UNIVERSITAS INDONESIA

UNIVERSITAS INDONESIA ANALISIS TANGGUNG JAWAB PENYELENGGARA JASA SISTEM ELEKTRONIK ATAS PEMANFAATAN DATA PRIBADI BERDASARKAN UU NO.11 TAHUN 2008 TENTANG INFORMASI DAN TRANSAKSI ELEKTRONIK RIMA AGRISTINA

EDMON MAKARIM ABSTRAK

Nama Program Studi Judul

: Rima Agristina : Ilmu Hukum : Analisis Tanggung Jawab Penyelenggara Jasa Sistem Elektronik atas Pemanfaatan Data Pribadi berdasarkan UU No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.

Pemanfaatan sistem elektronik yang semakin meluas, meningkatkan kebutuhan pengaturan perlindungan privacy dan data pribadi yang lebih lengkap dan menyeluruh, khususnya mengenai tanggung jawab penyelenggara jasa sistem elektronik atas pemanfaatan data pribadi. Pengkajian yang dilaksanakan mencakup praktek pengaturan perlindungan yang dilaksanakan di USA, Uni Eropa, APEC, serta di Indonesia. Penelitian menyimpulkan adanya urgensi penyusunan suatu UU perlindungan privacy dan data pribadi yang menyeluruh, yang mensinergikan pendekatan subyektif, pendekatan obyektif dan peran dari institusi profesional yang independen, dengan berdasarkan kepada Konstitusi.Disarankan agar selama UU mengenai Perlindungan Privacy dan Data Pribadi belum tersedia, pengaturan dalam PP No.82 tahun 2012 digunakan secara lebih optimal.

Analisis Tanggung Jawab..., Rima Agristina, FH UI, 2014

Kata kunci : Privacy, data pribadi, tanggung jawab penyelenggara, sistem elektronik.

ABSTRACT Name Study Program Title

: Rima Agristina : Law Science : Analysis of Service Provider Electronic Systems’s Responsibilities for the utilization of Personal Data based on Law No.11 Year 2008 on Information and Electronic Transactions.

Utilization of electronic systems increasingly widespread, increasing the need for a privacy protection and personal data regulation which is more complete and thorough, especially regarding responsibility of service provider of electronic systems for the utilization of personal data. The scope of analysis include the protection regulation practices conducted in the USA, EU, APEC, as well as in Indonesia. The study concludes that there is urgency of drafting a complete law on protection of privacy and personal data, which synergize subjective approach, objective approach and the role of independent professional institutions, based on constitution. Highly recommended to use the article on Government Regulation (PP) No.82 Year 2012 optimally while the Law on the Protection of Privacy and Personal Data are not yet available.

Keywords: Privacy, personal data, the responsibility ofthe providers, electronicsystems. Latar Belakang Permasalahan Pemanfaatan sistem elektronik, telah menjadi kebiasaan dan gaya hidup dari masyarakat di era teknologi informasi. Para penyedia jasa(provider) menawarkanberbagai sarana berbasis sistem elektronik untuk kemudahanpengguna dalammemperoleh pelayanan jasanya. Ketika untuk pertama kalinya seorang calon pengguna jasa akan memanfaatkan jasa dari penyedia yang memberikan pelayanan dengan berbasis sistem elektronik, calon pengguna jasa tersebut akan diminta untuk memberikan data-data seperti nama lengkap, alamat, tanggal lahir, nomor telepon, e-mail dan sebagainya, sebagai syarat untuk dapat memanfaatkan jasa berbasis


sistem elektronik yang ditawarkan provider.Data-data tersebut dipergunakan oleh provider sebagai data base dari calon pengguna jasa untuk pengecekan ketika yang bersangkutan mengakses jasa berbasis sistem elektronik yang disediakan provider. Data-data calon pengguna jasa tersebut adalah data-data pribadi yang merupakan hak pribadi dari pemiliknya untuk memiliki pengendalian atas akses dan pemanfaatan data miliknya tersebut. Sejak tahun 2008, pemanfaatan informasi dan transaksi berbasis sistem elektronik telah diatur secara khusus dalam Undang-undang Negara Republik Indonesia No.11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) dan Peraturan Pemerintah No.82 tahun 2012.Pengaturan tersebut meliputi definisi dan pemanfaatan informasi elektronik, sistem elektronik, dokumen elektronik dan sebagainya, asas dan tujuan dari pemanfaatan teknologi informasi dan transaksi elektronik, informasi-dokumen dan tanda tangan elektronik, penyelenggaraan sertifikasi elektronik dan sistem elektronik, transaksi elektronik, hak dan tanggung jawab penyelenggara informasi elektronik, perlindungan hak pribadi, dan sebagainya. Pemanfaatan data pribadi yang semula ditujukan untuk mendapatkan akses terhadap pelayanan jasa berbasis elektronik, pada perkembangan pemanfaatannyamembuka

