Komparasi Perlindungan Data Pribadi di Indonesia dan Uni Eropa

Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya (Pasal 1 Permen Kominfo Nomor 20 Tahun 2016). Memaknai privasi sebagai suatu hak yang melekat dan dilindungi oleh Konstitusi di Indonesia, apakah pengaturan perlindungan data pribadi di Indonesia sudah matang? Mari kita bandingkan Data Perlindungan Pribadi di Indonesia  dengan Uni Eropa.

Pengaturan Perlindungan Data Pribadi di Indonesia        

Pengaturan mengenai perlindungan data pribadi di Indonesia ditemukan secara terpisah dalam beberapa peraturan perundang-undangan. Yang pertama ialah pengaturan konsep dasar mengenai sistem informasi yang dapat ditemukan dalam Undang-Undang Nomor 19 Tahun 2016 yang merupakan perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, yang menyatakan bahwa “Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya”. Kemudian terdapat pula pengaturan organik dari data pribadi yang diatur dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Dalam ketentuan umum menyebutkan bahwasannya “Data Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui Sistem Elektronik dan /atau nonelektronik”. Pengaturan lebih lanjut terdapat pada Peraturan Menteri Komunikasi dan Informasi Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Pengaturan mengenai data pribadi juga secara terpisah-pisah dapat ditemukan di berbagai peraturan perundang-undangan seperti Peraturan Menteri Komunikasi dan Informasi Nomor 11 Tahun 2016 tentang Klasifikasi Permainan Interaktif Elektronik, Undang-Undang Nomor 43 Tahun 2009 tentang Kearsipan, Peraturan Menteri Komunikasi dan Informasi Nomor 4 Tahun 2016 tentang Sistem Manajemen Pengaman Informasi Peraturan Menteri Komunikasi dan Informasi Nomor 36 Tahun 2014 tentang Tata Cara Pendaftaran Penyelenggara Sistem Elektronik, dan masih banyak lagi yang berhubungan dengan data pribadi dalam konteks hukum positif Indonesia.

Pengaturan Perlindungan Data Pribadi di Uni Eropa

GDPR (General Data Protection Regulation) adalah regulasi terbaru yang dikeluarkan oleh Uni Eropa untuk melindungi data pribadi warganya dari penyalahgunaan data yang dilakukan oleh perusahaan-perusahaan baik yang berada di Uni Eropa maupun perusahaan asing yang menggunakan data dari warga Uni Eropa. Karenanya, aturan ini berlaku secara universal baik bagi perusahaan Uni Eropa maupun Perusahaan Asing selama mereka melakukan pengambilan dan pengelolaan data dari masyarakat Uni Eropa. GDPR ini mulai disahkan pada tahun 2016 namun baru berlaku mulai 25 Mei 2018. Peraturan ini mengendalikan dan mewajibkan pelaku bisnis, pemerintah dan organisasi-organisasi lain untuk menerapkan metode transparansi kepada pengguna mengenai praktik yang dilakukan atas data mereka, dan mengatur bagaimana pelaku bisnis atau organisasi tersebut mengumpulkan, memproses dan menyimpan data pengguna mereka. Regulasi ini juga merupakan bentuk revisi serta pembaharuan dari regulasi sebelumnya yaitu Data Protection 95/46/EC yang membahas mengenai penggunaan informasi identitas pribadi (Personally Identifiable Information atau PII) konsumen di negara-negara dalam lingkup Uni Eropa. Kompleksitas teknologi yang berevolusi sejalan dengan adanya perkembangan zaman menyebabkan regulasi tersebut dianggap belum lengkap karena belum mencakup penggunaan data-data pada ponsel pintar dan media sosial sehingga belum memberikan kepastian hukum dan perlindungan atas penggunaan, pengelolaan maupun penyalahgunaan data-data yang ada di gawai maupun media sosial. Pada akhirnya, tujuan dari pembaharuan regulasi sebelumnya yaitu Data Protection 95/46/EC menjadi regulasi baru yaitu GDPR adalah untuk mengembalikan otoritas pengontrolan data ke tangan konsumen (pengguna layanan) di semua platform termasuk ponsel pintar dan media sosial, setelah sebelumnya data tersebut berada di bawah kendali perusahaan yang telah mengumpulkan data.

