Dengan adanya perkembangan teknologi yang beriringan dengan Era Digitalisasi, pada dasarnya tidak hanya memberikan dampak positif kepada seluruh masyarakat akan tetapi juga dapat memberikan dampak negatif salah satu diantaranya yaitu penyalahgunaan data pribadi. Dengan adanya perkembangan teknologi, saat ini masyarakat dapat dengan mudah mengakses, mentransmisikan, hingga meretas data pribadi seseorang semata-mata hanya untuk keuntungan pribadi orang tersebut.
Pemerintah Indonesia pada dasarnya telah mengambil upaya untuk melindungi data pribadi masyarakat Indonesia dengan menerbitkan dan mengesahkan Undang-Undang Nomor 27 Tahun 2022
tentang Perlindungan Data Pribadi (“UU 27/2022”). Untuk memahami bagaimana perlindungan yang diberikan oleh Pemerintah Indonesia terhadap data pribadi masyarakat Indonesia, dalam hal ini perlu terlebih dahulu dipahami mengenai pengertian dasar atas data pribadi berdasarkan UU 27/2022.
A. KLASIFIKASI DATA PRIBADI
Secara umum, UU 27/2022 mendefinisikan Data Pribadi sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik maupun nonelektronik (“Data Pribadi”). Adapun, pasal 4 UU 27/2022 mengklasifikasikan Data Pribadi ke dalam 2 (dua) jenis yang terdiri dari Data Pribadi Spesifik dan Data Pribadi Umum dengan rincian pengklasifikasian sebagai berikut :
1. Data Pribadi Spesifik
Data Pribadi Spesifik pada dasarnya terdiri atas :
a. Data dan informasi kesehatan;
b. Data biometrik;
c. Data genetika;
d. Catatan kejahatan;
e. Data anak;
f. Data keuangan pribadi; dan/atau
g. Data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
Notes:
Berkaitan dengan Data Biometrik dan Data Genetika yang termasuk ke dalam Data Pribadi Spesifik, UU 27/2022 mengatur lebih lanjut mengenai hal apa saja yang dikategorikan sebagai Data Biometrik dan Data Genetika yang diatur dalam Penjelasan Pasal 4 ayat 2 huruf b dan Pasal 4 ayat 2 huruf c yaitu sebagai berikut :
- Data Biometrik
Data Biometrik merupakan data yang berkaitan dengan fisik, fisiologis atau karakteristik perilaku individu yang dapat mengidentifikasi seperti gambar wajah, rekam sidik jari, retina mata hingga sampel DNA. - Data Genetika
Sementara itu, Data Genetika merupakan semua data jenis apapun mengenai karakteristik suatu individu yang diwariskan atau diperoleh selama perkembangan prenatal awal.
- Data Biometrik
2. Data Pribadi Umum
Sementara itu, Data Pribadi Umum terdiri atas :
a. Nama lengkap;
b. Jenis Kelamin;
c. Kewarganegaraan;
d. Agama;
e. Status Perkawinan; dan/atau
f. Data Pribadi yang dikombinasikan untuk mengidentifikasikan seseorang.
Dengan adanya pengklasifikasian Data Pribadi tersebut, dalam hal ini dapat dipahami bahwa halhal yang dikategorikan sebagai Data Pribadi baik Data Pribadi Spesifik maupun Data Pribadi Umum pada dasarnya bersifat rahasia dan tidak ada satu orang pun yang berhak untuk mengakses datadata tersebut tanpa persetujuan dari pihak yang bersangkutan.
B. PERLINDUNGAN DATA PRIBADI
1. Langkah Pencegahan Penyalahgunaan Data Pribadi dalam Pemrosesan Data Pribadi
Dalam UU 27/2022, segala sesuatu hal yang berkaitan dengan pengambilan tindakan terhadap Data Pribadi seseorang dikenal dengan istilah Pemrosesan Data Pribadi, yang meliputi tindakan-tindakan sebagai berikut (“Pemrosesan Data Pribadi”) :
a. Pemerolehan dan pengumpulan Data Pribadi;
b. Pengolahan dan Penganalisisan;
c. Penyimpanan;
d. Perbaikan dan pembaruan;
e. Penampilan, pengumuman, transfer, penyebarluasan atau pengungkapan; dan/atau
f. Penghapusan atau pemusnahan.
