Pernahkah anda mendapatkan pemberitahuan baik melalui SMS, media social atau aplikasi yang terinstal di ponsel anda terkait rencana belanja atau mungkin rencana liburan anda? Darimanakah aplikasi itu mengetahui bahwa anda berencana akan berlibur misalnya ke Bali? Atau yang lebih ekstrem, sadarkah anda ke lokasi mana saja anda berjalan seharian ternyata bisa terekam dan dimanfaatkan pihak lain?
Bila dicoba mengingat, mungkin saja anda pernah memberikan consent atau persetujuan ketika hendak meng-instal aplikasi tertentu untuk mengakses data pribadi yang tersimpan di ponsel anda. Atau bahkan perilaku anda di media sosial, baik status atau gambar yang anda posting mungkin telah dimanfaatkan dan diolah oleh mesin analisis otomatis yang berfungsi untuk menganalisa perilaku atau kecenderungan gaya hidup anda.
Dari situ, data pribadi anda berikut analisanya diperjualbelikan untuk kepentingan komersil promosi bahkan bisa mengancam keselamatan anda atau mungkin harta benda anda. Maka tak ayal jika data kini disebut-sebut lebih berharga dari barang tambang. Begitu banyak perusahaan yang berlomba-lomba ‘menambang data’.
Persoalannya, tahukah anda data pribadi mana saja yang anda miliki yang tersebar dan diperjualbelikan pihak yang anda tidak ketahui? Sudah cukup amankah perlindungan yang diberikan Pemerintah terhadap data pribadi masyarakat Indonesia? Dari sekitar 30 pengaturan perlindungan data pribadi di Indonesia yang tersebar secara parsial, masih butuhkah RUU PDP untuk mengatur secara khusus?
“Diatur tidak diatur oleh RUU PDP data kita (red-masyarakat Indonesia) sudah telanjang,” kata Ketua Indonesia Cyber Law Community (ICLC), Teguh Arifiyadi dalam Workshop Hukumonline yang berjudul Perlindungan Data Pribadi: Implementasi Penerapan Standar Privacy Policy Terbaik Saat ini Bagi Pelaku Usaha, Senin (26/8).
Ia menyoroti kondisi data pribadi masyarakat Indonesia yang ternyata sangat mudah diakses baik melalui jalur legal dan non-legal. Melalui scribd saja, foto Kartu Keluarga (KK) banyak sekali bisa ditemukan. Begitupula halnya dengan KTP hingga bahkan foto yang sifatnya sangat pribadi. Tanpa teknik peretasan pun, katanya, zaman sekarang sangat mudah sekali menemukan data-data itu.
Tak main-main, ia menyebut data yang sudah dihapus pemilik data bahkan bisa dimunculkan kembali melalui aplikasi recovery file. Sekalipun sudah dilakukan factory data reset, kemungkinan memunculkan kembali data yang sudah terhapus akan tetap ada. Sekalinya ponsel kita diretas atau diketahui password emailnya, maka data yang diperoleh pihak lain itu akan sulit dihilangkan.
(Baca: Masih Ada Aturan yang Bisa Dioptimalkan untuk Melindungi Data Pribadi)
Kesadaran masyarakat sendiri juga rendah untuk melindungi data pribadinya. ‘Kemalasan’ untuk membaca term & condition sebelum menyetujui pemakaian aplikasi hampir dilakukan oleh mayoritas penduduk.
Betapa tidak? term & condition yang disuguhkan aplikasi dinilai oleh Partner Firma Hukum Ginting & Reksodiputro in association with Allen & Overy LLP, Sugianto Osman, kerap memuat klausula baku atau blanket approval yang tak memberikan publik pilihan untuk menolak pasal tertentu dalam persetujuan. Bahasa yang digunakan pun, seringkali menggunakan bahasa terjemahan yang ditulis dengan huruf-huruf kecil hingga mencapai 2000 karakter.
“Karena merasa butuh aplikasinya, akhirnya disetujui saja. Kebanyakan orang Indonesia melakukan itu,” katanya.
Akibat tidak memperhatikan betul data pribadi apa saja yang akan diambil oleh aplikasi dari ponsel pengguna dan apa dampak dari pengambilan data itu, setiap gerak-gerik seseorang bisa saja diawasi tanpa mengetahui siapa yang mengawasinya.
Padahal, UU No. 8 Tahun 1999 tentang Perlindungan Konsumen telah melarang penggunaan klausula baku (vide; Pasal 18), hanya saja pengawasannya masih lemah terlebih untuk beragam aplikasi yang kini semakin berkembang.
Framework Aturan Saat Ini
Melihat aturan yang saat ini berlaku, counsel pada Firma Hukum Ginting & Reksodiputro, Dion Alfadya, menyebut ada sekitar 30 aturan yang saat ini mengatur perlindungan data pribadi, mulai dari UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) berikut perubahannya melalui UU 19 Tahun 2016, PP No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE), Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi, UU No. 23 Tahun 2006 tentang Administrasi Kependudukan, UU No 14 Tahun 2008 tentang Keterbukaan Informasi Publik (UU KIP) dan lainnya.
“Ketentuan yang tersebar itu tak spesifik meng-cover perlindungan data pribadi secara utuh. Draft RUU PDP lah yang ketika nanti disahkan dapat memperlihatkan apakah Indonesia cukup menempatkan data pribadi sebagai suatu hal yang bernilai, dan itu juga akan berpengaruh pada investasi,” katanya.
Melalui Permenkominfo 20/2016, diatur bahwa perlindungan data pribadi yang diperoleh pemilik data mencakup perlindungan atas perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan dan pemusnahan data pribadi (vide; Pasal 2). Kominfo juga sempat dikabarkan akan memberikan formulir khusus untuk menjamin cakupan dalam perlindungan data pribadi yang diberikan.
“Sayangnya sampai saat ini sejauh pengetahuan saya belum ada formulir khusus itu dikeluarkan oleh kominfo. Jadi sampai sekarang kalau mau masuk aplikasi pengguna harus setuju dengan privacy policy masing-masing aplikasi, kalau enggak setuju enggak bisa dipakai,” katanya.
Ia menilai perkembangan aturan dari tahun 2008 (UU ITE) ke 2012 (PP PSTE) hingga perkembangan yang diatur dalam Permenkominfo 2016 tak berdampak signifikan dan tak memberikan perubahan yang begitu berarti dalam perlindungan data pribadi. Ketentuan persebaran data dari perusahaan anak ke induk perusahaan di luar negeri yang harusnya disediakan formulir khusus, sampai saat ini masih belum ada.
Bila terjadi breach atau terjadi kebocoran atas data pribadi yang tersebar di Luar Negeri siapakah yang bisa dimintai pertanggungjawaban secara hukum? Sugianto Osman menambahkan bahwa pemilik data pribadi bisa menggugat pihak yang langsung memiliki hubungan hukum dengan pemilik data (owner), sekalipun perusahaan yang bersangkutan sudah dikenakan sanksi pidana tetap tak menghalangi owner untuk mengajukan gugatan.
Contohnya, owner menyetujui privacy policy untuk menggunakan suatu aplikasi milik pengendali data (controller). Controller kemudian membagikan data owner kepada pemroses data (processor) yang pada akhirnya bocor akibat kelalaian processor.
“Dalam konteks ini owner nge-sue (gugat) controller karena dia yang memiliki hubungan hukum langsung dengan owner. Di sisi lain biasanya controller juga akan gugat processor karena merasa dirugikan dan memiliki hubungan langsung dengan controller,” jelasnya.