33
0
0
1
Tim Penyusun Kajian
Kajian Mencari Solusi Permasalahan Instrumen
Hukum Perlindungan Data Pribadi di Indonesia
disusun oleh:
Aditya Halimawan
Alif Duta Hardenta
Annisa Noor Hayati
Antonius Havik Indradi
Aqshal Muhammad Arsyah
Cora Kristin Mulyani
Kevin Daffa Athilla
Muhammad Hamzah Al Faruq
Muhammad Rayhan
Natalische Ramanda Ricko Aldebarant
Silvia Puspitasari
Tariq Hidayat Pangestu
Teuku Ridho Incusy
2
Daftar Isi
TIM PENYUSUN KAJIAN __________________________________________________ 1
DAFTAR ISI ______________________________________________________________ 2
LATAR BELAKANG _______________________________________________________ 3
KONSEP PERLINDUNGAN DATA PRIBADI _________________________________ 6
TINJAUAN DARI BEBERAPA NEGARA TERKAIT PERLINDUNGAN DATA
PRIBADI _________________________________________________________________ 9
INSTRUMEN HUKUM PERLINDUNGAN DATA PRIBADI DAN CAKUPAN
PERLINDUNGANNYA ____________________________________________________ 11
A. PERLINDUNGAN DATA PRIBADI DALAM KONSTITUSI ________________________________________ 12
B. REKAM MEDIS DALAM UU PRAKTIK KEDOKTERAN _________________________________________ 12
C. INFORMASI ELEKTRONIK DALAM UU PERUBAHAN ITE ______________________________________ 13
D. DATA PRIBADI DALAM UU ADMINISTRASI KEPENDUDUKAN __________________________________ 14
E. HAK ATAS RAHASIA KONDISI KESEHATAN PRIBADI DALAM UU KESEHATAN ________________________ 16
F. JAMINAN PROTEKSI DATA PRIBADI DALAM UU PELAYANAN PUBLIK _____________________________ 17
G. PERMEN KI NOMOR 20 2016: PERLINDUNGAN DATA PRIBADI DALAM SISTEM ELEKTRONIK ____________ 17
H. PERMASALAHAN DARI PERLIDUNGAN DATA PRIBADI YANG MENYEBAR DAN TIDAK TERINTEGRASI __________ 19
RANCANGAN UNDANG-UNDANG PERLINDUNGAN DATA PRIBADI _________ 21
A. SUBSTANSI RUU PDP____________________________________________________________ 22
B. RUU PDP: PRO DAN KONTRA ______________________________________________________ 24
C. RUU PDP: REVISI ATAU LANGSUNG DISAHKAN? __________________________________________ 28
DAFTAR PUSTAKA _______________________________________________________ 30
3
Latar Belakang
Privasi merupakan hak setiap orang untuk leluasa dalam menjalankan kehidupan
pribadinya, salah satu bentuk konkrit dari privasi adalah data pribadi. Data pribadi merupakan
segala informasi yang berkaitan dengan pribadi seseorang. Seiring berjalannya waktu, bentuk
data pribadi pun berkembang mengikuti arus perkembangan teknologi yang kian pesat. Hal ini
menyebabkan potensi munculnya pelanggaran terhadap data pribadi ini menjadi semakin besar.
Sehingga diperlukan suatu perlindungan terhadap data pribadi tersebut mengingat data pribadi
merupakan hal yang sensitif yang dapat disalahgunakan apabila disebarkan oleh pihak yang
tidak bertanggung jawab sehingga berpotensi menimbulkan kerugian finansial hingga ancaman
keselamatan pemilik.
Hal tersebut terbukti dalam polemik diskusi yang rencananya akan diadakan oleh CLS
FH UGM tanggal 29 Mei 2020, data pribadi milik panitia diskusi dan anggota CLS FH UGM
bocor sehingga muncullah berbagai teror pembunuhan dari pihak-pihak yang tidak
bertanggung jawab. Bahkan Prof. Ni’matul Huda, Guru Besar FH UII yang direncanakan akan
menjadi pembicara dalam diskusi tersebut, juga mengalami terror di kediamannya sejak
tuduhan tidak bertanggung jawab terhadap acara diskusi tersebut mencuat.1
Dalam cakupan yang lebih luas, kebocoran data pribadi ini sudah sangat marak terjadi.
Bentuknya pun semakin beragam, mulai dari pesan singkat via nomor HP dan e-mail pribadi
seperti tawaran asuransi atau pinjaman yang tidak jelas legalitasnya hingga penipuan dengan
kedok yang beragam pula.2 Hal ini diperparah dengan kesadaran masyarakat akan pentingnya
keamanan data pribadi masih belum tumbuh. Hal ini terbukti dari sikap masyarakat yang
senang sekali mengumbar data pribadi mereka di berbagai tempat seperti sembarangan mengisi
formulir online, sembarangan mengunggah informasi pribadi yang sensitif di media sosial, asal
menyetujui privacy and policy suatu situs maupun aplikasi tanpa memikirkan secara matang
konsekuensi ke depannya.
Selain sikap masyarakat yang acuh dengan keamanan data pribadi masing-masing,
pemerintah juga memiliki andil yang besar dalam menyuburkan isu negatif keamanan pribadi.
