Perlindungan Data Pribadi Dalam Sistem Elektronik
Seperti kita ketahui saat ini, masyarakat sering berintaraksi atau melakukan transaksi melalui perangkat sistem elektronik. Sistem elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan informasi elektronik (Pasal 1 angka 5 UU ITE).
Dalam melakukan transaksi tersebut, informasi pribadi pengguna diperlukan untuk kelancaran transaksi tersebut. Misalnya, saat seseorang ingin membeli suatu produk di toko online, maka ia harus memberikan keterangan seperti nama, alamat, nomor telepon email dan lain sabagainya.
Perkembangan teknologi, informasi dan komunikasi di era ini, ternyata tidak hanya menimbulkan dampak positif akan tetapi juga menimbulkan dampak negatif bagi masyarakat seperti penyalahgunaan data pribadi.
Internet merupakan media dimana seluruh orang dapat berkomunikasi dan berbagi informasi tanpa mengenal waktu dan tempat. Namun, di sinilah penyalahgunaan data pribadi kerap terjadi. Baik karena kelalaian korban maupun dilakukan secara sengaja oleh pelaku.
Isu perlindungan data pribadi saat ini kerap menjadi perhatian masyarakat. Hal ini tidak terlepas dari persoalan kebocoran data pribadi yang terus-menurus terjadi tanpa disadari secara langsung oleh korban.
Banyak masyarakat yang mengeluh akan hal ini, mulai dari rakyat biasa hingga pejabat negara. Persoalan pembobolan data pribadi dalam sistem elektronik hingga penyalahgunaan data tersebut sangat mengkhawatirkan masyarakat secara luas.
Suatu data adalah data pribadi apabila data tersebut berhubungan dengan seseorang, sehingga dapat digunakan untuk mengindentifikasiorang tersebut, yaitu pemilik data. Misalnya, nomor telepon di dalam selembar kertas kosong adalah data. Berbeda halnya apabila di dalam selembar kertas tersebut berisi nomor telepon dan nama pemilik nomor telepon tersebut, data itu adalah data pribadi (Sugeng, 2020: 49).
Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik (Pasal 1 ayat (1) UU Perlindungan Data Pribadi).
Secara filosofis upaya pengaturan hak privasi atas data pribadi merupakan manifestasi pengakuan dan perlindungan atas hak-hak dasar manusia. Landasan filosofis perlindungan data pribadi adalah Pancasila yaitu rechtsidee (cita hukum) yang merupakan konstruksi pikir (ide) yang mengarahkan hukum kepada apa yang dicita-citakan. Secara sosiologis perumusan aturan tentang perlindungan data pribadi juga dapat dipahami karena adanya kebutuhan untuk melindungi hak-hak individual di dalam masyarakat sehubungan dengan pengumpulan, pemrosesan, pen gelolaaan, dan penyebarluasan data pribadi (Sugeng, 2020: 50).
Saat ini regulasi perlindungan data pribadi dalam sistem elektronik adalah Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik serta Undang-Undang Nomor 27 Tahun 2022 Tentang Perlindungan Data Pribadi.
Jenis Data Pribadi
Data Pribadi terdiri atas:
- Data Pribadi yang bersifat spesifik; dan
- Data Pribadi yang bersifat umum.
Data Pribadi yang bersifat spesifik meliputi:
- data dan informasi kesehatan;
- data biometrik;
- data genetika;
- catatan kejahatan;
- data anak;
- data ker.rangan pribadi; dan/ atau
- data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
Data Pribadi yang bersifat umum meliputi:
- nama lengkap;
- jenis kelamin;
- kewarganegaraan
- agama;
- status perkawinan; dan/ atau
- Data Pribadi yang dikombinasikan mengidentifikasi seseorang.
Perlindungan Data Pribadi
Perlindungan data pribadi dalam sistem elektronik dilakukan pada proses:
- perolehan dan pengumpulan;
- pengolahan dan penganalisisan;
- penyimpanan;
- penampilan, pengumuman, pengiriman, penyebarluasan, dan/atau pembukaan akses; dan
- e. pemusnahan.
Perolehan dan Pengumpulan Data Pribadi
Perolehan dan pengumpulan data pribadi oleh penyelenggara sistem elektronik harus dibatasi pada informasi yang relevan dan sesuai dengan tujuannya serta harus dilakukan secara akurat.
Dalam memperoleh dan mengumpulkan data pribadi, penyelenggara sistem elektronik harus menghormati pemilik data pribadi atas data pribadinya yang bersifat privasi.
