”Quo Vadis” RUU Perlindungan Data Pribadi Karina Putri  ; Dosen Departemen Hukum Bisnis Fakultas Hukum UGM

KOMPAS, 08 Juni 2021

 

 

                                                           

Kebocoran data bukanlah hal baru. Banyak kejadian kebocoran data di masa lalu yang kemudian menguap begitu saja dan disusul dengan kasus lainnya.   Diungkapkan oleh Clive Humby (2006), data adalah ‘minyak’ baru. Siapa pemilik data terbanyak dan mampu mengolahnya, ialah sang pemenang. Di era digital, konsep ini teramat penting untuk disadari oleh setiap orang.   Data adalah aset maha penting yang perlu dilindungi. Kerugian dari kebocoran data yang sering terjadi dari sistem yang dimiliki  penyelenggara sistem elektronik (PSE), secara spesifik lebih merugikan pemilik data dibandingkan dengan PSE itu sendiri.   Menjadi masalah, RUU Pelindungan Data Pribadi (PDP) yang diharapkan bisa memberikan sanksi lebih tegas bagi PSE agar dapat meningkatkan sistem keamanannya belum kunjung hadir, sementara kasus kebocoran data beberapa tahun terakhir masif terjadi.   Selain dugaan kebocoran data konsumen BPJS Kesehatan, pada Mei 2020 data kependudukan milik sekitar 2,3 juta warga Indonesia yang diduga bersumber dari Komisi Pemilihan Umum diduga juga bocor dan dibagikan lewat forum komunitas peretas.   Belum lagi pengakuan dua situs jual beli daring terbesar, Tokopedia dan Bukalapak, yang mendapat serangan peretas dan menimbulkan kebocoran data, serta bocornya data konsumen dari anak perusahaan Lion Air yang juga diretas oleh pihak ketiga.   Kekosongan hukum dalam tataran UU tentang pelindungan data pribadi, menjadikan penegakan hukum hanya bergantung pada sanksi di peraturan pemerintah (PP) yang relatif ringan. Dalam Pasal 14 Ayat (5) jo Pasal 24 Ayat (3) PP No 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, jika terjadi kegagalan dalam pelindungan pada data pribadi yang dikelolanya, PSE wajib memberitahukan secara tertulis ke pemilik data pribadi.   Jika kegagalan itu berdampak serius, PSE wajib mengamankan informasi elektronik dan/atau dokumen elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan Kominfo. Kewajiban ini kemudian ditambah sanksi administratif, berupa teguran tertulis; denda administratif; penghentian sementara; pemutusan akses; dan/atau dikeluarkan dari daftar.   Konsekuensi ini jauh berbeda dibanding sanksi yang diberikan Otoritas Singapura pada IHis dan SingHealth di 2018 akibat bocornya data 1,5 juta pasien, termasuk 160.000 data rekam medis, yaitu denda 750.000 dollar Singapura dan 250.000 dollar Singapura (Berita Harian, 2019).   UU tentang Informasi dan Transaksi Elektronik (ITE) pun tak bisa berbuat banyak terhadap kebocoran data ini mengingat tak terdapat pengaturan spesifik terkait tanggung jawab pengendali data yang tak mampu menjaga sistem keamanannya, terlebih jika pengendali data institusi yang ditunjuk pemerintah.   Pertanyaan selanjutnya, apakah memiliki UU PDP saja cukup untuk mencegah terjadinya pengulangan kejadian terkait kebocoran data? Cakupan sanksi yang cukup luas yang dapat diatur pada sebuah UU menjadi sebuah privilese materi muatan pada sebuah UU. Namun apakah privilese itu digunakan dalam RUU PDP yang tengah dibahas?   Sanksi pidana   Dalam RUU PDP diatur dua jenis sanksi: sanksi administrasi dan sanksi pidana. Sanksi administrasi ditujukan bagi pelanggaran-pelanggaran terkait pemrosesan dan pengendalian data, termasuk untuk pelanggaran Pasal 40 Ayat (1) dalam hal terjadi kegagalan penjagaan data dari kebocoran oleh pengendali data pribadi.   Adapun penerapan sanksi pidana relatif sejalan dengan apa yang telah diatur di UU ITE, yaitu menyasar perbuatan sengaja dan melawan hukum terkait data. Namun, perlu diingat, konsekuensi sanksi denda administrasi tak ditujukan untuk pemilik data, atau dalam konteks ini masyarakat yang datanya bocor akibat peretasan, namun pada negara.   Lalu bagaimana dengan pemilik data? Dalam RUU PDP yang sedang dibahas DPR, tak ditemukan ketentuan spesifik terkait pengaturan mekanisme ganti rugi bagi korban peretasan data, meski pada Pasal 13 RUU PDP disebutkan pemilik data pribadi berhak menuntut dan menerima ganti rugi atas pelanggaran data pribadi miliknya sesuai ketentuan perundang-undangan.   Mekanisme ganti rugi yang ditujukan sebagai pemulihan hak pemilik data juga perlu dipertimbangkan untuk dimasukkan sebagai bagian dari RUU PDP. Hal ini sejalan dengan logika bahwa pihak yang paling dirugikan adalah pemilik data, meski tak dimungkiri rusaknya citra negara di mata komunitas global akibat peretasan data yang masif. Hal ini pun sesuai dengan asas “interest reipublicae quod homines conserventur” negara memiliki kepentingan untuk dapat melindungi rakyatnya.   Ketentuan ganti rugi secara umum dapat ditemukan pada Pasal 1246 Kitab Undang-Undang Hukum Perdata. Disebutkan bahwa terdapat tiga unsur dalam ganti kerugian, yaitu biaya, rugi dan bunga. Sehingga, jika ganti rugi dimasukkan sebagai bagian RUU PDP, penghitungan atas ketiga elemen itu jadi relevan untuk dipertimbangkan.   Hal ini untuk mengarahkan sanksi yang lebih tepat sasaran, mengingat korban peretasan umumnya bukanlah 1-2 orang, tetapi sangat jamak. Akumulasi ganti kerugian dari korban inilah yang diharapkan dapat meningkatkan kesadaran PSE akan pentingnya peningkatan kualitas keamanan pelindungan data yang mereka miliki secara berkala. Ini penting mengingat modus atau cara peretasan terus berkembang dari waktu ke waktu.   Bukankah jika kita tidak mengerti keterkaitan antara hal-hal yang terjadi, solusi pun akan menimbulkan masalah baru? Semoga tidak begitu dengan UU PDP ke depannya. ●