Istilah sistem dan transaksi elektronik mungkin masih belum banyak diketahui publik. Namun dalam praktik, kehidupan masyarakat sudah tidak bisa terlepas dari istilah tersebut. Beberapa contoh sistem dan transaksi elektronik yang saat ini sering dijumpai yaitu situs online (website), perdagangan barang dan jasa online (e-commerce) hingga sistem informasi kependudukan.
Ketentuan mengenai sistem dan transaksi elektronik saat ini diatur dalam Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (ITE) dan Peraturan Pemerintah Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) Nomor 82 Tahun 2012. Meski kedua aturan tersebut belum lama disahkan, payung hukum sistem dan transaksi elektronik dianggap masih memiliki kekurangan.
Atas kondisi tersebut, pemerintah fokus untuk merevisi PP PSTE sejak November 2016 lalu agar rampung akhir tahun ini. Terbitnya revisi regulasi ini sekaligus memberi aturan main baru bagi para penyelenggara sistem dan transaksi elektronik. Pasalnya, berdasarkan draft Rancangan Peraturan Pemerintah (RPP) yang hukumonline terima, terdapat berbagai perubahan signifikan dalam aturan baru nantinya.
“Revisi aturan ini final dan sudah ada di Setneg (tahap akhir),” kata Kepala Sub Direktorat Tatakelola Perlindungan Data Pribadi Kementerian Komunikasi dan Informatika, Hendri Sasmita Yuda dalam diskusi di Kantor Hukumonline, Kamis (30/11).
Terdapat beberapa persoalan paling menyedot perhatian dari aturan baru ini misalnya klasifikasi data dan penempatan data center. Ketentuan lain yang perlu diperhatikan dalam peraturan ini yaitu uji kelaikan atau sertifikasi sistem elektronik hingga pemutusan akses bagi penyelenggara yang melanggar peraturan.
Sehubungan dengan soal klasifikasi data, aturan ini membagi jenis data elektronik yaitu Data Elektronik Strategis, Data Elektronik Tinggi dan Data Elektronik Rendah. Untuk Data Elektronik Strategis, ketentuan ini tercantum dalam Pasal 83K RPP PSTE. Jenis data ini berhubungan dengan data pemerintahan, pertahanan dan berdampak terhadap stabilitas keuangan. Penyimpanan dan pengelolaan data strategis ini harus berada dalam wilayah Indonesia.
RPP PSTE Pasal 83K: (1) Data Elektronik Strategis yang wajib dilindungi sebagaimana dimaksud dalam Pasal 83J merupakan data yang memenuhi kriteria: a. ancaman dan/atau gangguan terhadapnya mengakibatkan terganggunya penyelenggaraan negara; b. ancaman dan/atau gangguan terhadapnya mengakibatkan terganggunya pertahanan dan keamanan; c. kriteria lain berdasarkan ketentuan Peraturan Perundang-undangan. (2) Data Elektronik Strategis yang wajib dilindungi sebagaimana dimaksud pada ayat (1) ditetapkan oleh Presiden. (3) Data Elektronik Strategis sebagaimana dimaksud pada ayat (2) diidentifikasi dan diajukan oleh Instansi Pengawas dan Pengatur Sektor melalui menteri koordinator yang lingkup koordinasinya terkait sektor. (4) Data Elektronik Strategis sebagaimana dimaksud pada ayat (1) wajib dikelola, diproses, dan disimpan di wilayah Indonesia. (5) Pengelolaan, pemrosesan, dan penyimpanan Data Elektronik Strategis sebagaimana dimaksud pada ayat (3) wajib menggunakan jaringan dan Sistem Elektronik Indonesia (6) Data Elektronik Strategis sebagaimana dimaksud pada ayat (1) dilarang dikirim, dipertukarkan, dan/atau disalin ke luar wilayah Indonesia. (7) Ketentuan sebagaimana dimaksud pada ayat (5) dapat dikecualikan dengan persetujuan Presiden. (8) Ketentuan lebih lanjut mengenai pengelolaan, pemrosesan, penyimpanan, pengiriman, pertukaran, dan/atau penyalinan Data Elektronik Strategis diatur dengan Peraturan Presiden. |
Kemudian dalam Pasal 83L, draft tersebut menjelaskan tentang kategori data tinggi. Jenis data ini merupakan data yang berkriteria bahwa ancaman dan/atau gangguan terhadap data tersebut mengakibatkan pada kepentingan pemilik data elektronik dan sektornya.
(Baca Juga: Untung Rugi Penempatan Data Center di Dalam Negeri)
Hendri menjelaskan pengelolaan, pemrosesan dan penyimpanan data ini harus dilakukan di wilayah Indonesia namun dapat juga dilakukan di luar negeri. “Asalkan memenuhi berbagai persyaratan dari pemerintah,” kata Hendri.
Sedangkan, kategori data yang tidak termasuk kedua jenis tersebut merupakan kategori data risiko rendah. Untuk pengelolaan, pemrosesan dan penyimpanan data ini dapat dilakukan di luar dan dalam negeri.
RPP PSTE Pasal 83N: Data Elektronik Strategis, Data Elektronik Tinggi, dan Data Elektronik rendah wajib disimpan dalam Sistem Elektronik sesuai dengan ketentuan peraturan perundang-undangan yang mengatur kewajiban jangka waktu penyimpanan data pada masing-masing Instansi Pengawas dan Pengatur Sektor. |
Lebih lanjut, aturan ini juga mewajibkan penyelenggara sistem elektronik melakukan uji kelayakan terhadap komponen sistem elektroniknya sebelum melakukan pelayanan publik. Nantinya, penyelenggara tersebuh harus mengantongi sertifikat keandalan dan sertifikat elektronik yang diterbitkan lembaga sertifikasi terdaftar di pemerintah.
