Penyalahgunaan Data Pribadi Pinjol hingga Doxing, 4 Catatan UU Pelindungan Data Pribadi

DPR resmi mengesahkan Rancangan Undang-Undang (RUU) Pelindungan Data Pribadi (PDP) menjadi Undang-Undang (UU) pada Rapat Paripurna DPR ke-5 Masa Persidangan I Tahun Sidang 2022-2023, Selasa (20/9/2022).

Ketua DPR Puan Maharani menyebutkan, "Pengesahan RUU PDP akan menjadi tonggak sejarah bagi Indonesia dalam melindungi data pribadi warga negaranya dari segala bentuk kejahatan di era digital sekarang ini".

Apalagi ruang lingkup pengaturan UU PDP termasuk kompleks, tidak hanya sebatas perorangan/korporasi, tapi juga melingkupi pengawasan terhadap badan publik dan juga organisasi internasional.

Harap dicatat! Hadirnya UU PDP ini sebagai pemenuhan salah satu hak asasi manusia berdasarkan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, yakni menjamin hak warga negara atas pelindungan diri pribadi serta menumbuhkan kesadaran masyarakat dan menjamin pengakuan dan penghormatan atas pentingnya pelindungan data pribadi.

UU PDP yang baru disahkan DPR ini mengatur ketentuan dalam pelindungan data pribadi dalam 16 Bab.

Meliputi ketentuan umum, jenis data pribadi, hak subjek data pribadi, pemrosesan data pribadi, kewajiban pengendali data pribadi dan prosesor data pribadi, transfer data pribadi, sanksi administratif, kelembagaan, kerja sama internasional, partisipasi masyarakat, penyelesaian sengketa dan hukum acara, larangan dalam penggunaan data pribadi, ketentuan pidana, ketentuan peralihan, dan ketentuan penutup.

Ruang lingkup UU PDP berlaku untuk pemrosesan data pribadi yang dilakukan oleh orang perseorangan, korporasi, badan publik, dan organisasi internasional.

Namun tidak berlaku untuk pemrosesan data pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga.

Bagi masyarakat yang selama ini resah atas bocornya data pribadi seperti nomor seluler, hadirnya UU PDP tentu memberi hak konstitusional bagi setiap warga negara untuk memiliki kedaulatan terhadap data pribadi yang melekat pada setiap individu.

Dengan demikian, bentuk penyalahgunaan data pribadi yang kerap meresahkan masyarakat dapat/harus berkurang, seperti pemakaian data pribadi orang lain, yakni NIK ke platform pinjaman online (pinjol) ilegal atau penyebaran data pribadi seseorang untuk tujuan negatif (doxing).

Hal ini selaras dengan pernyataan Ketua DPR bahwa UU PDP akan memberi kepastian hukum agar setiap warga negara, tanpa terkecuali, memiliki kedaulatan atas data pribadi-nya.

"Dengan demikian, tidak ada lagi tangisan rakyat akibat pinjaman daring yang tidak mereka minta, atau doxing yang membuat meresahkan warga," katanya.

Angin segar warga negara

Kenapa UU PDP memberikan angin segar ke setiap warga negara? Karena UU PDP memberikan keseimbangan hak individu dalam upaya mitigasi terhadap kemungkinan penyalahgunaan data pribadi, mulai dari kebocoran data sampai praktik jual-beli data yang kerap terjadi dalam beberapa tahun belakangan.

Lalu, seperti apakah data pribadi itu? Menurut UU PDP, data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Dengan kata lain, pengidentifikasian suatu data yang menunjukkan (identitas) seseorang atau membedakan orang tersebut terhadap orang lain merupakan data pribadi yang melekat pada orang perseorangan.

Bagaimana dengan jenis data pribadi yang diatur dalam UU PDP ini? Menurut UU PDP, data pribadi terdiri atas data pribadi yang bersifat umum dan data pribadi yang bersifat spesifik.

Data pribadi yang bersifat umum meliputi: nama lengkap; jenis kelamin; kewarganegaraan; agama; status perkawinan; dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang antara lain nomor telepon seluler dan alamat protokol internet.

Sedangkan, data pribadi yang bersifat spesifik terdiri dari data dan informasi kesehatan; data biometrik; data genetika; catatan kejahatan; data anak; data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Dalam melakukan pemrosesan data pribadi, ada tiga pihak utama yang terlibat, yaitu pengendali data pribadi, prosesor data pribadi, dan subjek data pribadi.

Pengendali data pribadi adalah setiap orang (orang perseorangan atau korporasi), badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.

Prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.

Sedangkan subjek data pribadi adalah orang perseorangan yang pada dirinya melekat data pribadi.

Saat ini banyak penggunaan data pribadi yang tidak memiliki dasar pemrosesan data pribadi, sehingga terjadi penyalahgunaan data pribadi.

UU PDP secara eksplisit menyebutkan bahwa pemrosesan data pribadi pada dasarnya tidak boleh dilakukan tanpa memiliki dasar pemrosesan data pribadi, yaitu persetujuan yang sah secara eksplisit dari subjek data pribadi, pemenuhan kewajiban perjanjian, pemenuhan kewajiban hukum dari pengendali data pribadi, pemenuhan pelindungan kepentingan vital subjek data pribadi, pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik dan pelaksanaan kewenangan pengendali data pribadi, dan pemenuhan kepentingan yang sah lainnya.

Hak asasi manusia

Di samping kewajiban untuk memiliki dasar pemrosesan data pribadi sebelum melakukan pemrosesan data pribadi seperti pemerolehan, pengumpulan, pengolahan, penganalisisan dan penyimpanan data pribadi, UU PDP hadir menjamin hak-hak subjek data pribadi sebagai bentuk pelindungan diri pribadi sebagai hak asasi manusia. Hak konstitusional tersebut terdiri dari sembilan hak sebagai berikut:

1. Hak mendapatkan informasi

Subjek data pribadi berhak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi.

Contohnya, si Fulan sebagai subjek data pribadi melakukan pendaftaran pada sistem elektronik penyedia layanan pinjaman online (pinjol).

Penyedia layanan pinjol sebagai pengendali data pribadi menyampaikan kepada subjek data pribadi, data apa saja yang mereka kumpulkan, mengapa mereka mengumpulkan data pribadi tersebut, bagaimana mereka memproses/menggunakan data pribadi dan berapa lama masa retensi pemrosesan khususnya penyimpanan data pribadi tersebut.

Ini merupakan salah satu bentuk transparansi terhadap seluruh informasi terkait kegiatan pemrosesan data pribadi