Komparasi Penghapusan Data pada Pengaturan Perlindungan Data Pribadi di Indonesia dan Uni Eropa

1.Pengaturan Perlindungan Data Pribadi di Indonesia

Pengaturan  mengenai  perlindungan  data  pribadi  di  Indonesia  ditemukan secara  terpisah  dalam  beberapa  peraturan  perundang-undangan.  Yang  pertama ialah  pengaturan  konsep  dasar  mengenai  sistem  informasi  yang  dapat  ditemukan dalam  Undang-Undang Nomor  19  Tahun  2016  yang  merupakan  perubahan  atas Undang-Undang   Nomor   11   Tahun   2008   tentang   Informasi   dan   Transaksi Elektronik,  yang  menyatakan  bahwa “Informasi  Elektronik  adalah  satu  atau sekumpulan  data  elektronik,  termasuk  tetapi  tidak  terbatas  padatulisan,  suara, gambar,   peta,   rancangan,   foto, electronic   data   interchange (EDI),   surat elektronik  (electronic  mail),  telegram,  teleks, telecopy atau  sejenisnya,  huruf, tanda, angka, Kode Akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya”. Kemudian  terdapat  pula  pengaturan  data  pribadi  yang  diatur dalam  Peraturan  Pemerintah  Nomor  71  Tahun  2019  tentang  Penyelenggaraan Sistem dan   Transaksi   Elektronik.   Dalam   ketentuan   umum   menyebutkan bahwasannya “Data  Pribadi  adalah  setiap  data  tentang  seseorang  baik  yang teridentifikasi  dan/atau  dapat  diidentifikasi  secara  tersendiri  atau  dikombinasi dengan  informasi  lainnya  baik  secara  langsung  maupun  tidak  langsung  melalui Sistem Elektronik dan /atau nonelektronik”. Pengaturan lebih lanjut terdapat pada Peraturan  Menteri  Komunikasi  danInformasi  Nomor  20  Tahun  2016  tentang Perlindungan Data Pribadi  dalam Sistem Elektronik. Pengaturan   mengenai   data   pribadi   juga   secara   terpisah-pisah   dapat ditemukan  di  berbagai  peraturan  perundang-undangan  seperti Peraturan  Menteri Komunikasi dan  Informasi Nomor 11 Tahun 2016 tentang Klasifikasi Permainan Interaktif Elektronik, Undang-Undang Nomor 43 Tahun 2009 tentang Kearsipan, Peraturan  Menteri  Komunikasi  dan  Informasi  Nomor  4  Tahun  2016  tentang Sistem  Manajemen  Pengaman  InformasiPeraturan  Menteri  Komunikasi  dan Informasi  Nomor  36  Tahun  2014  tentang  Tata  Cara  Pendaftaran  Penyelenggara Sistem Elektronik, dan masih banyak lagi  yang berhubungan dengan data pribadi dalam  konteks  hukum  positif  Indonesia.

2. Pengaturan Perlindungan Data Pribadi di Uni Eropa

GDPR  (General  Data  Protection  Regulation) adalah  regulasi di Uni  Eropa untuk   melindungi   data   pribadi   warganya   dari  penyalahgunaan   data   yang dilakukan  oleh  perusahaan-perusahaan  baik  yang berada  di  Uni  Eropa  maupun perusahaan  asing  yang  menggunakan  data  dari  warga  Uni  Eropa.  Karenanya, aturan  ini  berlaku  secara  universal  baik  bagi  perusahaan  Uni  Eropa  maupun Perusahaan  Asing  selama  mereka  melakukan  pengambilan  dan  pengelolaan  data dari  masyarakat  Uni  Eropa. GDPR ini  mulai  disahkan  pada  tahun  2016  namun baru berlaku mulai 25 Mei 2018.

Peraturan ini mengendalikan dan mewajibkan pelaku   bisnis,   pemerintah   dan   organisasi-organisasi   lain   untuk   menerapkan metode transparansi kepada pengguna mengenai praktik yang dilakukan atas data mereka,   dan   mengatur   bagaimana   pelaku   bisnis   atau   organisasi   tersebut mengumpulkan, memproses dan menyimpan data pengguna mereka.