Dalam substansi aturannya, GDPR dalam hal ini menetapkan beberapa syarat mengenai tanggung jawab dan akuntanbilitas perusahaan-perusahaan terhadap data pribadi pengguna dengan menentukan apa yang dapat dan tidak dapat dilakukan terhadap data tersebut. Dalam hal ini juga termasuk menetapkan standar enkripsi, permintaan persetujuan konsumen, menetapkan berapa lama data dapat disimpan perusahaan dan meminta perusahaan-perusahaan untuk melindungi data tersebut melalui desain beserta keseluruhan pemberlakuan pengaturan yuridisnya.

Aturan ini memiliki pandangan terhadap data pribadi sebagai setiap informasi yang berkaitan dengan orang hidup yang dapat diidentifikasikan. Data pribadi dilindungi dengan cara apapun tidak mementingkan cara penyimpanan data tersebut baik tertulis maupun secara digital. Pada intinya, semua data dilindungi oleh GDPR. “Data pribadi” menurut GDPR dalam pengertiannya secara luas yaitu “setiap informasi terkait seseorang yang diidentifikasi atau dapat diidentifikasi.” Jenis data-data pribadi yang diatur dan dilindungi oleh GDPR diantaranya adalah nama, alamat IP (lokasi), gambar/foto, alamat email, alamat rumah, aktivitas media sosial, informasi perbankan dan detail informasi medis. Peraturan tersebut memberikan hak kepada konsumen untuk dapat meminta kembali salinan data mereka, hak untuk memilih keluar dari sistem data dan hak agar data mereka dihapus. Kemudian terkait sistem yang dibuat dibawah aturan GDPR ini, semua anggota Uni Eropa wajib membentuk instansi yang menjalankan urusan mengenai perlindungan data atau petugas perlindungan data yang disebut dengan Data Protection Officer atau disebut juga DPA (Data Protection Agrency). DPA merupakan lembaga pemerintah independen yang melakukan supervisi terhadap implementasi peraturan yang mengatur mengenai perlindungan data pribadi. DPA dibentuk untuk menindaklanjuti keluhan terhadap pelanggaran dalam GDPR.

Dalam implementasinya, DPA bertanggung jawab untuk melakukan manajemen penggunaan data dan juga sebagai kontak utama dengan otoritas perlindungan data Uni Eropa. Direktif baru ini memiliki tugas besar untuk mengontrol bagaimana cara perusahaan berkomunikasi terhadap konsumen (pengguna layanan) dan bagaimana perusahaan mengelola data. Pelaksanaan pemenuhan dan kepatuhan peraturan itu juga dijalankan oleh Direktif Perlindungan Data dengan menyediakan infrastruktur hukum yang memastikan hak-hak konsumen atas data pribadi mereka dan memastikan dihukumnya setiap pelanggaran yang dilakukan.

Dalam pengaturan GDPR ini, terdapat beberapa hal penting yang akan  dibandingkan dengan pengaturan perlindungan data pribadi di Indonesia. Yang pertama, terdapat pengaturan mengenai klasifikasi data pribadi yang dapat dihapus yang berupa nama, alamat IP (lokasi), gambar/foto, alamat email, alamat rumah, aktivitas media sosial, informasi perbankan dan detail medis. Yang kedua adalah adanya mekanisme notifikasi penghapusan data pribadi. Yang ketiga adalah adanya pengawas pengelola data.  Dan yang keempat adalah adanya standardisasi formulir Privacy Policy.

Privacy policy adalah kebijakan privasi dari sebuah web atau blog. Adanya kebijakan privacy agar pengguna mengetahui ketentuan-ketentuan atau kebijakan yang ada dalam system elektronik tersebut sehingga pengguna dapat mematuhi peraturan yang ada di privacy policy.

Sedangkan di Indonesia belum memiliki klasifikasi terhadap data pribadi yang dapat dilakukan penghapusan. Adapun konsepsi teknis dari data pribadi juga belum ditemukan dalam peraturan perundang-undangan. Yang kedua adalah tidak adanya mekanisme notifikasi penghapusan data pribadi, melainkan harus melalui putusan pengadilan. Hal ini juga merupakan implikasi dari tidak adanya lembaga khusus dan independen yang bergerak di bidang pengawasan penggunaan data oleh penyelenggara layanan. Serta tidak adanya standardisasi bentuk Privacy Policy.

 

 

Referensi :

  • PERMEN KOMINFO NOMOR 20 TAHUN 2016
  • Peraturan Pemerintah Nomor 71 Tahun 2019
  • Uni Eropa, The General Data Protection Regulation (GDPR)

 

CATEGORIES
TAGS

COMMENTS