Kewajiban uji kelaikan ini ditujukan untuk memastikan keandalan sistem elektronik penyelenggara dalam memberi perlindungan data. Selain itu, uji kelaikan ini juga memberi kepercayaan publik terhadap penyelenggaraan sistem dan transaksi elektronik. “Kewajiban ini juga memberi trust kepada publik,” jelas Hendri.
(Baca Juga: Demi Kepastian Berusaha, Pemerintah Akan Atur Klasifikasi Data Elektronik)
Hal lain yang perlu diperhatikan dari RPP PSTE ini yaitu pemutusan akses. Pemutusan akses merupakan sanksi yang diberikan kepada penyelenggara sistem dan transaksi elektronik apabila melanggar hukum dalam kegiatannya. Dalam Pasal 83 F menyatakan pemutusan akses dilakukan untuk mencegah penyebarluasan dan penggunaan informasi dan/dokumen elektronik berkonten terlarang sesuai ketentuan peraturan perundang-undangan.
RPP PSTE Pasal 83G: Pemutusan Akses dilakukan terhadap Informasi Elektronik dan/atau Dokumen Elektronik sebagaimana dimaksud dalam Pasal 83F dengan klasifikasi sebagai berikut: a. melanggar ketentuan Peraturan Perundang undangan; b. meresahkan masyarakat dan/atau mengganggu ketertiban umum; dan c. memberitahukan cara atau menyediakan Akses terhadap Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan yang dilarang sesuai dengan ketentuan peraturan perundangundangan atau muatan yang melanggar hukum. |
Sebelumnya, kehadiran rancangan peraturan ini menimbulkan polemik publik. Wacana yang muncul dari aturan ini yaitu kewajiban bagi penyelenggara sistem dan transaksi elektronik menempatkan data center di Indonesia. Ketentuan ini dianggap berpotensi terjadinya eksploitasi data publik sehingga dapat melanggar hak privasi publik. Selain itu, penempatan data center dalam negeri juga dianggap rawan karena sumber daya manusia dan infrastruktur pendukung dalam negeri dianggap belum siap.
Salah satu kritik mengenai kewajiban penempatan data center dalam negeri disampaikan Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar. Dia menilai penempatan data center dalam negeri rawan diekspoitasi atau disalahgunakan untuk kepentingan pihak tertentu. Terlebih lagi, saat ini mulai marak penggunaan data pribadi menjelang pelaksanaan pemilihan umum (Pemilu) 2019 yang mengandalkan data digital.
Kepala Sub Bagian Penyusunan Rancangan Peraturan Kementerian Komunikasi dan Informatika Hendri Sasmita Yuda bersama Direktur Konten dan Pemberitaan Hukumonline Amrie Hakim.
Berbeda dengan penempatan data center dalam negeri, penempatan di luar negeri akan jauh lebih sulit diekspolitasi karena harus memenuhi berbagai prosedur untuk pengaksesan datanya. Wahyudi juga menganggap pengamanan data tersebut oleh regulator maupun penegak hukum masih lemah sehingga dapat dimanfaatkan atau dicuri.
Terlebih lagi, saat ini belum ada perangkat undang-undang yang komprehensif dan memadai untuk perlindungan data pribadi menjadi salah satu indikasi perlindungan data dalam negeri masih lemah.
“Dari sudut pandang konsumen, apakah penempatan data center di Indonesia akan lebih aman, terlindungi atau tidak ada kebocoran? Di Malaysia, data centernya yang ditempatkan di negaranya ternyata masih ada kebocoran data penduduk. Jangan-jangan di luar negeri malah jauh lebih aman,” kata Wahyudi saat dihubungi hukumonline, Rabu (14/11).
Dia membandingkan dengan beberapa negara lain yang sudah lebih siap dari sisi peraturan untuk memberi perlindungan data pribadi warga negaranya. Saat ini, lebih dari 101 negara di dunia telah memiliki instrumen hukum yang secara khusus mengatur mengenai perlindungan data pribadi warga negaranya. Bahkan, negara-negara Asia Tenggara seperti Malaysia, Filipina, Singapura, dan Laos telah memiliki instrumen hukum komprehensif mengatur perlindungan data pribadi bagi warga negaranya.
“Sedangkan Indonesia hingga saat ini, belum memiliki undang-undang yang secara khusus mengatur mengenai perlindungan data pribadi,” kata Wahyudi.
Dengan demikian, dia mengimbau pemerintah segera merampungkan Rancangan Undang Undang Perlindungan Data Pribadi (PDP) agar dapat disesuaikan dengan PP PSTE tersebut. Menurutnya, UU PDP tersebut nantinya akan memuat penjelasan lebih detil mengenai hak dari subjek dan kewajiban data controller serta data processor di Indonesia. Lalu, dalam UU PDP tersebut juga akan memuat kejelasan kewajiban dan tanggung jawab dari perusahaan penyedia layanan, yang mengumpulkan data pribadi konsumennya.
Dari sisi infrastuktur dan sumber daya dalam negeri juga dianggap belum memadai untuk penempatan data center dalam negeri. Dia mengkhawatirkan ketersediaan pasokan listrik yang masih minim untuk data center.
“Urusan listrik (rumah tangga) belum beres, tapi tiba-tiba pasokan listrik dialihkan untuk data center itu. Apalagi Indonesia wilayah rawan bencana,” kata Wahyudi.