peluang

penyalahgunaan oleh pihak yang tidak bertanggung jawab. Penyalahgunaan data pribadi tersebut mencakup mulai dariakses terhadap data, pemanfaatan data pribadi hingga pengambil-alihandata pribadi secara tidak sah melalui sistem elektronik. Penelitian mengenai perlindungan privasi dan data pribadi dalam penyelenggaraan system elektronik yang dilaksanakan secara praktis serta pelaksanaan tanggung jawab dari Penyelenggara Sistem Elektronik terhadap pemanfaatan data pribadi pengguna, sangat diperlukan untuk dapat mewujudkan perlindungan atas pemanfaatan data pribadi yang maksimal. Dinamika Perlindungan Privacy di Amerika Serikat Istilah privacy tidak tercantum baik dalam konstitusi Amerika Serikat maupun dalam Bill of Rights. Privacy mengacu kepada keputusan-keputusan dari Supreme Court dari berbagai kasus yang telah diputus. Privacy di Amerika Serikat mulai menjadi perhatian publik sejak adanya publikasi artikel yang ditulis oleh Samuel D.Warren dan Louis D. Brandeis berjudul Right to Privacy pada tahun 1890. Prinsip lama bahwa setiap orang seharusnya mendapat perlindungan secara pribadi dan secara kepemilikan, berkembang seiring perubahan dan perkembangan yang terjadi di bidang politik, ekonomi dansosial. Hak untuk hidup telah berkembang menjadi hak-hak


yang lebih spesifik. Pandangan Warren dan Brandeis terhadap hak privasi mengacu kepada pengertian Privacy sebagai Right to Be Let Alone.1 Kasus-kasus yang diputuskan oleh Supreme Court yang menjadi acuan pengertian mengenai Privacy di Amerika Serikat diantaranya adalah sebagai berikut; •

Kasus Griswold vs Connecticut, 381 U.S. 479 pada tahun 1965, yang memberikan hak kebebasan kepada pasangan yang menikah untuk menggunakan kontrasepsi sebagai bagian dari hak konstitusi atas privasi.2

•

Kasus Eisenstadt vs Baird, 405 U.S. 438 pada tahun 1972, memberikan hak untuk menggunakan kontrasepsi oleh wanita yang masih lajang.3

•

Kasus Roe vs Wade, 410 U.S. 113 pada tahun 1973, memberikan hak hukum kepada wanita untuk mengakhiri kehamilan.4

Pada berbagai kasus yang disampaikan

tersebut di atas, perlindungan privasi lebih

mengacu kepada perlindungan tubuh atau hak untuk melalukan sesuatu pada tubuh sendiri. Perlindungan privasi juga kemudian berkembang kepada privasi informasi pribadi. Kasus mengenai hal tersebut adalah kasus Whalen vs Roe, 429 U.S.589 yang terjadi pada tahun 19775, yang merekognisi adanya hak atas information privasi dan kepentingan untuk melindungi terjadinya pemaparan atas data personal. Selanjutnya, pada tahun 1994, Undang-undang mengenai Privasi Keuangan, melarang akses Pemerintah terhadap catatan-catatan keuangan yang bersifat individual. Kasus mengenai hak privasi bukanlah suatu hak yang absolut, melainkan perlu juga mempertimbangkan kepentingan public. Hal ini sebagaimana tercermin dalamKasus Nixon vsAdministrators of General Services, 433 U.S. 425-484 pada tahun 1977,ketika keputusan pengadilan menguatkan status negara federal yang meminta otoritas arsip negara untuk memeriksa informasi yang dicatat dan ditulis oleh Presiden, dengan mempertimbangkan

1

Daniel J.Solovo, Marc Rotenberg & Paul M.Schwartz, Privacy, Information, and Technology, (New York : Aspen Publisher Inc., 2006), p.23 2 Debbie V.S. Kasper, “The Evolution (or Devolution) of Privacy”, Journal Sociological Forum, Vol.20, No.1, March 2005, p.71 3 Ibid 4 Ibid 5 Ibid


