribadi dalam prioritas legislasi tahun 2020 mendatang (25/11).
Faktor Pendorong
Kebutuhan untuk mengakselerasi penyusunan RUU Pelindungan Data Pribadi sesungguhnya telah mengemuka sejak pertemuan G20 di Hamburg pada 2017. Dalam pernyataan menteri G20, dengan judul “Shaping Digitalisation for an Interconnected World”, salah satunya disepakati mengenai pentingnya pelindungan data pribadi dalam konteks pengembangan ekonomi digital. Hal ini tentunya sejalan dengan prioritas pemerintah hari ini, yang menghendaki pengarusutamaan transformasi digital dalam prioritas pembangunnya, sebagai tumpuan dalam pengembangan ekonomi digital. Memang, bertumbuhnya perusahaan teknologi digital dalam berbagai sektor, seperti e-commerce, teknologi finansial (fintech), media sosial, layanan sehari-hari (daily life services) seperti transportasi, telah mendorong praktik-praktik pengumpulan data dalam skala besar.
Selain itu, partisipasi Indonesia dalam sejumlah negosiasi perjanjian dagang, baik yang bersifat bilateral, regional, maupun multilateral, juga mulai secara khusus membicarakan sektor e-commerce, dengan isu utama terkait lalu lintas keluar masuknya data. Akibatnya, proses ini juga mengharuskan pemerintah Indonesia untuk segera memperbaiki aturan datanya di dalam negeri. Jika dibandingkan beberapa negara ASEAN lain, seperti Malaysia, Singapura, Filipina, Laos, dan Thailand, kita memang lebih terlambat, dalam memperbarui regulasi data. Padahal Indonesia hari ini adalah pasar digital terbesar di kawasan, dengan tingkat penetrasi internet lebih dari 171 juta (APJII, 2019).
Pada konteks yang lain, berlakunya Regulasi Umum Perlindungan Data Uni Eropa (EU GDPR) sejak 25 Mei 2018 juga telah berdampak besar bagi perusahaan-perusahaan Indonesia, khususnya mereka yang mengembangkan pasar hingga Eropa. Berlakunya EU GDPR telah memaksa sebagian besar perusahaan di Indonesia untuk memperbarui kebijakan privasi mereka, untuk setidaknya dalam beberapa hal menyesuaikan dengan kewajiban yang dibebankan oleh EU GDPR.
Besarnya Potensi Eksploitasi Data
Revolusi digital telah menciptakan sebuah inovasi baru dalam kapasitas untuk memperoleh, menyimpan, memanipulasi dan mentransmisikan volume data secara nyata (real time), luas dan kompleks. Perkembangan inilah yang kerap disebut sebagai pemanfaatan big data, sebuah konsep yang biasa digunakan untuk menjelaskan penerapan teknik-teknik analisis untuk mencari, mengumpulkan dan merujukkan secara silang kumpulan-kumpulan data dalam jumlah besar untuk mengembangkan sistem kecerdasan dan wawasan baru.
Praktik pengumpulan data skala besar tersebut umumnya disandarkan pada empat alasan: (i) kebutuhan mengatur orang; (ii) kebutuhan mengelola organisasi; (iii) memanfaatkan nilai dan menghasilkan keuntungan/modal; dan (iv) menciptakan tempat yang lebih baik, atau situasi yang lebih baik (kesehatan, kesejahteraan, pembangunan sosial dan manusia, kemampuan menangani masalah sosial dan ekologi), termasuk di dalamnya pengembangan konsep smart living atau smart city (Viktor Mayer dan Kenneth Cukier, 2014).
Lebih jauh dalam pengumpulan data skala besar, data diperoleh setidaknya melalui tiga pendekatan: (i) data yang dihasilkan dari bentuk pengamatan tradisional, dengan cara mengarahkan teknologi kepada seseorang atau tempat oleh operator manusia; (ii) data yang dihasilkan secara otomatis melalui penggunaan perangkat atau sistem; dan (iii) data yang dihasilkan secara sukarela, ketika orang-orang menyerahkan datanya pada suatu sistem (Rob Kitchin, 2014). Artinya, data dikumpulkan hampir dengan semua cara dan perangkat, dari yang sifatnya konvensional, seperti survei dan sensus, pengamatan (surveillance), hingga pengumpulan secara otomatis. Misalnya data-data mengenai perilaku seseorang dalam berinternet, yang dikumpulkan untuk keperluan profiling orang tersebut, guna kepentingan pemasaran langsung.