Penghormatan terhadap pemilik data pribadi atas data pribadi yang bersifat privasi dilakukan melalui penyediaan pilihan dalam sistem elektronik untuk pemilik data pribadi terhadap:
- Kerahasiaan atau ketidakrahasiaan data pribadi; dan
- Perubahan, penambahan, atau pembaruan data pribadi.
Pilihan untuk pemilik data pribadi terhadap kerahasiaan atau ketidakrahasiaan data pribadi tidak berlaku jika peraturan perundang-undangan telah secara tegas menyatakan data pribadi yang secara khusus untuk beberapa elemennya dinyatakan bersifat rahasia.
Pilihan untuk pemilik data pribadi terhadap perubahan, penambahan, atau pembaruan data pribadi untuk memberikan kesempatan bagi pemilik data pribadi jika menghendaki pergantian data perseorangan tertentu miliknya.
Perolehan dan pengumpulan data pribadi oleh penyelenggara sistem elektronik wajib berdasarkan persetujuan atau berdasarkan ketentuan peraturan perundang-undangan.
Pemilik data pribadi yang memberikan persetujuan dapat menyatakan data perseorangan tertentu miliknya bersifat rahasia.
Dalam hal persetujuan tidak termasuk persetujuan atas pengungkapan kerahasiaan data pribadi maka:
- Setiap orang yang melakukan perolehan dan pengumpulan data pribadi; dan
- Penyelenggara sistem elektronik; harus menjaga kerahasiaan data pribadi tersebut.
Ketentuan menjaga kerahasiaan data pribadi bagi setiap orang dan penyelenggara sistem elektronik juga berlaku terhadap data pribadi yang dinyatakan rahasia sesuai dengan ketentuan peraturan perundang-undangan.
Data pribadi yang diperoleh dan dikumpulkan secara langsung harus diverifikasi ke pemilik data pribadi.
Data pribadi yang diperoleh dan dikumpulkan secara tidak langsung harus diverifikasi berdasarkan hasil olahan berbagai sumber data.
Sumber data dalam perolehan dan pengumpulan data pribadi harus memiliki dasar hukum yang sah.
Sistem elektronik yang digunakan untuk menampung perolehan dan pengumpulan data pribadi harus:
- Memiliki kemampuan interoperabilitas dan kompatibilitas; dan
- Menggunakan perangkat lunak (software) yang legal.
Kemampuan interoperabilitas dan kompatibilitas sesuai dengan ketentuan peraturan perundang-undangan.
Interoperabilitas merupakan kemampuan sistem elektronik yang berbeda untuk dapat bekerja secara terpadu.
Kompatibilitas merupakan kesesuaian sistem elektronik yang satu dengan sistem elektronik yang lainnya.
Pengolahan dan Penganalisisan Data Pribadi
Data pribadi hanya dapat diolah dan dianalisis sesuai kebutuhan penyelenggara sistem elektronik yang telah dinyatakan secara jelas saat memperoleh dan mengumpulkannya.
Pengolahan dan penganalisisan data pribadi dilakukan berdasarkan persetujuan. Ketentuan ini tidak berlaku jika data pribadi yang diolah dan dianalisis tersebut berasal dari data pribadi yang telah ditampilkan atau diumumkan secara terbuka oleh sistem elektronik untuk pelayanan publik.
Data pribadi yang diolah dan dianalisis harus data pribadi yang telah diverifikasi keakuratannya.
Penyimpanan Data Pribadi
Data pribadi yang disimpan dalam sistem elektronik harus data pribadi yang telah diverifikasi keakuratannya.
Data pribadi yang disimpan dalam sistem elektronik harus dalam bentuk data terenkripsi.
Data pribadi wajib disimpan dalam sistem elektronik:
- Sesuai dengan ketentuan peraturan perundangundangan yang mengatur kewajiban jangka waktu penyimpanan data pribadi pada masing-masing instansi pengawas dan pengatur sektor; atau
- Paling singkat 5 (lima) tahun, jika belum terdapat ketentuan peraturan perundang-undangan yang
Secara khusus mengatur untuk itu.
Jika pemilik data pribadi tidak lagi menjadi pengguna, penyelenggara sistem elektronik wajib menyimpan data pribadi tersebut sesuai batas waktu, terhitung sejak tanggal terakhir pemilik data pribadi menjadi pengguna.
Pusat data (data center) dan pusat pemulihan bencana (disaster recovery center) penyelenggara sistem elektronik untuk pelayanan publik yang digunakan untuk proses perlindungan data pribadi wajib ditempatkan dalam wilayah negara republik indonesia.
