Berharap Data Pribadi Tetap Terlindungi (3)

Jika dirunut, UUD 1945, sebagai dasar hukum paling fundamental di Indonesia, sebenarnya telah menyinggung hak perlindungan data pribadi. Pasal 28 G telah menyatakan bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, hingga harta bendanya serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan atasnya.

Walau tidak secara eksplisit disebutkan, pasal ini cukup memberikan pijakan bagi para regulator untuk serius dalam melindungi informasi pribadi. Data tersebut dapat menimbulkan ancaman ketakutan jika jatuh di tangan yang salah.

Secara spesifik, regulasi yang jelas menyebutkan bahwa informasi diri harus dilindungi ialah di Pasal 40 Undang-Undang Nomor 10 Tahun 1998 tentang Perbankan. Pasal ini menerangkan bahwa bank wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya. Namun, UU ini masih belum mengatur secara jelas terkait konsekuensi pelanggaran terhadap kerahasiaan data pribadi nasabah.

Prosedur penanganan kebocoran data nasabah mulai diatur dalam Peraturan OJK Nomor 1/POJK.07/2013 tentang Perlindungan Konsumen Sektor Jasa Keuangan. Selaras dengan UU No 10/1998, dalam Pasal 31 peraturan ini, pelaku jasa keuangan, semisal bank, dilarang untuk memberikan data nasabahnya kepada pihak ketiga.

Pengecualian dikenakan jika nasabah menyatakan kesediaan datanya untuk digunakan oleh bank dalam bentuk pernyataan tertulis. Jika terdapat pelanggaran, Otoritas Jasa Keuangan (OJK) memberikan fasilitas penyelesaian pengaduan konsumen yang bersifat keperdataan. Dalam prosesnya, nasabah harus mengajukan permohonan secara tertulis disertai dengan dokumen yang mendukung pengaduan tersebut.

Perlindungan

Alih-alih dilindungi dalam kerangka regulasi sektor keuangan, data nasabah justru lebih banyak dilindungi melalui peraturan terkait dengan informasi dan transaksi elektronik (ITE). Di bawah Pasal 26, 32, dan 39 UU No 11/2008 tentang Informasi dan Transaksi Elektronik (ITE), penggunaan data nasabah melalui media elektronik harus dilakukan atas persetujuan serta perbuatan yang mengakibatkan terbukanya data yang bersifat rahasia menjadi dapat diakses oleh publik merupakan pelanggaran.

Karena itu, pihak yang merasa telah dilanggar haknya dapat mengajukan gugatan perdata atas kerugiannya. Penekanan atas pertanggungjawaban bank sebagai pengguna data pribadi nasabah kemudian diatur dalam Peraturan Menteri Komunikasi dan Informatika No 20/2016 tentang perlindungan data pribadi dalam sistem elektronik.

Baca juga: Data Pribadi Dijual Bebas

Pasal 2 peraturan ini mengatur bahwa bBank sebagai pengguna data pribadi nasabah harus memiliki aturan internal pengelolaan data pribadi serta bertanggung jawab atas semua data yang berada dalam penguasaannya. Selain itu, Pasal 3 peraturan ini juga mengatur bahwa data pribadi harus dilindungi mulai dari tahap pengumpulan, analisis, penyimpanan, pembukaan akses, hingga pemusnahan.

Selain di bawah regulasi ITE, privasi data pribadi juga dilindungi dalam peraturan administrasi kependudukan. Hal ini sesuai dengan UU No 24/2013 tentang Perubahan Atas UU No 23/2006 tentang Administrasi Kependudukan. UU itu mengatur kewajiban untuk menjaga rahasia data pribadi.

Pasal 95 UU ini telah menetapkan sanksi pidana kepada setiap orang yang tanpa hak menyebarluaskan data kependudukan. Jika hal ini dilanggar, dikenai sanksi pidana penjara paling lama dua tahun dan atau denda paling banyak Rp 25 juta. Karena bersifat pidana dan bukan merupakan delik aduan, polisi bisa langsung mencokok penyebar data itu jika sudah ada bukti yang mendukung.

Masih lemah

Walau bukan tanpa perlindungan, celah hukum dalam perlindungan data pribadi di Indonesia masih menganga lebar. Meski fenomena jual beli data pribadi secara daring, misal melalui webiste atau platform e-commerce dapat diselesaikan melalui mekanisme yang ada di bawah peraturan tersebut, regulasi-regulasi ini hanya mencakup data yang berada dalam sistem elektronik saja.

Proses pengumpulan, analisis, hingga penggunaan data pribadi yang berada di luar sistem atau luring (offline) sulit untuk bisa ditangani melalui peraturan ini. Dengan demikian, akar permasalahan masih belum dapat tersentuh jika mengandalkan peraturan dengan kerangka ITE ini.

Tidak hanya itu, dari peraturan yang ada, belum ada klausul yang menyatakan konsekuensi dari pelanggaran perlindungan data pribadi oleh bank maupun perorangan. Mekanisme yang ditawarkan ialah melalui jalur gugatan perdata, artinya masyarakat yang merasa bahwa data pribadinya telah bocor, dicuri, atau disalahgunakan harus secara proaktif mengajukan gugatan perdata ke pengadilan melalui kuasa hukumnya.

Secara pidana, ragulasi yang mengatur pun masih di bawah UU No 23/2006 yang lebih menyoroti perihal perlindungan data dalam dimensi administrasi kependudukan. Selain itu, pidana yang dikenakan pun cenderung ringan hanya pidana penjara paling lama 2 tahun dan atau denda paling banyak Rp 25 juta.

Karena bersifat perdata itu, akhirnya jalan yang harus ditempuh para pencari keadilan ini pun menjadi terjal. Proses persidangan akan menyita waktu, energi, biaya, dan tenaga yang tidak sedikit, apalagi jika yang digugat ialah korporasi besar yang memiliki sumber daya yang mumpuni. Akhirnya, dengan pertimbangan tersebut, korban yang data pribadinya disalahgunakan menjadi terdemotivasi untuk mengajukan gugatannya ke keadilan.

Tak heran jika lebih dari separuh responden menilai upaya pemerintah untuk perlindungan data pribadi masih dinilai buruk. Jika sanksi pidana masih ringan, para pelaku penjual data pribadi akan tetap ada. Apalagi pasar masih membutuhkan data pribadi untuk penawaran produk perbankan dan ritel, hingga tindak kejahatan. Keamanan informasi diri masyarakat berada di titik nadir. (LITBANG KOMPAS)