MASALAH pembobolan data pribadi masih terus terjadi. Masyarakat mengeluhkan sistem keamanan yang lemah, sehingga banyak informasi mengenai identitas diri warga negara bocor atau dibocorkan oleh pihak yang tidak bertanggung jawab. Rancangan Undang-Undang tentang Perlindungan Data Pribadi diharapkan segera rampung, agar data pribadi warga negara mendapat perlindungan hukum yang jelas.

Masyarakat seperti sudah tidak berdaya menghadapi fenomena kebocoran data pribadi. Perasaan kesal dan kecewa sudah sering diungkap di ruang publik, namun masyarakat belum me­nemukan mekanisme untuk melaporkan hal tersebut dan tidak mengetahui darimana sumber kebocoran, siapa aktor yang bermain dan bagaimana mengatasi persoalan tersebut.

Kita semua rasanya pernah merasakan tiba-tiba dihubungi oleh nomor handhone yang tidak dikenal, menawarkan sebuah produk, kartu kredit, pinjaman online, dan iming-iming hadiah yang tiba-tiba datang. Kita tidak mungkin lagi bertanya darimana yang bersangkutan mendapatkan nomor handphone, karena hal ini sudah terlalu sering terjadi. Selanjutnya, “sang pencuri” pun bisa dengan mudah me­ng­eksploitasi data pribadi masyarakat untuk melakukan tindak penipuan dan pelbagai bentuk kejahatan lainnya.

Hasil penelitian dari Asosiasi Penyelenggara Jasa Internet Indonesia menunjukkan 92% dari responden menyatakan bahwa dengan mudahnya mereka memasukkan informasi data pribadi berupa nama ke aplikasi di internet, lalu 79% memberikan informasi tentang tempat dan tanggal lahir mereka, bahkan 65% memberikan alamat pribadi (Faiz, 2020). Pada pertengahan tahun 2020 terjadi kebocoran 91 Juta data pengguna Aplikasi Tokopedia. Kemudian pada waktu yang hampir bersamaan, juga terjadi kebocoran 13 Juta data pribadi pengguna di online marketplace lainnya, yaitu Bukalapak.

Tidak hanya di sektor swasta, kasus kebocoran juga terjadi terhadap data pribadi yang dipegang oleh instansi pemerintah dan BUMN, seperti kebocoran data 230 Ribu data pasien Coronavirus Disease 2019 (Covid-19) pada 2020 dan 279 juta peserta Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan pada 2021 (sindonews.com, 15 Juni 2021). Serta baru-baru ini juga terjadi kebocoran data nasabah BRI Live yang dijual secara online.

Beberapa bentuk potensi pelanggaran privasi atas data pribadi secara online misalnya terjadi dalam kegiatan pengumpulan data pribadi secara massal (digital dossier), pemasaran langsung (direct selling), media sosial, pelaksanaan program e-KTP, dan kegiatan komputasi awan (cloud computing). Di era big data, pengumpulan data secara masif lazim dilakukan, tak hanya oleh pemerintah, namun juga oleh entitas bisnis atau korporasi.

Potensi kebocoran data pribadi dapat saja bersumber dari para oknum yang menyalahgunakan pelayanan di atas. Penyalahgunaan data pribadi dapat dilakukan oknum tersebut melalui provider email, e-commerce, fintech, bisnis retail, perbankan, platform media sosial, dan bahkan bersumber dari lembaga tertentu yang memiliki kewenangan terkait data pribadi.

Tiga Masalah Pokok

Secara khusus, Indonesia belum memiliki pera­turan perundang-undangan yang memuat ketentuan tentang perlindungan data pribadi dalam satu naskah yang komprehensif. Pelbagai bentuk masalah di atas menuntut DPR dan pemerintah selaku pembentuk undang-undang untuk melindungi masyarakat dan mengatur masalah perlindungan atas data pribadi dan menyiapkan berbagai bentuk perlindungan hukum.

Dibutuhkan sebuah regulasi khusus dalam konteks perlindungan data pribadi untuk melindungi setiap orang dari interaksi negatif yang dapat merugikan dirinya. Merujuk dalam teori interactive justice, dijelaskan bahwa harus terdapat kompensasi sebagai perangkat yang melindungi setiap orang dari interaksi yang merugikan (harmful interaction), yang biasanya diterapkan dalam Perbuatan Melawan Hukum (tort law), Hukum Kontrak dan Hukum Pidana (Wright, 2001). Oleh karena itu, perangkat hukum terkait dengan perlindungan data pribadi menjadi salah satu kebutuhan untuk memberikan perlindungan dan kepastian hukum kepada masyarakat.

