DI era big data, data pribadi adalah aset
yang bernilai tinggi. Data pribadi adalah data yang berhubungan dengan
seseorang sehingga dapat digunakan untuk mengidentifikasi orang tersebut. Nomor
induk kependudukan, nama lengkap, jenis kelamin, tempat dan tanggal lahir, nama
ibu kandung, nomor telepon, e-mail, NPWP, dan nomor kartu BPJS adalah contoh
data pribadi yang dapat membuat seseorang dapat diidentifikasi.
Namun, maraknya kasus kebocoran data pribadi
menjadi indikasi bahwa perlindungan data pribadi di Indonesia ternyata rapuh.
Masih membekas di ingatan kita, pada 2020 lalu, kebocoran data pribadi dialami
oleh start-up unicorn Indonesia. Sebanyak 91 juta data konsumen dan lebih dari
7 juta data merchant Tokopedia dilaporkan dijual di situs gelap (dark web).
Data 13 juta akun Bukalapak juga diduga bocor dan diperjualbelikan di forum
hacker RaidForums.
Kasus terbaru, 279 juta data pribadi WNI
kembali bocor. Data tersebut adalah data peserta BPJS Kesehatan dan
diperjualbelikan oleh akun bernama Kotz seharga 6 ribu dolar AS. Akun tersebut
mengklaim memiliki 270 juta lebih data pribadi WNI.
Kebocoran data pribadi adalah permasalahan
serius. Dampak kebocoran data adalah penyalahgunaan data pribadi. Data tersebut
disalahgunakan untuk penipuan, pencurian, pembobolan rekening bank, penawaran
produk, dan pelanggaran privasi. Mekanisme, sistem perlindungan, dan pengelolaan
data pribadi semakin dipertanyakan karena kasus yang sama sering kali terjadi.
Artinya, membangun sistem perlindungan dan pengelolaan data pribadi memiliki
urgensi untuk dilakukan.
Dalam konteks sistem perlindungan data
pribadi, kita dapat belajar dari Inggris dan Hongkong. Terdapat tiga subsistem
untuk membangun sistem perlindungan data pribadi, yaitu peraturan
perundang-undangan yang memadai, komisi perlindungan data pribadi, serta
mekanisme perlindungan, pengelolaan, dan pengawasan data pribadi.
Pertama, peraturan perundang-undangan. Dalam
hal perlindungan data pribadi, sampai dengan saat ini Indonesia belum memiliki
undang-undang yang secara khusus mengatur perlindungan data pribadi. Di satu
sisi, undang-undang tentang perlindungan data pribadi berfungsi sebagai payung
hukum yang mengatur secara komprehensif terkait perlindungan dan pengelolaan
data pribadi.
Mayoritas negara di dunia sudah memiliki
Undang-Undang tentang Perlindungan Data Pribadi. Inggris memiliki The Data
Protection Act 1998, Hongkong memiliki Personal Data Privacy Ordinance of 1995,
Korea Selatan juga memiliki Personal Information Protection Act 2011. Diikuti
oleh negara tetangga seperti Singapura yang memiliki The Personal Data
Protection Act No. 26 of 2012 Singapore dan Malaysia yang sudah memiliki Personal
Data Protection Act 2010.
Pemerintah Indonesia perlu segera menuntaskan
pembahasan Rancangan Undang-Undang tentang Perlindungan Data Pribadi (PDP).
Beberapa substansi penting yang perlu diatur, antara lain, jenis data pribadi
(data yang bersifat umum dan data pribadi yang bersifat spesifik), pengendali
data pribadi, penghapusan data pribadi, mekanisme penanganan dan pemulihan
kebocoran data dan kegagalan perlindungan data pribadi, sanksi pidana
penyalahgunaan data pribadi, penyelesaian sengketa perlindungan data pribadi,
dan pengaturan mengenai transfer data pribadi, baik di dalam maupun di luar
wilayah Indonesia.
Oleh karena itu, agar pengaturan mengenai
perlindungan data pribadi dapat komprehensif dan terintegrasi, diperlukan
undang-undang yang secara khusus mengatur perlindungan data pribadi.
Kedua, komisi perlindungan data pribadi.
Maraknya kasus kebocoran data menjadi representasi akan pembinaan platform
digital yang tidak maksimal dan sistem pengawasan yang masih lemah. Hal itu
disebabkan pembinaan dan pengawasan platform digital saat ini berada di bawah
beberapa kementerian dan lembaga negara serta masih bersifat subsektoral.
Selain Kementerian Komunikasi dan
Informatika, pembinaan dan pengawasan platform digital juga dilakukan Komisi
Informasi (KI), Komisi Penyiaran Indonesia (KPI), Kementerian Perdagangan,
Otoritas Jasa Keuangan, Bank Indonesia, dan berbagai lembaga lainnya. Kondisi
tersebut mengakibatkan pembinaan dan pengawasan platform digital tidak efektif
dan cenderung tumpang tindih.
Inggris memiliki The Information
Commissioner’s Office, Hongkong memiliki Privacy Commissioner for Personal
Data, Korea Selatan memiliki Personal Information Protection Commission,
Singapura memiliki Personal Data Protection Commission and Administration, dan
Malaysia memiliki Personal Data Protection Commissioner. Mayoritas komisi
tersebut bertugas untuk mengawasi dan melaksanakan kepatuhan semua pihak dalam
perlindungan data pribadi.
Komisi yang bertugas melindungi data pribadi
memiliki urgensi untuk dibentuk di Indonesia. Komisi tersebut memiliki tugas
untuk melakukan pembinaan dan pengawasan platform digital dalam penggunaan dan
perlindungan data pribadi pengguna. Selain itu, komisi perlindungan data
pribadi juga memiliki kewenangan sebagai forum alternatif penyelesaian sengketa
data pribadi selain pengadilan. Komisi perlindungan data pribadi dapat dibentuk
melalui pembentukan komisi baru ataupun memperluas tugas dan kewenangan komisi
yang sudah ada sebelumnya seperti Komisi Informasi.
Ketiga, mekanisme perlindungan, pengelolaan,
dan pengawasan data pribadi. Sistem perlindungan dan pengelolaan data pribadi
membutuhkan mekanisme untuk melindungi, mengelola, dan mengawasi data pribadi.
Mekanisme tersebut berupa langkah-langkah teknis apabila terdapat kebocoran
data dan pencurian data serta pemulihan kembali data pribadi yang sudah bocor.
Untuk membangun sistem perlindungan data
pribadi, diperlukan undang-undang perlindungan data pribadi, komisi
perlindungan data pribadi, dan mekanisme perlindungan data pribadi. Selain itu,
menyiapkan sistem pertahanan siber yang andal serta koordinasi dan sinergi
antarlembaga juga menjadi kunci dalam penanganan kebocoran data yang penting
untuk disiapkan. (*)
Dona Budi Kharisma, Dosen Hukum E-Commerce
dan Fintech Fakultas Hukum Universitas Sebelas Maret (UNS) Surakarta