pentingnya kepentingan publikatas catatan tersebutdaripada

privasi komunikasi personal.6

Tidak adanya aturan tunggal di Amerika Serikat yang memberikan dasar perlakuan komprehensif untuk perlindungan data atau hal-hal yang terkait privasi.7 Untuk perlindungan data, dasar yang paling umum digunakan di Amerika Serikat adalah The Privacy Act tahun 1974 dan The Computer Matching and Privacy Act tahun 1988. Pengembangan hak privasi pada sistem Common Law yang didasarkan kepada keputusan-keputusan berbagai kasus yang terjadi di Amerika Serikat, menegaskan tidak adanya aturan tunggal mengenai privasi di USA yang menjadi dasar untuk perlindungan yang terkait privacy. Dengan kondisi demikian, maka pendekatan yang diterapkan di Amerika Serikat adalah pendekatan subyektif dengan cita-cita atau gagasan yang rasional mengenai privacy. Pendekatan subyektif ini, berfokus kepada pengaturan subyeknya, yaitu pihak yang memiliki kepentingan terhadap privacy. Dinamika Perlindungan Privacy di Eropa Berbeda dengan di USA yang mendasarkan kepada keputusan-keputusan pengadilan karena ketentuan-ketentuan yang ada memiliki karakteristik khusus dan tertentu sehingga tidak ada istilah privacy dalam konstitusi maupun dalam Bill of Rights, maka di Eropa terdapat 2 (dua) kebijakan supra-nasional (lintas negara)terkait perlindungan data, yaitu Dewan Konvensi Eropa atas Perlindungan Data (the Council of Europe’s Convention on Data Protection) danEuropean Union (EU) Data Directive.Adanya dua kebijakan di Eropa tersebut memperlihatkan bahwa ketentuan-ketentuan hukum di Eropa memiliki karakteristikluas dan menyeluruh (omnibus legislation). Dengan adanya pengaturan yang luas dan menyeluruh, maka pendekatan perlindungan data di Eropa adalah pendekatan obyektif, dimana fokus pengaturan adalah terhadap obyek privacy (option-in policy). Sejak Januari 2012, upaya untuk membuat suatu keseragaman kebijakan perlindungan data di Eropa mulai dilaksanakan. Perubahan paradigma yang dilakukan adalah peralihan dari EU Directive menjadi EU Regulation.Peralihan dari Directive kepada Regulation diprediksi dapat menimbulkan dampak pengubahan yang signifikan kepada perusahaan-perusahaan di EU.

6

Jean Slemmons Stratford & Juri Stratford, “Data Protection and Privacy in the United States and Europe”, IASSIST Quarterly, Fall 1998, p.17 7 Ibid


Dampak-dampak beserta penjelasan dampak dari peralihan tersebut berdasarkan pandangan dari Lindsey Lynch adalah sebagai berikut ;8 1. Single set of data protection rules in the EU Terdapat aturan tunggal yang berlaku dan diterapkan di seluruh Uni Eropa, yang berarti bahwa perusahaan akan berhubungan dengan otoritas tunggal perlindungan data di Uni Eropa dan aturan tersebut juga berlaku untuk perusahaan yang didirikan di luar kawasan Uni Eropa namun memiliki produk atau jasa yang ditawarkan di kawasan Uni Eropa atau memproses data personal dari warga negara Uni Eropa. 2. Increased fines Pinalti untuk pelanggaran terhadap data privasiakan meningkat. Hal ini akan menarik dan meningkatkan perhatian dari para pemangku kepentingan dan pengawasan terhadap otoritas. Adanya pemberitaan publik terhadap pelanggaran data privasi oleh perusahaan akan mendorong hilangnya keyakinan konsumen terhadap perusahaan. Hilangnya kepercayaan konsumen yang disertai denda material, dapat menjadi dampak yang signifikan terhadap keberhasilan pasar dari perusahaan di masa kini dan masa mendatang. 3. Right to be forgotten Adalah hak berdasarkan permintaan subyek,untuk dihapuskan secara lengkap informasi mengenai dirinya, dimanapun data tersebut disimpan oleh pengendali data. Hal ini membuat perusahaan harus mampu mengelola pengumpulan dan penyimpanan data yang sensitive. Organisasi atau perusahaan harus memiliki pemahaman mengenai kemana keseluruhan data dialirkan dan disimpan, untuk dapat mengambil langkah yang diperlukan untuk menghapusnya kembali dari berbagai lokasi ditempatkannya data tersebut. 4. Mandatory data protection officer Petugas yang melaksanakan pekerjaan perlindungan data di perusahaan menjadi wajib tersedia dengan adanya regulasi baru. Posisi ini dibutuhkan bagi perusahaan yang dimiliki publik, bisnis utamanya adalah penngolahan data, atau jika memiliki lebih dari 250 orang karyawan. Petugas perlindungan data tersebut harus memenuhi kualifikasi

8

Lindsey Lynch, “EU Data Protection’s Paradigm Shift From Directive to Regulation”, EY Report, (Ernst & Young the Netherlands, 2013), p.2-3


yang dibutuhkan untuk bekerja dan memiliki keahllian yang dibutuhkan. Petugas tersebut perlu diberikan independensi mewakili manajemen untuk meyakini terdapatnya kepatuhan organisasi terhadap peraturan perlindungan data. 5. Mandatory data privacy impact assessment Evaluasi dan penilaianatas data privasi akan menjadi persyaratan bagi perusahaan yang melaksanakan pengolahan data.Evaluasi dan penilaian dapat menjadi titik awal untuk menilai apakah organisasi telah menerapkan program perlindungan data. 6. Increased accountability and responsibility Pada regulasi yang ada terdapat ketentuan bahwa pengelola data harus mengadopsi kebijakan dan menerapkan pengeukuran yang tepat untuk meyakini dan menunjukkan bahwa pengelola data personal memenuhi ketentuan yang ada.