Pusat data (data center) merupakan suatu fasilitas yang digunakan untuk menempatkan sistem elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.
Pusat pemulihan bencana (disaster recovery center) merupakan suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting sistem elektronik yang terganggu atau rusak akibat bencana yang disebabkan oleh alam dan/atau manusia.
Ketentuan lebih lanjut mengenai kewajiban penempatan pusat data dan pusat pemulihan bencana di wilayah indonesia diatur oleh instansi pengawas dan pengatur sektor terkait sesuai dengan ketentuan peraturan perundangundangan setelah berkoordinasi dengan menteri.
Penyimpanan data pribadi dalam sistem elektronik harus dilakukan sesuai dengan ketentuan mengenai prosedur dan sarana pengamanan sistem elektronik.
Prosedur dan sarana pengamanan sistem elektronik sesuai dengan ketentuan peraturan perundang-undangan.
Jika waktu penyimpanan data pribadi telah melebihi batas waktu, data pribadi dalam sistem elektronik dapat dihapuskan kecuali data pribadi tersebut masih akan dipergunakan atau dimanfaatkan sesuai dengan tujuan awal perolehan dan pengumpulannya.
Jika pemilik data pribadi meminta penghapusan data perseorangan tertentu miliknya, permintaan penghapusan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.
Penampilan, Pengumuman, Pengiriman, Penyebarluasan, dan/atau Pembukaan Akses Data Pribadi
Menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses data pribadi dalam sistem elektronik hanya dapat dilakukan:
- Atas persetujuan kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dan
- Setelah diverifikasi keakuratan dan kesesuaian dengan tujuan perolehan dan pengumpulan data pribadi tersebut.
Menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses data pribadi dalam sistem elektronik termasuk yang dilakukan antar penyelenggara sistem elektronik, antar penyelenggara sistem elektronik dan pengguna, atau antar pengguna.
Pengiriman data pribadi yang dikelola oleh penyelenggara sistem elektronik pada instansi pemerintah dan pemerintahan daerah serta masyarakat atau swasta yang berdomisili di dalam wilayah negara republik indonesia ke luar wilayah negara republik indonesia harus:
- Berkoordinasi dengan menteri atau pejabat/lembaga yang diberi wewenang untuk itu; dan
- Menerapkan ketentuan peraturan perundangundangan mengenai pertukaran data pribadi lintas batas negara.
Pelaksanaan koordinasi berupa:
- Melaporkan rencana pelaksanaan pengiriman data pribadi, paling sedikit memuat nama jelas negara tujuan, nama jelas subjek penerima, tanggal pelaksanaan, dan alasan/tujuan pengiriman;
- Meminta advokasi, jika diperlukan; dan
- Melaporkan hasil pelaksanaan kegiatan.
Untuk keperluan proses penegakan hukum, penyelenggara sistem elektronik wajib memberikan data pribadi yang terdapat dalam sistem elektronik atau data pribadi yang dihasilkan oleh sistem elektronik atas permintaan yang sah dari aparat penegak hukum berdasarkan ketentuan peraturan perundang-undangan.
Data pribadi yang diberikan merupakan data pribadi yang relevan dan sesuai dengan kebutuhan penegakan hukum.
Penggunaan dan pemanfaatan data pribadi yang ditampilkan, diumumkan, diterima, dan disebarluaskan oleh penyelenggara sistem elektronik harus berdasarkan persetujuan.
Penggunaan dan pemanfaatan data pribadi harus sesuai dengan tujuan perolehan, pengumpulan, pengolahan, dan/atau penganalisisan data pribadi.
Pemusnahan Data Pribadi
Pemusnahan Data Pribadi dalam Sistem Elektronik hanya dapat dilakukan jika:
- telah melewati ketentuan jangka waktu penyimpanan Data Pribadi dalam Sistem Elektronik berdasarkan Peraturan Menteri ini atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masingmasing Instansi Pengawas dan Pengatur Sektor untuk itu; atau
- atas permintaan Pemilik Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.
Pemusnahan harus menghilangkan sebagian atau keseluruhan dokumen terkait Data Pribadi, termasuk yang elektronik maupun nonelektronik yang dikelola oleh Penyelenggara Sistem Elektronik dan/atau Pengguna sehingga Data Pribadi tersebut tidak dapat ditampilkan kembali dalam Sistem Elektronik kecuali Pemilik Data Pribadi memberikan Data Pribadinya yang baru.
