Melalui Permenkominfo 20/2016, diatur bahwa perlindungan data pribadi yang diperoleh pemilik data mencakup perlindungan atas perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan dan pemusnahan data pribadi (vide; Pasal 2). Kominfo juga sempat dikabarkan akan memberikan formulir khusus untuk menjamin cakupan dalam perlindungan data pribadi yang diberikan.
“Sayangnya sampai saat ini sejauh pengetahuan saya belum ada formulir khusus itu dikeluarkan oleh kominfo. Jadi sampai sekarang kalau mau masuk aplikasi pengguna harus setuju dengan privacy policy masing-masing aplikasi, kalau enggak setuju enggak bisa dipakai,” katanya.
Ia menilai perkembangan aturan dari tahun 2008 (UU ITE) ke 2012 (PP PSTE) hingga perkembangan yang diatur dalam Permenkominfo 2016 tak berdampak signifikan dan tak memberikan perubahan yang begitu berarti dalam perlindungan data pribadi. Ketentuan persebaran data dari perusahaan anak ke induk perusahaan di luar negeri yang harusnya disediakan formulir khusus, sampai saat ini masih belum ada.
Bila terjadi breach atau terjadi kebocoran atas data pribadi yang tersebar di Luar Negeri siapakah yang bisa dimintai pertanggungjawaban secara hukum? Sugianto Osman menambahkan bahwa pemilik data pribadi bisa menggugat pihak yang langsung memiliki hubungan hukum dengan pemilik data (owner), sekalipun perusahaan yang bersangkutan sudah dikenakan sanksi pidana tetap tak menghalangi owner untuk mengajukan gugatan.
Contohnya, owner menyetujui privacy policy untuk menggunakan suatu aplikasi milik pengendali data (controller). Controller kemudian membagikan data owner kepada pemroses data (processor) yang pada akhirnya bocor akibat kelalaian processor.
“Dalam konteks ini owner nge-sue (gugat) controller karena dia yang memiliki hubungan hukum langsung dengan owner. Di sisi lain biasanya controller juga akan gugat processor karena merasa dirugikan dan memiliki hubungan langsung dengan controller,” jelasnya.