Terdapat tiga permasalahan penting yang harus dijadikan sebagai landasan berpikir untuk dapat membentuk komponen utama dalam memberikan perlindungan terhadap data pribadi di Indonesia. Pemetaan ini diperlukan untuk memperluas horizon dalam melihat sengkarut permasalahan perlindungan data pribadi di ruang digital. Pertama, tidak ada regulasi hukum yang memberi perlindungan spesifik terhadap data pribadi, terutama yang terdapat di ruang digital. Walaupun telah terdapat Peraturan Menteri Komunikasi dan Informatika (Permenkominfo) Nomor Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektoronik, namun aturan ini tidak mampu memberikan perlindungan yang paripurna.

Permenkominfo tidak mampu memberikan sanksi yang tegas terhadap kebocoran data pribadi. Regulasi tersebut hanya mengatur sanksi administratif seperti peringatan lisan, peringatan tertulis, dan penghentian sementara kegiatan. Bentuk sanksi tersebut diyakini tidak akan memberikan efek jera kepada para pelaku. Kekuatan mengikat peraturan menteri tentunya tidak akan sekuat undang-undang.

Kedua, tidak terdapat lembaga yang berwenang dalam otoritas pelaksana perlindungan data pribadi. Saat ini, ketika terjadi pelanggaran terhadap data pribadi masyarakat di ruang digital, tidak terdapat mekanisme konkret untuk menyelesaikan persoalan tersebut. Pilihannya hanya melaporkan perbuatan tersebut ke kepolisian dengan menggunakan pasal-pasal konvensional dalam KUHP maupun UU ITE. Padahal, permasalahan terkait dengan perlindungan data pribadi di ruang digital membutuhkan pemahamahan dan kemampuan khusus untuk menyelesaikannya.

Pada beberapa negara yang telah memiliki kesadaran tinggi terkait dengan pentingnya perlindungan terhadap data pribadi, terdapat sebuah lembaga yang bertugas untuk melindungi hingga mengatur lalu lintas data pribadi masyarakat yang terdapat di ruang digital. Lembaga seperti ini merupakan sebuah kebutuhan untuk mencegah dan menanggulangi terjadinya pelbagai bentuk pelanggaran hingga tindak pidana siber yang memanfaatkan data pribadi masyarakat. Terdapat tiga bentuk penataan otoritas yang memiliki fungsi terkait perlindungan data pribadi.

Mayoritas negara di Eropa menggunakan model dua otoritas, terdiri dari lembaga yang mengatur perlindungan data pribadi dan lembaga yang mengatur mengenai keterbukaan informasi. Terakhir, bentuk otoritas tunggal yang diterapkan di beberapa negara seperti Jerman, Swiss, Inggris, serta Meksiko. Model tunggal ini menggabungkan otoritas dalam perlindungan data pribadi dengan otoritas terkait keterbukaan informasi.

Terkait dengan konteks lembaga yang melindungi data pribadi di Indonesia, maka harus dibentuk sebuah Otoritas Perlindungan Data Pribadi (OPDP) yang bertugas secara mandiri dan independen untuk mengawasi, mengendalikan, dan mengatur lebih lanjut terkait pelaksanaan undang-undang dalam rangka pelindungan data pribadi. OPDP diusulkan sebagai suatu lembaga negara yang terlepas dari pengaruh dan kekuasaan pemerintah serta pihak lain, dan bertanggung jawab kepada Presiden.

Otoritas perlindungan data pribadi yang hendak dibentuk akan memiliki wewenang terbatas yang hanya menangani kasus terkait privasi data melalui jalur di luar pengadilan. Artinya, apabila muncul sebuah kasus dan telah masuk ranah hukum, ko­misioner perlindungan data tidak memiliki kewenangan untuk ikut terlibat.

Pada titik ini mekanisme penjatuhan sanksi administratif dibutuhkan. Namun, ketika sudah terdapat unsur pidana, maka langkah selanjutnya adalah membawanya pada proses penegakan hukum.

Ketiga, kurangnya kesadaran masyarakat terkait dengan upaya perlindungan terhadap data pribadi. Hal ini terkait dengan perilaku masyarakat yang masih menganggap ringan dan mudah memberikan informasi-informasi penting kepada pelbagai platform di dunia digital.

Oleh karena itu, membangun sebuah program literasi digital harus dilakukan untuk menekan terjadinya pelbagai bentuk tindak pidana siber. (M. Soleh, Penulis adalah Analis Kebijakan Muda, Setwapres)