Dengan peralihan dari Directive kepada Regulation, maka akan ada seperangkat peraturan privacy tunggal di EU yang diberlakukan dan diterapkan di seluruh EU. Dengan adanya pemberlakuan peraturan privacy tunggal, maka sanksi terhadap pelanggaran peraturan juga akan diterapkan. Perusahaan harus mulai mempersiapkan diri agar operasional atau pelayanannya tidak melanggar aturan privacy yang dapat berdampak terhadap reputasi perusahaan. Dampaklainnya berupa right to be forgotten, mendorong perusahaan agar mempersiapkan sistem sehingga dapat menghapus data privacy pengguna jasa atas permintaan pengguna jasanya atau apabila ada kondisi yang pengamanan data yang mendesak. Dampak dari peralihan juga menimbulkan berkembangnya permintaan profesi petugas perlindungan data, timbulnya kewajiban melaksanakan Pengkajian Data Privacy (Data Privacy Assessment/DPIA) serta diperlukannya penyiapan program pengolahan data yang andal. Ditinjau dari dampak langsung yang dirasakan oleh pengguna jasa selain right to be forgotten adalah right to data portability, hak bagi pengguna jasa untuk dapat memperoleh akses dan pengendalian didasarkan data pribadi yang dimasukkan dalam sistem.


US-EUSafe Harbor Framework dan Binding Corporate Rules Sejak diberlakukannya European Union Directive atas Perlindungan Data pada bulan Oktober 1998, terdapat larangan untuk mengirimkan informasi yang bersifat pribadi yang tidak memenuhi standar kecukupan perlindungan data, ke negara-negara lain yang tidak bergabung dalam Uni Eropa. United State Amerika dan Uni Eropa memiliki pendekatan yang berbeda dalam pengaturan privacy. Untuk menjembatani perbedaan tersebut maka dibentukUS-EU Safe Harbor Framework yang merupakan sarana untuk membantu perusahaan-perusahaan dalam mematuhi EU Directive atas Perlindungan Data. Selain dibentuk US-EU Safe Harbor Framework, dikembangkan juga Peraturan perusahaan yang mengikat (Binding Corporate Rules/BCR) di EU untuk mengatur perlindungan data privacy yang memadai ketika terjadi transfer data dari perusahaan atau grup perusahaan multinasional di EU ke negara-negara di luar EU.

Dinamika Pembahasan Perlindungan Privacy dalam APEC Upaya membangun perlindungan terhadap privacytidak saja terjadi di negara-negara Uni Eropa dan Amerika Serikat, negara-negara yang tergabung dalam Asia Pacific on Economic Cooperation (APEC) juga berhasil menyelesaikan pengembangan Cross-Border Privacy Rules (CBPR) pada tahun 2012. Sistem CBPR dikembangkan untuk melindungi data privacy di kawasan Asia Pacific. Sistem CBPR didisain untuk meyakini bahwa kebijakan privacy satu perusahaan sesuai dengan standar yang berlaku atas perllindungan informasi personal.9 Sistem CBPR didasarkan kepada pendekatan yang sama dengan sistem EU BCR, dimana penerapan aturan internal yang mengikat perusahaan untuk transfer personal data melintasi batas negara, harus terlebih dahulu mendapat pengesahan dari Otoritas Perlindungan Data EU untuk

9

APEC, Article 29 Data Protection Working Party, http://ec.europa.eu/justice/data-protection/article-29/index_en.htm