Dalam implementasinya, data-data skala besar dikumpulkan baik oleh pemerintah maupun swasta, dengan beragam alasan dan tujuan, sebagaimana disinggung di atas. Praktik terkini oleh pemerintah misalnya dalam pengembangan sistem database kependudukan, melalui program KTP elektronik, yang terintegrasi dengan berbagai layanan sosial dan publik lainnya; serta pembangunan kota cerdas melalui gerakan 100 smart city dengan berbasis pada platform teknologi Internet of Things (IoT), juga pemantauan aktivitas warga secara real time dengan pemasangan CCTV di berbagai sudut kota.
Sementara swasta, praktik pengumpulan data skala besar dilakukan oleh hampir semua sektor perusahaan digital, baik e-commerce, fintech, kesehatan, maupun transportasi. Dalam kasus fintech misalnya, dengan alasan credit scoring dan electronic know your customer (e-KYC), hampir seluruh data dalam ponsel pintar penggunanya ditambang oleh sejumlah penyedia platform. Celakanya, tidak semua penyedia platform memenuhi semua persyaratan, termasuk perizinan yang dimintakan oleh otoritas berwenang, akibatnya sejumlah kasus penyalahgunaan data pribadi yang merugikan konsumen, muncul ke permukaan.
Potensi eksploitasi data pribadi menjadi bertambah besar dengan rendahnya kesadaran dan pengetahuan dari pengguna—konsumen, untuk menjaga dan melindungi data-data pribadinya. Dalam penggunaan media sosial, yang berbasis pada users generated content misalnya, para penggunanya kerap tidak secara cermat membaca syarat dan ketentuan layanan dari setiap penyedia layanan. Padahal klausula tersebut sesungguhnya merupakan online platform contract antara pengguna dan penyedia layanan, termasuk mengenai data-data apa saja yang boleh dikumpulkan oleh platform.
Hukum Perlindungan Data yang Komprehensif
Apabila peningkatan masif dalam pengumpulan data sebagaimana tergambar di atas tidak dilakukan dalam kerangka penghormatan hak, tentu proses dan tujuannya akan digunakan dengan cara yang mengesampingkan hak-hak kita. Oleh karena itu, hukum dan inovasi teknologi harus diperdebatkan dan dikerangkakan menjadi sebuah aturan hukum, untuk mengurangi risiko tersebut, sehingga setiap inovasi teknologi sejalan dengan prinsip perlindungan hak atas privasi.
Salah satu cara yang dikembangkan oleh banyak negara, untuk memastikan kontrol subjek data atas data mereka, adalah dengan menyediakan kerangka hukum perlindungan data yang kuat dan komprehensif. Apakah hukum perlindungan data Indonesia belum menjamin itu? Studi yang dilakukan ELSAM (2017) mengidentifikasi setidaknya terdapat 32 undang-undang yang memiliki konten terkait data pribadi, namun sayangnya saling berkontradiksi satu sama lain. Perlindungan data pribadi di Indonesia diatur secara sektoral, yang acapkali definisi, ruang lingkup, dan mekanisme perlindungan antara satu sektor dengan sektor lainnya saling berbenturan, yang justru berdampak pada ketidakpastian hukum dalam perlindungan data.
Kehadiran UU Pelindungan Data Pribadi setidaknya akan menjawab sejumlah kebutuhan aktual perlindungan data, mulai dari: kejelasan definisi dan jenis data pribadi; dasar hukum dalam pemrosesan data pribadi; jaminan perlindungan hak-hak dari subjek data; kewajiban dari pengendali dan prosesor data—termasuk pemerintah dan swasta; arus transfer data internasional; otoritas yang berwenang dalam penegakan hukum perlindungan data; hingga mekanisme penyelesaian sengketa jika terjadi kegagalan dalam perlindungan data pribadi.
Kerangka hukum itulah yang akan menjadi acuan dalam memastikan kedaulatan individu atas data-data mereka, sebagaimana ditegaskan oleh Presiden Jokowi. Sebab, membicarakan kedaulatan tentang data dan ruang siber yang sifatnya nirbatas (cross border), tentu fokus perdebatannya bukan lagi pada diskursus kedaulatan yang sifatnya tradisional (berbasis teritorial dan yurisdiksi), tetapi lebih pada kedaulatan individu sebagai subjek data, melalui penyediaan seperangkat instrumen dan mekanisme hukum untuk memenuhi dan melindungi hak-hak subjek data tersebut.
Artikel ini pertama kali terbit di Kompas, pada 9 Januari 2020.
WahyudiDjafar's Blog 
Leave a comment