SEORANG peretas (hacker) yang mengaku bernama Bjorka telah berhasil menebar ketakutan di Indonesia. Hacker yang katanya dari Polandia itu mengklaim memiliki data 1 miliar nomor telepon seluler Indonesia dan dijual dengan harga $ 50.000 (sekitar Rp 743 juta). Bahkan, kegaduhan ini semakin memuncak ketika dia mengaku telah meretas dokumen rahasia presiden dan data-data petinggi negara lainnya. Atas fenomena tersebut, sungguh sangat miris kualitas perlindungan data pribadi yang seharusnya dilindungi, namun bisa bocor.
Deja vu gonjang-ganjing kebocoran data di Indonesia rasanya sangat gampang terjadi dan terkesan tidak pernah ada upaya antisipasi. Sebelum kejadian ini, pada 2020 rakyat Indonesia digemparkan kabar kebocoran 2,3 juta data DPT pemilu milik KPU. Pada tahun yang sama pula, 15 juta data pengguna platform e-commerce Tokopedia diduga bocor. Kemudian, pada 2021, dugaan kebocoran data juga mengemuka terkait 1,3 juta pengguna aplikasi EHAC Kementerian Kesehatan. Yang lebih menggemparkan, di tahun yang sama BPJS Kesehatan juga disebut-sebut mengalami kebocoran 279 juta data dan diperjualbelikan di ”raid forum”.
Fenomena kebocoran data di Indonesia yang terjadi dari tahun ke tahun menunjukkan bagaimana lumpuhnya hukum dalam menghadapi persoalan tersebut. Padahal, PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem Elektronik mengamanatkan data pribadi perlu dirawat, dijaga kebenarannya, dan dilindungi kerahasiaannya.
Berdasar penelitian Gliddheo R. yang berjudul Data Privacy in the Indonesian Personal Data Protection Legislation, Indonesia memiliki aturan perlindungan data pribadi yang terpisah-pisah ke dalam 32 peraturan perundang-undangan. Namun, akibat aturan yang terpisah itu, justru menjadi problem ketidakkonsistenan hukum dan sangat berpengaruh terhadap penegakan perlindungan pribadi yang tidak dapat berjalan efektif (CIPS:2021).
Independensi UU Perlindungan Data Pribadi di Berbagai Negara
Persoalan hukum lain yang berakibat lemahnya perlindungan data privasi karena Indonesia tidak memiliki UU Perlindungan Data pribadi yang bersifat independen. Berbeda dengan negara-negara lain yang telah terlebih dahulu aware terhadap data pribadi warganya melalui pembentukan aturan secara tunggal. Misalnya, Inggris memiliki The General Data Protection Regulation (GDPR) sebagai aturan perlindungan data pribadi. GDPR merupakan pelopor regulasi perlindungan data pribadi di dunia. Dalam ketentuan GDPR, konsumen juga memungkinkan dapat meminta perusahaan menghapus data tersebut sebagai bentuk perlindungan privasi yang lebih aman.
Sanksi yang diterapkan pada GDPR tidak tanggung-tanggung dapat merugikan 4 persen dari pendapatan perusahaan. Bahkan, Commissions Office Inggris pernah menjatuhkan sanksi sebesar USD 180 juta kepada perusahaan yang tidak patuh pada aturan tersebut.
Selain Inggris, Brasil dan Amerika Serikat juga memiliki UU Perlindungan Privasi yang bersifat independen. Pada tahun 2020 Brasil memberlakukan Lei Geral de Proteção de Dados sebagai UU Perlindungan Privasi negara tersebut. Sanksi yang diterapkan pada aturan itu dapat merugikan 2 persen dari pendapatan perusahaan yang tidak mengindahkan amanat aturan tersebut. Kemudian, Amerika memiliki The California Consumer Privacy Act (CCPA). CCPA sudah berlaku sejak 2018. Bahkan, dalam artikel pada blog website McKinsey mengakui CCPA sebagai produk perlindungan data pribadi yang sangat mumpuni dalam melindungi privasi warga negara tersebut (McKinsey & Company:2020).
Segera Sahkan RUU Perlindungan Data Pribadi
Sudah saatnya Indonesia kini mengejar ketertinggalannya dari negara lain dalam menjaga keamanan data warga. DPR perlu didesak untuk segera mengesahkan RUU Perlindungan Data Pribadi (PDP) yang masih ”morat-marit” dalam pembahasan. Hal itu penting mengingat amanat UUD 1945 Pasal 28 G ayat (1) memerintahkan negara untuk melindungi diri pribadi rakyatnya. Hadirnya UU PDP tentu menjadi instrumen konkret dalam mewujudkan amanat konstitusi tersebut.
Urgensi dari UU PDP tidaklah lain untuk mencegah déjà vu kebocoran data yang kerap terjadi di Indonesia. Apalagi, saat ini era teknologi sudah sangat berkembang. Ancaman terhadap data pribadi yang sangat mudah dikonversi ke dalam bentuk elektronik sangat rawan dibongkar. Peran UU itu juga menjadi dapat berpengaruh dalam penegakan instrumen standar keamanan internasional seperti pada ISO/IEC 27001, ISO 15408, dan instrumen lainnya dalam rangka menutupi kelemahan sistem keamanan data privasi di Indonesia.
Selain itu, harapan hadirnya UU PDP juga perlu direalisasikan dengan optimal. Perlu ada sanksi tegas denda dan/atau penjara sebagai instrumen punishment yang efektif. Dengan begitu, ketika berlaku, UU tersebut dapat menjadi instrumen penegakan hukum bagi pelaku kejahatan di sektor perlindungan data pribadi. Ataupun menjadi warning bagi siapa pun yang lalai dalam menjaga data kerahasiaan privasi sehingga bisa bocor ke tangan orang lain.
Sedikit catatan mengenai isi RUU PDP, pemberian kewenangan pengawasan perlindungan data pribadi kepada kementerian dirasa bukan merupakan keputusan yang tepat. Seharusnya harus ada lembaga independen yang bertugas dalam menegakkan aturan tersebut layaknya Singapura yang memiliki Personal Data Protection Commission dan Inggris yang memiliki Commissions Office.
Hal itu penting dalam upaya menjaga marwah independensi penegakan perlindungan data pribadi. Terutama agar tidak ada intervensi dari sektor lembaga mana pun, termasuk pemerintah yang mungkin saja dapat mengakses data untuk digunakan sebagai kepentingan politik. Lembaga independen tersebut harus bertugas secara prima dengan melakukan pemantauan rutin melalui audit dan tes terhadap keamanan penyelenggara layanan elektronik. Terutama pihak-pihak yang menyimpan data dalam jumlah masif dan strategis.
Pentingnya perlindungan data pribadi ditegakkan karena di era kecanggihan teknologi informasi sangat memudahkan dalam pengumpulan, penyimpanan informasi publik/privasi, sehingga perlu ada jaminan keamanan dan kerahasiaan agar tidak mudah disalahgunakan secara tidak bertanggung jawab (H. Nissenbaum:2020). Akhirnya, Indonesia memiliki PR besar dalam mengatasi masalah kelemahan hukum perlindungan data pribadi agar kebocoran data masyarakat tidak terulang kembali. (*)
*) ADITYA PRASTIAN SUPRIYADI, Dosen hukum Universitas Islam Negeri Maulana Malik Ibrahim Malang