Press


Release,

26

March

2013,

sistem EU BCR dan pengesahan dari Agen-agen penanggungjawab yang direkognisi/diakui APEC untuk Sistem CBPR.10 Dalam pelaksanaan perlindungan privacy, diperlukan berbagai alat atau sarana untuk memudahkan pengguna jasa untuk memilih pihak yang dapat dipercaya yang telah mendapat pengesahan ataupun memenuhi kepatuhan terhadap aturan perlindungan data privacy. Alat atau sarana yang digunakan untuk tujuan tersebut adalah Trustmarks dan Privacy Seal. Trustmarks adalah symbol-simbol yang membuktikan bahwa suatu produk atau jasa telah disertifikasi terhadap seperangkat standar atau persyaratan.11 Berdasarkan pandangan dari US National strategy for Trusted Identities in Cyberspace (NSTIC), trusmarks digunakan untuk menandai bahwa produk atau jasa penyedia telah memenuhi persyaratan dari Ekosistem Identitas yang ditetapkan oleh suatu otoritas akreditasi.12 Sedikit berbeda dengan trustmarks, privacy sealsberfungsi sebagai bentuk khusus tanda sertifikasi yang mencirikan bahwa pembawanya telah disertifikasi terhadap seperangkat kriteria privacy dan atau perlindungan data.13 Berdasarkan berbagai pembahasan di atas, dapat disimpulkan bahwa Privacy dalam arti sempit adalah keamanan setiap orang untuk tidak diinterfensi secara sewenang-wenang. Dalam arti luas, privacy adalah kenyamanan setiap orang untuk tidak dieksploitasi kehidupan pribadinya Dinamika global untuk perlindungan data pribadi diarahkan kepada Self Regulation. Peran pemerintah adalah melaksanakan fungsi pengawasan. Kalangan professional harus dilibatkan untuk memberikan trustmarks, dengan tugas utama memeriksa privacy statement penyelenggara dan mekanisme perlindungannya. . Perlindungan Privacy dalam Konstitusi Indonesia

10

Ibid Gilad R.Rosner, “Trustmarks in the Indentity Ecosystem : definition, use and governance”, White Paper, p.13, oixuk.org/wp-content/uploads/2014/09/trustmarks-paper-final-v2.pdf 12 Ibid 13 Ibid 11


Pada bab dua, telah dibahas mengenai privacy dari berbagai literature. Privacy secara luas memiliki banyak dimensi mulai dari keberadaan diri, segala yang melekat pada diri yang menjadi identitas diri, properti hingga informasi mengenai diri. Privacydalam konstitusi Indonesia yaitu Undang-undang Dasar Negara Republik Indonesia 1945 (UUD NRI 1945) diatur pada Bab XA mengenai Hak Asasi Manusia dalam pasal-pasal sebagai berikut ;14

•

Pasal 28C (1) : Setiap orang berhak mengembangkan diri melalui pemenuhan kebutuhan dasarnya, berhak mendapat pendidikan dan memperoleh manfaat dari ilmu pengetahuan dan teknologi, seni dan budaya, demi meningkatkan kualitas hidupnya dan demi kesejahteraan umat manusia.

Pasal tersebut di atas, secara implisit dapat memayungi hak untuk merasa aman, merasa nyaman, “to be let alone” yang merupakan kebutuhan dasar manusia. Hak untuk memperoleh manfaat dari ilmu pengetahuan dan teknologi dapat juga menjadi landasan hukum untuk perlindungan data privacy yang disimpan pada teknologi sistem elektronik. •

Pasal 28D(1) : Setiap orang berhak atas pengakuan, jaminan, perlindungan, dan kepastian hukum yang adil serta perlakuan yang sama dihadapan hukum.

Pasal tersebut di atas, secara ekplisit memberikan landasan hukum perlindungan terhadap privacy.

•

Pasal 28F : Setiap orang berhak untuk berkomunikasi dan memperoleh informasi untuk mengembangkan pribadi dan lingkungan sosialnya, serta berhak untuk mencari, memperoleh, memiliki, menyimpan, mengolah, dan menyampaikan informasi dengan menggunakan segala jenis saluran yang tersedia.

•

Pasal 28G(1) : Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi. 14

Undang-undang Dasar Negara Republik Indonesia 1945


•

Pasal 28 G (2) : Setiap orang berhak untuk bebas dari penyiksaan atau perlakuan yang merendahkan derajat martabat manusia dan berhak memperoleh suaka politik dari negara lain. .

•

Pasal 28H (1) Setiap orang berhak hidup sejahtera lahir dan batin, bertempat tinggal, dan mendapatkan lingkungan hidup yang baik dan sehat serta berhak memperoleh pelayanan kesehatan. (2) Setiap orang berhak mendapat kemudahan dan perlakuan khusus untuk memperoleh kesempatan dan manfaat yang sama guna mencapai persamaan dan keadilan. (3) Setiap orang berhak atas jaminan sosial yang memungkinkan pengembangan dirinya secara utuh sebagai manusia yang bermartabat. (4) Setiap orang berhak mempunyai hak milik pribadi dan hak milik tersebut tidak boleh diambil alih secara sewenang-wenang oleh siapa pun.