Penghilangan sebagian atau keseluruhan berkas dilakukan berdasarkan Persetujuan atau sesuai dengan ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing sektor untuk itu.
Hak Pemilik Data Pribadi
Pemilik data pribadi berhak:
- Atas kerahasiaan data pribadinya;
- Mengajukan pengaduan dalam rangka penyelesaian sengketa data pribadi atas kegagalan perlindungan kerahasiaan data pribadinya oleh penyelenggara sistem elektronik kepada menteri;
- Mendapatkan akses atau kesempatan untuk mengubah atau memperbarui data pribadinya tanpa menganggu sistem pengelolaan data pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;
- Mendapatkan akses atau kesempatan untuk memperoleh historis data pribadinya yang pernah diserahkan kepada penyelenggara sistem elektronik sepanjang masih sesuai dengan ketentuan peraturan perundang-undangan; dan
- Meminta pemusnahan data perseorangan tertentu miliknya dalam sistem elektronik yang dikelola oleh penyelenggara sistem elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.
Kewajiban Pengguna
Pengguna wajib:
- Menjaga kerahasiaan data pribadi yang diperoleh, dikumpulkan, diolah, dan dianalisisnya;
- Menggunakan data pribadi sesuai dengan kebutuhan pengguna saja;
- Melindungi data pribadi beserta dokumen yang memuat data pribadi tersebut dari tindakan penyalahgunaan; dan
- Bertanggung jawab atas data pribadi yang terdapat dalam penguasaannya, baik penguasaan secara organisasi yang menjadi kewenangannya maupun perorangan, jika terjadi tindakan penyalahgunaan.
Kewajiban Penyelenggara Sistem Elektronik
Setiap penyelenggara sistem elektronik wajib:
- Melakukan sertifikasi sistem elektronik yang dikelolanya sesuai dengan ketentuan peraturan perundang-undangan;
- Menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan data pribadi;
- Memberitahukan secara tertulis kepada pemilik data pribadi jika terjadi kegagalan perlindungan rahasia data pribadi dalam sistem elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:
- Harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia data pribadi;
- Dapat dilakukan secara elektronik jika pemilik data pribadi telah memberikan persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan data pribadinya;
- Harus dipastikan telah diterima oleh pemilik data pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
- Pemberitahuan tertulis dikirimkan kepada pemilik data pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut;
- Memiliki aturan internal terkait perlindungan data pribadi yang sesuai dengan ketentuan peraturan perundang-undangan;
- Menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan sistem elektronik yang dikelolanya;
- Memberikan opsi kepada pemilik data pribadi mengenai data pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan data pribadi;
- Memberikan akses atau kesempatan kepada pemilik data pribadi untuk mengubah atau memperbarui data pribadinya tanpa menganggu sistem pengelolaan data pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;
- Memusnahkan data pribadi sesuai dengan ketentuan dalam peraturan menteri ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing instansi pengawas dan pengatur sektor untuk itu; dan
- Menyediakan narahubung (contact person) yang mudah dihubungi oleh pemilik data pribadi terkait pengelolaan data pribadinya.
Penyelesaian Sengketa
Setiap pemilik data pribadi dan penyelenggara sistem elektronik dapat mengajukan pengaduan kepada menteri atas kegagalan perlindungan kerahasiaan data pribadi.
Pengaduan dimaksudkan sebagai upaya penyelesaian sengketa secara musyawarah atau melalui upaya penyelesaian alternatif lainnya.
Pengaduan dilakukan berdasarkan alasan:
- Tidak dilakukannya pemberitahuan secara tertulis atas kegagalan perlindungan rahasia data pribadi oleh penyelenggara sistem elektronik kepada pemilik data pribadi atau penyelenggara sistem elektronik lainnya yang terkait dengan data pribadi tersebut, baik yang berpotensi maupun tidak berpotensi menimbulkan kerugian; atau
- Telah terjadinya kerugian bagi pemilik data pribadi atau penyelenggara sistem elektronik lainnya yang terkait dengan kegagalan perlindungan rahasia data pribadi tersebut, meskipun telah dilakukan pemberitahuan secara tertulis atas kegagalan perlindungan rahasia data pribadi namun waktu pemberitahuannya yang terlambat.
Menteri dapat berkoordinasi dengan pimpinan instansi pengawas dan pengatur sektor untuk menindaklanjuti pengaduan.
Menteri mendelegasikan kewenangan penyelesaian sengketa data pribadi kepada direktur jenderal.
