Menurutnya, kondisi lebih parah ketika firma hukum justru menyimpan data klien dengan teknologi cloud gratisan. Layanan cloud secara jelas memindahkan data kepada penyimpanan yang disediakan pihak ketiga. Sekalipun memiliki klaim sertifikasi internasional, bagi Pratama jasa cloud berbayar sekalipun tidak pernah benar-benar aman. APalagi yang gratisan. “Sekarang ini saya yakin banyak firma hukum di Indonesia menggunakan cloud gratisan, entah itu dropbox atau GDrive, kalau sudah ngomong gratisan, sudah wassalam sajalah,” tandasnya.
Kepala Sub-Direktorat Penyidikan dan Penindakan pada Direktorat Keamanan Informasi Kementerian Komunikasi dan Informatika (Kemenkominfo), Teguh Arifiyadi, mengatakan masih ada kelemahan hukum di Indonesia tentang perlindungan data pribadi. “Tergantung data yang disimpan, apakah data itu menurut undang-undang harus dilindungi dengan konteks pidana atau tidak,” ujarnya kepada hukumonline.
Perlindungan data pribadi dari segi pemidanaan di Indonesia terbatas hanya jika diatur oleh undang-undang tertentu. Misalnya UU Perbankan, UU Administrasi Kependudukan, dan UU Kesehatan. Dengan kata lain, belum ada satu undang-undang khusus soal perlindungan data pribadi. Jika tidak diatur pemidanaannya, hubungan hukum perlindungan data pribadi kembali pada perjanjian perdata antara klien dengan penyedia jasa soal kerahasiaan informasi klien. Tanggung jawab penyedia jasa hanya sejauh yang diperjanjikan.
(Baca juga: KPK Pelajari Nama-Nama di Panama Papers)
Meskipun begitu, Teguh menambahkan regulasi turunan UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) telah menentukan apa yang harus dilakukan ketika terjadi kegagalan dalam melakukan perlindungan terhadap data. “Ada PP No. 82 Tahun 2012, SOP tidak detil tetapi beberapa kewajiban yang harus dilakukan ketika terjadi kegagalan dalam perlindungan data pribadi,” katanya.
Pasal 15
|
Selain PP No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), sebetulnya juga telah diterbitkan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo Perlindungan Data Pribadi).
Pratama dan Teguh sependapat sebuah firma hukum wajib melakukan upaya maksimal untuk melindungi data pribadi klien yang mereka simpan. Khususnya dalam bentuk dokumen digital yang rentan dari peretasan. Menurut Teguh, setiap firma hukum yang melakukan penyimpanan informasi klien dalam data center atau cloud pada dasarnya tengah melakukan penyelenggaraan atau pengoperasian sistem elektronik. Oleh karena itu, bagi Teguh PP PSTE dan Permenkominfo Perlindungan Data Pribadi juga mengikat bagi firma hukum. “Bukan konteks lawfirm dari sisi badan hukum, tapi dalam konteks dia menyelenggarakan atau mengoperasikan sistem elektronik,” ujar Teguh.