•

Pasal 28I: (1) Hak untuk hidup, hak untuk tidak disiksa, hak kemerdekaan pikiran dan hati nurani, hak beragama, hak untuk tidak diperbudak, hak untuk diakui sebagai pribadi di hadapan hukum, dan hak untuk tidak dituntut atas dasar hukum yang berlaku surut adalah hak asasi manusia yang tidak dapat dikurangi dalam keadaan apa pun. (3) Identitas

budaya

dan

hak

masyarakat

tradisional

dihormati

selaras

denganperkembangan zaman dan peradaban. Dengan adanya pengaturan hak privacy baik yang implisit maupun eksplisit dinyatakan dalam beberapa pasal di bab Hak Asasi Manusia UUD NRI 1945, menunjukkan adanya landasan hukum yang kuat dan mendasar untuk adanya pengaturan lebih lanjut bagi pelaksanaan privacy dan perlindungan privacy termasuk data privacy. Dari beberapa pasal pengaturanprivacy tersebut di atas, khusus untuk data privacy tersirat dalam pengaturan di pasal 28 F UUD NRI 1945. Sedangkan untuk perlindungan terkait data privacy, tersirat di pasal 28 C dan 28 G (1) UUD NRI 1945.


Perlindungan Privacy dalam Undang-undang Hak Asasi Manusia Perlindunganprivacydiatur dengan tegas melalui pasal-pasal dalam Undang-undang nomor 39 tahun 1999 tentang Hak Asasi Manusia. Privacy secara detil diatur dalam undangundang tersebut dilandasi oleh pijakan dalam penyusunan undang-undang tersebut yang didasarkan Pancasila dengan pemahaman bahwa manusia diciptakan Tuhan Yang Maha Esa dengan menyandang dua aspek yaitu aspek individualitas dan aspek sosialitas. Dengan dijadikan aspek individualitas sebagai salah satu pijakan, maka keberadaan manusia sebagai diri pribadi mendapatkan kedudukan yang cukup dalam pengaturan mengenai pengakuan dan penghargaan terhadap privacy.

Perlindungan Data Penduduk berdasarkan UU Administrasi Penduduk dan UU Kesehatan Dalam Undang-undang no. 24 tahun 2013 tentang Perubahan atas Undang-undang no.23 tahun 2006 tentang Administrasi Kependudukan,

data pribadi didefinisikan pada pasal

1(22)sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.15Data Kependudukan, berdasarkan pasal 1(9) adalah data perseorangan dan/atau data agregat yang terstruktur sebagai hasil dari kegiatan Pendaftaran Penduduk dan Pencatatan Sipil.

16Berdasarkan

pasal 5e UU tersebut, Pemerintah melalui

Menteri, memiliki kewenangan untuk pengelolaan dan penyajian Data Kependudukan berskala nasional.17

15

Indonesia, Undang-undang No.24 tahun 2013 tentang Perubahan atas UU No.23 tahun 2006 tentang Administrasi Kependudukan. 16 Ibid p.4 17 Ibid p.7


Berdasarkan pasal-pasal tersebut di atas, dalam administrasi kependudukan, pemerintah memiliki kewenangan untuk pengelolaan dan penyajian data pribadi. Perlindungan atas data pribadi dalam administrasi kependudukan dalam UU no.23 tahun 2006 diatur dalam pasal 2c sebagai hak dari setiap penduduk.18

Perlindungan Privacy berdasarkan UU ITE dan PP 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik Pada undang-undang No. 11 tahun 2008 tentang Informasi dan Transaksi Elektronik, perlindungan privacy diatur dalam pasal 26 (1) yang berbunyi sebagai berikut ; 19 Kecuali ditentukan lain oleh Peraturan Perundangundangan,penggunaan setiap informasi melalui mediaelektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. Penjelasan pasal tersebut di atas, jelas menyatakan dengan tegas bahwa data pribadi sebagai hak pribadi yang mencakuphak menikmati hidup, hak bebas dari segala gangguan, hak untuk berkomunikasi dan hak akses informasi kehidupan pribadi dan data diri. Pengaturan tentang data pribadi juga terdapat pada Peraturan Pemerintah RI No. 88 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pada PP No. 88 tahun 2012 tersebut, data pribadi didefiisikan dalam Ketentuan Umum Pasal 1 (27) sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. 20 Tanggung jawab penyelenggara sistem elektronik, dinyatakan secara tegas dalam peraturan pemerintah tersebut pada pasal 15 yang berbunyi sebagai berikut ;

18

Indonesia, Undang-undang No.23 tahun 2006 tentang Administrasi Kependudukan Indonesia, Undang-undang Negara RI No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik 20 Indonesia, Peraturan Pemerintah No.88 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik

19


(1) Penyelenggara Sistem Elektronik wajib: a. menjaga rahasia, keutuhan, dan ketersediaan Data Pribadi yang dikelolanya; b. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan c. menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data. (2) Jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut. (3) Ketentuan lebih lanjut mengenai pedoman perlindungan Data Pribadi dalam Sistem Elektronik sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Menteri. Dengan adanya pengaturan yang spesifik mengenai perlindungan data pribadi sebagai kewajiban dari penyelenggara sistem elektronik, maka dapat dikatakan bahwa Indonesia telah memiliki dasar hukum bagi pelaksanaan perlindungan data pribadi khususnya pada sistem elektronik.