Dalam  substansinya, GDPR dalam  hal  ini  menetapkan  beberapa  syarat mengenai tanggung jawab dan akuntabilitas perusahaan-perusahaan terhadap data pribadi  pengguna  dengan  menentukan  apa  yang  dapat  dan  tidak  dapat  dilakukan terhadap data tersebut. Dalam hal ini juga termasuk menetapkan standar enkripsi, permintaan  persetujuan  konsumen,  menetapkan  berapa  lama  data  dapat  disimpan perusahaan  dan  meminta  perusahaan-perusahaan  untuk  melindungi  data  tersebut melalui desain beserta keseluruhan pemberlakuan pengaturan yuridisnya. Aturan   ini   memiliki   pandangan   terhadap   data   pribadi   sebagai   setiap informasi  yang  berkaitan  dengan  orang  hidup  yang  dapat  diidentifikasikan.  Data pribadi  dilindungi  dengan  cara  apapun  tidak  mementingkan  cara  penyimpanan data  tersebut  baik  tertulis  maupun  secara  digital.  Pada  intinya,semua  data dilindungi  oleh  GDPR. “Data  pribadi”  menurut  GDPR  dalam  pengertiannya secara luas yaitu “setiap informasi terkait seseorang yang diidentifikasi atau dapat diidentifikasi.”

Jenis  data-data  pribadi  yang  diatur  dan  dilindungi  oleh  GDPR diantaranya  adalah  nama, Internet  Protocol  Adress atau IP Adress (alamat), gambar/foto,   alamat   email,   alamat   rumah,   aktivitas   media   sosial,   informasi perbankan dan detail informasi medis. Peraturan tersebut memberikan hak kepada konsumen untuk dapat meminta kembali salinan data mereka, hak untuk memilih keluar dari sistem data dan hak agar data mereka dihapus. Kemudian  terkait  sistem  yang  dibuat  dibawah  aturan  GDPR  ini,  semua anggota Uni Eropa wajib membentuk instansi yang menjalankan urusan mengenai perlindungan  data  atau  petugas  perlindungan  data yang  disebut  dengan  Data Protection  Officer  atau disebut  juga DPA  (Data  Protection  Agrency).  DPA merupakan  lembaga  pemerintah  independen  yang  melakukan  supervisi  terhadap implementasi peraturan yang mengatur mengenai perlindungan data pribadi. DPA dibentuk  untuk  menindaklanjuti  keluhan  terhadap  pelanggaran  dalam  GDPR. Dalam  implementasinya, DPA  bertanggung  jawab  untuk melakukan manajemen penggunaan  data  dan  juga  sebagai  kontak  utama  dengan  otoritas  perlindungan data   Uni   Eropa.   Direktif   baru   ini   memiliki   tugas   besar untuk mengontrol bagaimana   cara   perusahaan   berkomunikasi   terhadap   konsumen (pengguna layanan) dan bagaimana perusahaan mengelola data.

Dalam   pembahasan   pada tulisan  ini  yang  menjadi  fokus  penulis  adalah  substansi  aturan  GDPR  yang mengatur mengenai penghapusan data yang biasa disebut “Right to Forgotten”  Hak tersebut  merupakan hak  yang  diberikan  kepada  pemilik  data  pribadi  untuk meminta  data  mengenai  dirinya  yang  berada  dibawah  kendali  pengelola  data untuk dapat dihapus dan dimusnahkan.

Dalam pengaturan GDPR ini, terdapat beberapa hal penting yang kemudian menjadi  dasar  bagi  penulis  untuk dibandingkan dengan  pengaturan  perlindungan data pribadi di Indonesia.

1. terdapat pengaturan mengenai klasifikasi data pribadi   yang   dapat   dihapus yang   berupa nama,   alamat   IP   (lokasi), gambar/foto,   alamat   email,   alamat   rumah,   aktivitas   media   sosial,   informasi perbankan  dan  detail
2. Adanya mekanisme  notifikasi penghapusan data pribadi.
3. Yang ketiga adalah adanya pengawas pengelola data.
4. adanya standardisasi formulir Privacy Policy.