Direktur jenderal dapat membentuk panel penyelesaian sengketa data pribadi.
Pengaduan dan penanganan pengaduan dilakukan berdasarkan tata cara, sebagai berikut:
- Pengaduan dilakukan paling lambat 30 (tiga puluh) hari kerja sejak pengadu mengetahui informasi;
- Pengaduan disampaikan secara tertulis memuat:
- Nama dan alamat pengadu;
- Alasan atau dasar pengaduan;
- Permintaan penyelesaian masalah yang diadukan; dan
- Tempat pengaduan, waktu penyampaian pengaduan, dan tanda tangan pengadu.
- Pengaduan harus dilengkapi dengan bukti-bukti pendukung;
- Pejabat/tim penyelesaian sengketa data pribadi atas kegagalan perlindungan kerahasiaan data pribadi wajib menanggapi pengaduan paling lambat 14 (empat belas) hari kerja sejak pengaduan diterima yang paling sedikit memuat pengaduan lengkap atau tidak lengkap;
- Pengaduan yang tidak lengkap harus dilengkapi oleh pengadu paling lambat 30 (tiga puluh) hari kerja sejak pengadu menerima tanggapan sebagaimana dimaksud pada huruf d dan jika melebihi batas waktu tersebut, pengaduan dianggap dibatalkan;
- Pejabat/lembaga penyelesaian sengketa data pribadi atas kegagalan perlindungan kerahasiaan data pribadi wajib menangani penyelesaian pengaduan mulai 14 (empat belas) hari kerja sejak pengaduan diterima lengkap;
- Penyelesaian sengketa atas dasar pengaduan lengkap tersebut dilakukan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya sesuai dengan ketentuan peraturan perundang-undangan; dan
- Pejabat/lembaga penyelesaian sengketa data pribadi atas kegagalan perlindungan kerahasiaan data pribadi yang menangani pengaduan dapat memberikan rekomendasi kepada menteri untuk penjatuhan sanksi administratif kepada penyelenggara sistem elektronik meskipun pengaduan dapat atau tidak dapat diselesaikan secara musyawarah atau melalui upaya penyelesaian alternatif\ lainnya.
Dalam upaya penyelesaian sengketa secara musyawarah atau melalui upaya penyelesaian alternatif lainnya belum mampu menyelesaikan sengketa atas kegagalan perlindungan kerahasiaan data pribadi, setiap pemilik data pribadi dan penyelenggara sistem elektronik dapat mengajukan gugatan atas terjadinya kegagalan perlindungan rahasia data pribadi.
Gugatan hanya berupa gugatan perdata dan diajukan sesuai dengan ketentuan peraturan perundang-undangan.
Jika dalam proses penegakan hukum oleh aparat penegak hukum sesuai dengan ketentuan peraturan perundang-undangan yang berwenang harus melakukan penyitaan, maka yang dapat disita hanya data pribadi yang terkait kasus hukum tanpa harus menyita seluruh sistem elektroniknya.
Penyelenggara sistem elektronik yang menyediakan, menyimpan, dan/atau mengelola data pribadi yang disita dilarang melakukan tindakan apa pun yang dapat mengakibatkan berubah atau hilangnya data pribadi tersebut dan tetap wajib menjaga keamanan atau memberikan perlindungan rahasia data pribadi dalam sistem elektronik yang dikelolanya.
Sanksi Administratif
Setiap orang yang memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarluaskan data pribadi tanpa hak atau tidak sesuai dengan ketentuan dalam peraturan menteri ini atau peraturan perundang-undangan lainnya dikenai sanksi administratif sesuai dengan ketentuan peraturan perundang-undangan berupa:
- Peringatan lisan;
- Peringatan tertulis;
- Penghentian sementara kegiatan; dan/atau
- Pengumuman di situs dalam jaringan (website online).
Ketentuan mengenai tata cara pelaksanaan sanksi administratif diatur dengan peraturan menteri.
Sanksi administratif diberikan oleh menteri atau pimpinan instansi pengawas dan pengatur sektor terkait sesuai dengan ketentuan peraturan perundang-undangan.
Pengenaan sanksi oleh pimpinan instansi pengawas dan pengatur sektor terkait dilakukan setelah berkoordinasi dengan menteri.
Referensi:
- Sugeng, 2020, Hukum Telematika Indonesia, Kencana Prenadamedia Group, Jakarta.
- Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.
- Undang-Undang Nomor 27 Tahun 2022 Tentang Perlindungan Data Pribadi.
Post a Comment