Urgensi pengaturan privacy dan perlindungan data pribadi dalam UU Pengaturan mengenai privacy dan perlindungan data pribadi di Indonesia sebagaimana telah dijelaskan pada sub bab sebelumnya, telah terdapat pada beberapa Undang-undang dan Peraturan Pemerintah. Namun pengaturan yang ada masih belum menyeluruh dan tersebar dalam Undang-undang dan peraturan tersebut.


Dengan pijakan bahwa privacy dan data pribadi adalah hak asasi manusia, maka berdasarkan konstitusi jelas dinyatakan bahwa perlindungan, pemajuan, penegakan, dan pemenuhan hak asasi manusia adalah tanggung jawab negara, terutama pemerintah. Dalam konstitusi juga dinyatakan bahwa untuk menegakkan dan melindungi hak asasi manusia sesuai dengan prinsip negara hukum yang demokratis, maka pelaksanaan hak asasi manusia dijamin, diatur, dan dituangkan dalam peraturan perundang-undangan. Selanjutnya, dalam Undang-undang administrasi kependudukan terbuka peluang untuk penggunaan data pribadi oleh instansi swasta. Hal ini menunjukkan adanya resiko untuk pemanfaatan data pribadi yang melanggar hukum. Minimnya pengaturan privacy dan perlindungan data pribadi terkait administrasi kesehatan, juga perlu mendapat perhatian. Data pribadi dalam administrasi kesehatan memiliki kerahasiaan pribadi yang menyangkut kepada hak asasi identitas, keberadaan, kebebasan, martabat hingga kepemilikan. Pengaturan mengenai privacy dan perlindungan data pribadi dalam UU harus mendapat perhatian lebih besar dan mendesak untuk segera disusus suatu pengaturan khusus, menyeluruh dan detil mengenai privacy dan perlindungan data pribadi dalam suatu UU khusus mengenai hal tersebut. Saat ini Pemerintah sedang menyusun Rncangan Undang-undang Perlindungan Informasi dan Data Pribadi, Rancangan Peraturan Menteri Kominfo yang merupakan turunan dari PP 82 tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, serta Rancangan Peraturan Pemerintah tentang Perdagangan Melalui Sistem Elektronik yang menjadi turunan dari UU No.7 tahun 2014 tentang Perdagangan. Sinergi pengaturan privacy dan perlindungan data pribadi dalam berbagi Rancangan peraturan perundang-undangan yang sedang disusun tersebut menjadi sangat penting dan mendesak untuk dilaksanakan. Selain masalah sinergi, harmonisasi pengaturan privacy dan perlindungan data pribadi dalam berbagi Rancangan peraturan perundang-undangan yang sedang disusun tersebut juga penting dilaksanakan agar tidak terjadi tumpang tindih pengaturan yang akhirnya dapat melemahkan pengaturan itu sendiri.


Analisis Kasus di Indonesia Perlindungan Data Privasi Kasus yang terjadi di Indonesia mengenai perlindungan data privasi diantaranya adalah mengenai data kependudukan. Pada bulan Januari 2015, Menteri Dalam Negeri Indonesia telah menginstruksikan untuk menghentikan sementara pelayanan pengurusan kartu tanda penduduk elektronik (e-KTP) selama 2 (dua) bulan. Instruksi ini diberikan untuk melaksanakan evaluasi terhadap sistem pencatatan dan perekaman data penduduk. Kasus lainnya terkait perlindungan data privasi adalah kasus pencurian pulsa konsumen. Kasus ini mendapat perhatian publik karena merugikan konsumen. Pada penanganan kasus tersebut, terdapat beberapa pandangan dari Edmon Makarim sebagai

upaya yang harus

dilakukan untuk perlindungan data sebagai berikut ;21 •

Bahwa berdasarkan otoritas yang dimiliki dapat melakukan tindakan yang lebih pasti mengenai pemberian kewenangan kepada content provider untuk memberikan pelayanan kepada publik.

•

Adanya pengetesan, evaluasi atau penilaian terhadap kecukupan sistem pelayanan yang diselengarakan

•

Konflik kepentingan antara pembuat regulasi dengan pelaku bisnis perlu dieliminir

•

Pemberian sanksi baik terhadap pihak-pihak yang mengabaikan aspek perlindungan data privasi perlu diberikan secara tegas dan memberikan efek jera

•

Pemerintah mementuk suatu badan otoritas yang independen sehingga dapat tersedia kebijakan yang lebih komprehensif sejalan perkembangan teknologi yang ada. Kesimpulan Privacy

dalamkonstitusi

Indonesia

dinyatakansebagaisuatuhakasasimanusia.