Sedangkan  di  Indonesia  sendiri  berdasarkan  rangkaian  pengaturan  data pribadi  yang  telah  dijelaskan  diatas,  belum  memiliki  klasifikasi  terhadap  data pribadi  yang  dapat  dilakukan  penghapusan.  Adapun  konsepsi  teknis  dari  data pribadi juga belum ditemukan dalam peraturan perundang-undangan. Yang kedua adalah  tidak  adanya  mekanisme  notifikasi  penghapusan  data  pribadi,  melainkan harus  melalui  putusan  pengadilan.  Hal  ini  juga  merupakan  implikasi  dari  tidak adanya  lembaga  khusus  dan  independen  yang  bergerak  di  bidang  pengawasan penggunaan  data  oleh  penyelenggara  layanan.  Serta  tidak  adanya  standardisasi bentuk Privacy Policy yang seragam.

Regulasi di Indonesia terkait dengan penghapusan data pribadi dirasa masih belum  mengakomodasi perkembangan  zaman  dalam  segi  ekonomi.  Meski telah diatur  lebih  teknis  melalui  Peraturan  Menteri  Komunikasi  dan  Informasi  Nomor 20  Tahun  2016,  namun  perihal  penghapusan  data  pribadi  di  Indonesia  masih berada  pada  titik  kekosongan  hukum  di  beberapa  sektor  apabila  memperhatikan ketentuan di yang berlaku di Uni Eropa (GDPR) seperti makna dan jenis dari Data Pribadi,   standardisasi   Peraturan   Perusahaan,   dan   ketentuan   terkait   dengan notifikasi  telah  dihapusnya  data  pribadi.  Sektor-sektor  demikian  mengakibatkan praktik  pengelolaan  data  di  Indonesia  berada  pada  titik  yang  tidak  dapat  diawasi seperti  dalam  kasus  Facebook  yang  mana  beberapa  pengguna  Media  Sosial Facebook    yang    merupakan    Warga    Negara    Indonesia    menjadi    korban penyalahgunaan   data   karena   dalam   yurisdiksi   hukum   Indonesia   belum   ada pengaturan  yuridis  yang  dapat  mengatur,  mengawasi  dan  memberi  sanksi  atas penyelenggaraan perlindungan data pribadi.

Sumber :

• Ramadhani, S. A. (2022). Komparasi Perlindungan Data Pribadi di Indonesia dan Uni Eropa. Jurnal Hukum Lex Generalis, 3(1), 73–84. Diambil dari https://ojs.rewangrencang.com/index.php/JHLG/article/view/173
• Undang-Undang Nomor 73 Tahun 1958 tentang Menyatakan Berlakunya Undang-Undang Nomor 1 Tahun 1946 Republik Indonesia tentang Peraturan Hukum Pidana untuk  Seluruh  Wilayah  Republik  Indonesia  dan  Mengubah  Kitab Undang-Undang  Hukum    Lembaran  Negara  Republik  IndonesiaTahun  1958  Nomor 127. Tambahan  Lembaran  Negara  Republik  Indonesia Nomor 1660.(KUHP)
• Undang-Undang Nomor   11   Tahun   2008tentangInformasi   dan   Transaksi Elektronik. Lembaran Negara Tahun 2008 Nomor 58. Tambahan Lembaran Negara Nomor 484

• Undang-Undang Nomor  19  Tahun  2016  tentangPerubahan  atas  Undang-Undang Nomor   11   Tahun   2008   tentang   Informasi   dan   Transaksi   Lembaran  Negara  Tahun  2016  Nomor  251.  Tambahan  Lembaran  Negara Nomor 5952.

• Peraturan Menteri  Informasi  dan  Komunikasi Republik  Indonesia  Nomor 20 Tahun  2016  tentang  Perlindungan  Data  Pribadi  dalam  Sistem  Berita Negara Tahun 2016 Nomor 1829.

• Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Lembaran Negara Republik Indonesia Tahun 2019 Nomor 185. Tambahan Lembaran Negara Republik Indonesia Nomor 6400.

• The General Data Protection Regulation (GDPR) 2016/697.