“Sangat mendesak bagi Indonesia untuk memiliki hukum perlindungan data pribadi yang baru karena kompleksnya bisnis digital saat ini,” kata Abadi Abi Tisnadisastra, partner firma hukum AKSET. Abi hadir sebagai salah satu narasumber seminar internasional Perhimpunan Advokat Indonesia (Peradi) bekerjasama dengan The International BAR Association (IBA), Kamis (8/8) di Bali.
Keresahan senada dengan Abi juga disampaikan oleh Wayan Koster selaku Gubernur Bali dalam sambutannya untuk membuka seminar bertajuk A Global and Local Legal Perspective in Investment tersebut. Melalui kata sambutan yang dibacakan oleh perwakilannya, Wayan Koster mengungkapkan pentingnya kepastian hukum dalam mengelola arus investasi ke Indonesia.
Berbagai faktor yang akan menghambat investasi perlu untuk dihapuskan termasuk persoalan berkaitan regulasi. “Dengan perbaikan berbagai faktor penunjang tersebut, diharapkan realisasi penanaman modal akan membaik secara signifikan,” Wayan berpendapat. Ia menyambut baik penyelenggaraan seminar oleh Peradi dan IBA di Bali yang dihadiri ratusan corporate counsel dari berbagai negara.
Foto: NEE
Salah satu acuan untuk menyusun hukum perlindungan data pribadi di berbagai negara saat ini adalah General Data Protection Regulation (GDPR). Paket regulasi yang disahkan Uni Eropa tahun 2016 itu telah mempengaruhi sejumlah kebijakan perlindungan data pribadi di seluruh dunia. Regulasi khusus ini pun menjadi salah satu pertimbangan dalam penyusunan RUU Perlindungan Data Pribadi di Indonesia.
Suka atau tidak, GDPR berpengaruh pada iklim bisnis di seluruh dunia. GDPR mengikat di seluruh wilayah anggota Uni Eropa. Setiap organisasi di wilayah Uni Eropa wajib mengelola data pribadi yang mereka kumpulkan dengan standar GDPR. Selain itu, organisasi di luar wilayah Uni Eropa namun memberikan layanan jasa atau barang bagi penduduk di Uni Eropa juga wajib tunduk kepada GDPR.
Berbeda dengan Indonesia, setidaknya ada lebih dari 30 undang-undang yang mengatur perlindungan data pribadi secara parsial. Salah satu yang kerap menjadi rujukan utama saat ini justru UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) beserta dua aturan pelaksananya.
Kedua aturan itu adalah PP No.82 Tahun 2012 tentang Penyelenggaraan Sistem Dan Transaksi Elektronik(PP PSTE) dan Permenkominfo No.20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo Perlindungan Data Pribadi).
Berikut beberapa substansi perbandingan terhadap GDPR yang hukumonline catat berdasarkan seminar internasional Peradi di Bali tersebut:
- Definisi data pribadi
GDPR memberi definisi data pribadi sebagai “any information relating to an identified or identifiable natural person”. Maksud dari identifiable adalah apabila informasi tertentu dapat menjadi penanda rasional untuk mengenali individu tertentu. Misalnya alamat IP, nomor ponsel, atau data lokasi. GDPR juga membedakan data pribadi yang berkaitan dengan bukti kejahatan.
Sementara itu, data pribadi disebut dalam PP PSTE sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. Tidak ada penjelasan soal apa yang dimaksud data perseorangan. Namun, tercatat bahwa pasal 58 UU No.23 Tahun 2006 jo. UU No.24 Tahun 2013 tentang Administrasi Kependudukan (UU Kependudukan) sering menjadi rujukan definisi data perseorangan.
(Baca: Corporate Counsel Harus Awasi Standar Pengolahan Data di Perusahaan)
Disebutkan dalam Pasal 58 UU Kependudukan bahwa data perseorangan meliputi 31 hal yaitu nomor KK; NIK; nama lengkap; jenis kelamin; tempat lahir; tanggal/bulan/tahun lahir; golongan darah; agama/kepercayaan; status perkawinan; status hubungan dalam keluarga; cacat fisik dan/atau mental; pendidikan terakhir; jenis pekerjaan; NIK ibu kandung; nama ibu kandung; NIK ayah; nama ayah; alamat sebelumnya; alamat sekarang; kepemilikan akta kelahiran/surat kenal lahir; nomor akta kelahiran/nomor surat kenal lahir; kepemilikan akta perkawinan/buku nikah; nomor akta perkawinan/buku nikah; tanggal perkawinan; kepemilikan akta perceraian; nomor akta perceraian/surat cerai; tanggal perceraian; sidik jari; iris mata; tanda tangan; dan elemen data lainnya yang merupakan aib seseorang.
- Pihak yang betanggung jawab
GDPR menyebut istilah ‘controllers’ (pengendali) dan ‘processors’ (pengelola) data sebagai pihak yang bertanggung jawab menjamin perlindungan data pribadi. Pengendali adalah pihak yang menentukan maksud dan tujuan dari pengelolaan data pribadi. Sedangkan pihak pengelola memberikan instruksi soal mengapa dan bagaimana data tersebut akan digunaka untuk keperluan organisasi.
Pengelola data bertanggung jawab melaksanakan perannya atas nama pengendali. Beban tanggung jawab yang diberikan GDPR kepada pengelola juga tidak sebanyak untuk pengendali data.
Sementara itu, PP PSTE menggunakan istilah penyelenggara sistem elektronik. Termasuk di dalamnya adalah setiap orang, penyelenggara negara, badan usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan sistem elektronik secara sendiri-sendiri maupun bersama-sama kepada pengguna sistem elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. Tidak ada pembedaan pihak seperti pada GDPR.
- Pihak yang mengawasi
Uni Eropa membentuk The European Data Protection Board yang diisi perwakilan otoritas pengawasan dari tiap negara anggota Uni Eropa. Setiap negara anggota Uni Eropa memiliki lembaga khusus yang mengawasi pelaksanaan GDPR.
Indonesia tidak memiliki satu lembaga khusus yang mengawasi perlindungan data pribadi secara menyeluruh. Hal ini karena pengaturan perlindungan data pribadi masih tersebar. Masing-masing lembaga terkait aturan sektoral mengawasi perlindungan data pribadi yang menjadi kewenangannya.
- Sanksi pelanggaran hak
GDPR mengatur denda mulai dari 4% dari pendapatan total secara global di seluruh dunia hingga 20 juta Euro jika terbukti melanggar standar GDPR. Termasuk pula ada hak kompensasi bagi pihak yang dirugikan.
Hal ini sangat jauh berbeda dengan sanksi administratif dan sanksi pidana bagi penyelenggara sistem elektronik yang tidak memenuhi hak perlindungan data pribadi di Indonesia. Meskipun masih terbuka peluang mendapat kompensasi yang bisa diajukan melalui gugatan perdata atas kerugian yang ditimbulkan.
“Indonesia adalah pasar besar yang sangat diminati investor untuk pengembangan bisnis digital,” kata Abi dalam penjelasannya.
Oleh karena itu, menyediakan regulasi yang memadai agar bisnis digital dapat berkembang dengan baik perlu menjadi perhatian serius setiap pemangku kepentingan. Termasuk para lawyer Indonesia pun harus memiliki penguasaan memadai terhadap rezim baru perlindungan data pribadi yang menjadi acuan.