Pengaturanprivacydi Indonesia tidakbisasepenuhnya self-regulation sepertihalnya di USA. Namundemikiannegarajugatidakperlusepenuhnyaturutcampurdalamprivacydanperlindungan data pribadisepertihalnya yang berlaku diUniEropa (EU). Untuk Indonesia, diperlukansuatu modelpengaturanprivacydanperlindungan data pribadi yang memadukanaliran yang berlaku di Amerika serikatdanUniEropa. Miniatur model

21

Edmon Makarim, “ The protection of Consumer’s Rights and the Application of Criminal Law in the Unlawful Operation of services and Content Service Applications”, Indonesia Law review, Year 2, Vol.2, MayAugust 2012, p.241-242


pengaturantersebutsepertidapatmerujukpadapenngaturan yang dilaksanakandalam APEC privacy framework Perlindunganprivacy di Indonesia yang masihtersebardalamberbagaiperaturanperundangundangan,

perlumendapatperhatian.

SementaramasihdilakukannyapenyusunanRancanganUndangundangataupunRancanganPeraturanPemerintahuntukmengatur privacy danperlindungan data pribadisecaralebihtegas,PeraturanPemerintah

No.

82

tahun2012tentangPenyelenggaraanSistemdanTransaksiElektronikselayaknyadapatdioptimalkante rlebihdahulu. Dalamkonteksperdagangan,

standarataupengaturan

yang

dilaksanakan

UniEropaharusdijadikanbahandalamRancanganPeraturanPemerintahmengenai

di

E-Commerce

yang merupakanturunandari UU Perdagangan.

Saran Diperlukankajian yang lebihlanjutdandetilmengenaipengaturan privacy danperlindungan data pribadidenganmemperhatikanasekperkembangan social budayadalammasyarakat. SaatiniPemerintahsedangmenyusunRncanganUndang-undangPerlindunganInformasidan Data Pribadi, RancanganPeraturanMenteriKominfoyang merupakanturunandariPP 82tahun 2012 tentangPenyelenggaraanSistemdanTransaksiElektronik, sertaRancanganPeraturanPemerintahtentangPerdaganganMelaluiSistemElektronikyang menjaditurunandari

UU

No.7tahun

2014

tentangPerdagangan.

Sinergidanharmonisasipengaturanprivacydanperlindungan

data

pribadidalamberbagiRancanganperaturanperundang-undangan

yang

sedangdisusuntersebutmenjadisangatpentingdanmendesakuntuksegeradilaksanakan.


DAFTAR PUSTAKA

Kasper, Debbie V.S., “The Evolution (or Devolution) of Privacy”, Journal Sociological Forum, Vol.20, No.1, March 2005, p.71 Lynch, Lindsey, “EU Data Protection’s Paradigm Shift From Directive to Regulation”, EY Report, (Ernst & Young the Netherlands, 2013), p.2-3 Makarim, Edmon,“ The protection of Consumer’s Rights and the Application of Criminal Law in the Unlawful Operation of services and Content Service Applications”, Indonesia Law review, Year 2, Vol.2, May-August 2012, p.241-242 Rosner, R. Gilad,“Trustmarks in the IndentityEcosystem : definition, use and governance” , White Paper, p.13, oixuk.org/wp-content/uploads/2014/09/trustmarks-paper-final-v2.pdf Soerjono Soekanto dan Sri Mamudji, Penelitian Hukum Normatif : Suatu Tinjauan Singkat, cet.1, (Jakarta : RajaGrafindo Persada, 2007), hlm.23. Solovo, Daniel J., Rotenberg Marc, &Schwartz Paul M., Privacy, Information, and Technology, (New York : Aspen Publisher Inc., 2006), p.23 Stratford, Jean Slemmons&StratfordJuri, “ Data Protection and Privacy in the United States and Europe”, IASSIST Quarterly, Fall 1998, p.17 Westin,F.Alan, Privacy and Freedom, (New York : Antheneum, 1967)

APEC, Article 29 Data Protection Working Party, Press Release, 26 March 2013, http://ec.europa.eu/justice/data-protection/article-29/index_en.htm


Indonesia, Undang-undangDasar Negara Republik Indonesia 1945 Indonesia, Undang-undang No.39 tahun 1999, LN No. 165Tahun 1999, TLN No.3886. Indonesia, Undang-undang No.24 tahun 2013 tentangPerubahanatas UU No.23 tahun 2006 tentangAdministrasiKependudukan. Indonesia, Undang-undang No.23 tahun 2006 tentangAdministrasiKependudukan Indonesia, Undang-undang No.36 Tahun 2009 tentangKesehatan Indonesia, Undang-undang Negara RI No. 11 Tahun 2008 tentangInformasidanTransaksiElektronik

Indonesia,PeraturanPemerintah

No.88

tentangPenyelenggaraanSistemdanTransaksiElektronik


Tahun

2012

UNIVERSITAS INDONESIA

Recommend Documents