Sesuai dengan Pasal 39 ayat 1 UU 27/2022, Pengendali Data Pribadi atau pihak yang melakukan Pemrosesan Data Pribadi wajib untuk mencegah Data Pribadi diakses secara tidak sah oleh pihak lain yang tidak berkepentingan. Salah satu bentuk pencegahan agar Data Pribadi tidak diakses oleh pihak lain yang tidak berkepentingan, UU 27/2022 mewajibkan setiap Pengendali Data Pribadi untuk dapat memperoleh persetujuan yang sah secara eksplisit dari pemilik Data Pribadi atas pemrosesan Data Pribadi tersebut
Bahkan, sebelum pemilik Data Pribadi memberikan persetujuan mengenai Pemrosesan Data Pribadi, Pasal 5 UU 27/2022 memberikan hak kepada pemilik Data Pribadi untuk mengetahui dan mendapatkan informasi dari Pengendali Data Pribadi mengenai kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi serta akuntabilitas pihak yang meminta Data Pribadi.
Hak pemilik Data Pribadi untuk memperoleh informasi berkaitan dengan Pemrosesan Data Pribadi, pada dasarnya juga sejalan dengan kewajiban Pengendali Data Pribadi yang diatur dalam Pasal 21 UU 27/2022 yang pada pokoknya menyatakan bahwa Pengendali Data Pribadi berkewajiban untuk menyampaikan informasi mengenai :
a. Legalitas dari pemrosesan Data Pribadi;
b. Tujuan Pemrosesan Data Pribadi;
c. Jenis dan Relevansi Data Pribadi yang akan diproses;
d. Jangka waktu retensi dokumen yang memuat Data Pribadi;
e. Rincian mengenai informasi yang dikumpulkan;
f. Jangka waktu pemrosesan Data Pribadi; dan
g. Hak Subjek Data Pribadi untuk mengakhiri, menghapus dan memusnahkan Data Pribadi yang diproses.
Dengan adanya kewajiban Pengendali Data Pribadi yang diatur dalam Pasal 21 UU 27/2022, dalam hal ini dapat dipahami bahwa perolehan informasi berkaitan dengan Pemrosesan Data Pribadi bukan hanya semata-mata hak yang dapat diperoleh pemilik Data Pribadi apabila yang bersangkutan memiliki keinginan untuk mengetahui informasi-informasi tersebut. Akan tetapi, hal tersebut menjadi suatu Standar Operasional Prosedur yang harus disampaikan oleh Pengendali Data Pribadi kepada setiap pemilik Data Pribadi apabila Pemrosesan Data Pribadi dalam bentuk apapun akan dilaksanakan.
2. Perlindungan Data Pribadi dalam Fasilitas Publik
Dengan adanya perkembangan teknologi, tidak dapat dipungkiri bahwa saat ini tempat umum dan/atau fasilitas publik telah dilengkapi oleh berbagai alat keamanan digital yaitu salah satu diantaranya Closed Circuit Television (CCTV). Pada dasarnya, pemasangan alat keamanan digital dalam fasilitas publik diperkenankan oleh UU 27/2022 khususnya Pasal 17 yang pada pokoknya menyatakan bahwa pemasangan alat pemroses data visual di tempat umum dan/atau pada fasilitas pelayanan publik dapat dilakukan dengan tujuan keamanan, pencegahan bencana, dan informasi lalu lintas serta tidak digunakan untuk mengidentifikasi seseorang.
UU 27/2022 tidak mengatur lebih lanjut mengenai hal-hal yang dapat dijadikan pedoman untuk terhindarnya dari penyalahgunaan alat keamanan digital dalam fasilitas publik yang dapat berpengaruh terhadap penyalahgunaan data pribadi seseorang. Namun, dengan mendasar pada ketentuan hak subjek data pribadi untuk mengetahui dan mendapatkan informasi tentang penggunaan data pribadi (termasuk data biometrik yang teridentifikasi oleh alat keamanan digital), Pasal 17 ayat 1 huruf b menyatakan bahwa tiap-tiap Pengendali Data Pribadi yang memasang alat keamanan digital pada fasilitas publik wajib menampilkan informasi yang dapat diketahui oleh publik bahwa area tersebut telah dipasang alat pemroses atau pengolah data visual, agar hak subjek data pribadi untuk mengetahui sebagaimana dimaksud di atas dapat terpenuhi.
Selain itu, sebagai bentuk mitigasi atas risiko penyalahgunaan data pribadi pada alat keamanan digital yang terpasang pada fasilitas publik, masyarakat yang mengunjungi area publik sebagaimana dimaksud, sebaiknya dapat mengetahui informasi mengenai pihak yang mengendalikan alat pemroses atau pengolah data visual pada area tersebut, agar apabila sewaktu-waktu terdapat Data Pribadi yang disalahgunakan dapat dimintakan pertanggungjawaban sesuai dengan ketentuan UU 27/2022, dalam kapasitasnya selaku Pengendali Data Pribadi yang timbul dari alat pemroses atau pengolah data visual.
3. Upaya Penyelesaian Permasalahan Penyalahgunaan Data Pribadi
Sebagaimana telah diuraikan sebelumnya, Pasal 39 UU 27/2022 memberikan kewajiban kepada Pengendali Data Pribadi untuk mencegah Data Pribadi diakses secara tidak sah. Bahkan, apabila dalam suatu waktu Data Pribadi yang diproses sudah tidak lagi diperlukan karena sudah mencapai tujuan pemrosesan Data Pribadi, dan/atau persetujuan Pemrosesan Data Pribadi dicabut oleh pemilik Data Pribadi serta Data Pribadi tersebut diperoleh dengan cara melawan hukum, dalam hal ini Pasal 43 j.o Pasal 44 UU 27/2022 mewajibkan Pengendali Data Pribadi untuk menghapus dan memusnahkan Data Pribadi tersebut.
Dalam hal terjadi kegagalan perlindungan data pribadi, sesuai dengan ketentuan Pasal 46 UU 27/2022, Pengendali Data Pribadi wajib untuk memberitahukan kegagalan perlindungan Data Pribadi tersebut kepada pemilik Data Pribadi yang bersangkutan. Lebih lanjut, apabila Pengendali Data Pribadi gagal menanggulangi permasalahan tersebut dan pemilik Data Pribadi yang bersangkutan mengalami kerugian baik secara materiil maupun immateriil, sesuai dengan Pasal 12 UU 27/2022 Pemilik Data Pribadi tersebut dapat mengajukan gugatan serta berhak untuk menerima ganti rugi dari Pengendali Data Pribadi.
Selain menjadi kewajiban dari Pengendali Data Pribadi, Pasal 65 UU 27/2022 juga pada dasarnya memberikan Perlindungan Data Pribadi atas penyalahgunaan Data Pribadi yang dilakukan oleh setiap orang maupun badan yang bukan merupakan bagian dari Pengendali Data Pribadi tersebut. Adapun, ketentuan yang dimaksud pada pokoknya menyatakan bahwa “..setiap orang dilarang secara melawan hukum memperoleh, mengumpulkan, mengungkapkan dan/atau menggunakan Data Pribadi yang bukan milikinya dengan maksud untuk mengungtungkan diri sendiri”.
4. Sanksi Administratif dan Ketentuan Pidana
Berkaitan dengan kegagalan Pengendali Data Pribadi untuk mencegah Data Pribadi diakses secara tidak sah oleh pihak yang tidak berkepentingan pada dasarnya UU 27/2022 tidak mengatur mengenai sanksi pidana yang dapat dikenakan terhadap Pengendali Data Pribadi tersebut. Namun demikian, Pasal 57 UU 27/2022 mengatur bahwa apabila Pengendali Data Pribadi melanggar ketentuan untuk mencegah Data Pribadi diakses secara tidak sah, dan/atau apabila Pengendali Data Pribadi lalai untuk menghapus dan memusnahkan Data Pribadi pada saat tujuan Pemrosesan Data Pribadi telah tercapai, dalam hal ini pengendali Data Pribadi hanya dapat dikenakan Sanksi Adminsitratif yaitu berupa Peringatan Tertulis, Penghentian Sementara Kegiatan Pemrosesan Data Pribadi, Penghapusan atau Pemusnahan Data Pribadi,
serta Denda administratif.
Namun demikian, dengan adanya hak pemilik Data Pribadi untuk menggugat dan menerima ganti rugi apabila Pengendali Data Pribadi melanggar ketentuan Pemrosesan Data Pribadi yang diatur dalam Pasal 12 UU 27/2022, dalam hal ini dapat dipahami bahwa Pengendali Data Pribadi dapat dimintai pertanggungjawaban selain Sanksi Administratif yang diatur dalam Pasal 57 UU 27/2022.
Lebih lanjut, berkaitan dengan Ketentuan Pidana yang belaku dalam peristiwa penyalahgunaan Data Pribadi, Pasal 67 UU 27/2022 hanya mengatur Ketentuan Pidana bagi orang yang secara langsung menyalahgunakan Data Pribadi sebagaimana dimaksud pada Pasal 65 di atas, meskipun orang tersebut bukan merupakan Pengendali Data Pribadi.
Adapun, sesuai dengan Pasal 67 UU 27/2022 ditentukan bahwa dalam hal setiap orang, menyalahgunakan Data Pribadi dengan memperoleh, mengumpulkan, mengungkapkan dan/atau menggunakan Dara Pribadi yang bukan miliknya secara melawan hukum, maka sesuai dengan Pasal 67 orang yang bersangkutan dapat dikenakan pidana penjara paling lama 5 (lima) tahun, hingga pidana denda paling banyak Rp.5.000.000.000,- (lima miliar Rupiah).