Pemerintah dinilai belum serius di dalam melindungi salah satu hak yang dijamin UUD 1945
1 Irwan Syambudi, Kasus Peretasan & Teror Diskusi CLS FH UGM: Polisi Lambat Bertindak,
https://tirto.id/kasus-peretasan-teror-diskusi-cls-ugm-polisi-lambat-bertindak-fECn, diakses 11 Juni 2020. 2 KumparanTECH, Waspada Aplikasi Pinjam Uang Ambil Data Kontak dan Baca SMS di Ponsel,
https://kumparan.com/kumparantech/waspada-aplikasi-pinjam-uang-ambil-data-kontak-dan-baca-sms-di-ponsel-
27431110790534537, diakses 11 Juni 2020.
4
ini. Rezim hukum yang ada beserta penegakan hukumnya dinilai belum bisa mencakup
permasalahan yang ada secara maksimal. Belum ada instrumen hukum yang secara khusus
mengatur perlindungan data pribadi. Penyelesaian kasus pelanggaran terhadap perlindungan
data pribadi masih bergantung pada peraturan yang bersifat parsial dan sektoral seperti aturan
terkait rahasia kondisi pribadi pasien yang diatur dalam UU No. 36 Tahun 2009 tentang
Kesehatan dan aturan terkait data pribadi nasabah penyimpan dan simpanannya dalam UU No.
10 Tahun 1998.3 Selain itu bukti nyata ketidakseriusan pemerintah dalam menangani kasus
semacam ini terlihat di dalam kasus ditemukannya ribuan keping e-KTP yang berisi informasi
data pribadi yang sensitif di tempat sampah umum. Walaupun e-KTP tersebut sudah tidak
digunakan lagi, tetapi tidak ada jaminan pasti bahwa data yang ada sudah benar-benar tidak
bisa dimanfaatkan lagi oleh oknum-oknum tertentu.4
Kasus terbaru terkait kebocoran data pribadi berskala besar muncul dari bidang e-
commerce, yaitu Bukalapak dan Tokopedia yang diisukan mengalami kebocoran data pribadi
milik jutaan pengguna. Kumpulan data tersebut dijual di situs pasar gelap internet seharga
$5.000 atau Rp.74 juta.5 Kasus ini sekali lagi dengan jelas membuka mata semua orang bahwa
data pribadi merupakan informasi sensitif yang esensial dari seseorang yang perlu dilindungi
sebab hal ini merupakan hak dasar dari seseorang yang dijamin oleh konstitusi yang patut
dihormati dan dijunjung tinggi keberadaannya.
Konstelasi penegakan Hak Asasi Manusia (HAM) di Indonesia mengikuti lika-liku arus
globalisasi dengan segala perkembangan kemajuan teknologi dan informasi yang ada.
Teknologi yang kian berkembang secara kuantitatif maupun kualitatif menyebabkan
melonjaknya peenyebaran informasi yang jauh lebih masif. Bahkan kini muncul istilah
“everyone can be a journalist” yang berarti bahwa suatu informasi tidak harus dikabarkan oleh
suatu media pemberitaan terlebih dahulu. Kini, data dan informasi merupakan asset penting
bagi segala aspek. Oleh karenanya, tiap orang mau tidak mau harus memiliki suatu teknologi
guna mengendalikan asset tersebut. Konsekuensinya adalah adanya kepemilikan serta
3 Sinta Dewi Rosadi, et al., 2018, Perlindungan Privasi dan Data Pribadi Dalam Era Ekonomi Digital di
Indonesia, Makalah, Fakultas Hukum Universitas Padjajaran, Jatinangor. 4 Fitria Chusna Farisa, Penjelasan Dukcapil Soal Ribuan e-KTP di Tempat Sampah dan Semak di Serang, https://nasional.kompas.com/read/2018/09/12/13023461/penjelasan-dukcapil-soal-ribuan-e-KTP-di-tempat-
sampah-dan-semak-di-serang, diakses 11 Juni 2020. 5 Wahyunanda Kusuma Pertiwi, Data Tokopedia, Gojek, dan Bukalapak Bocor di Tengah Absennya RUU PDP,
https://tekno.kompas.com/read/2020/05/04/20170027/data-tokopedia-gojek-dan-bukalapak-bocor-di-tengah-
absennya-ruu-pdp?page=3, diakses 11 Juni 2020.
5
penggunaan teknologi oleh masyarakat menjadi bagian dari akomodasi HAM.6 Hak privasi
atas data pribadi yang merupakan salah satu manifestasi HAM telah diakui dan dilindungi di
bawah hukum internasional dan nasional. 7 Dalam realitanya, hak tersebut mudah diserang
dengan segala bentuk kejahatan siber oleh beberapa oknum dengan tujuan beragam. Hal inilah
yang menjadi permasalahan utama ketahanan siber di Indonesia.
Hak privasi menjadi fokus utama dalam Perlindungan Data Pribadi (PDP) dimana
setiap individu berhak menentukan sendiri data mana, kepada siapa, dan seberapa lengkap data
tersebut dapat diungkap. 8 Perlindungan hak privasi atas data pribadi di Indonesia belum
menjadi fokus perhatian dari pembentuk undang-undang yang dibuktikan dengan Rancangan
Undang-Undang (RUU) PDP yang belum disahkan hingga kini. 9 Sementara, RUU ini
merupakan produk hukum primer yang akan mengunifikasikan ketentuan-ketentuan mengenai
PDP yang masih tersebar diberbagai peraturan perundang-undangan. 10 Data pribadi juga
mampu membuka akses menuju akun perbankan yang berakibat kerugian finansial. Hal ini
menunjukkan pelanggaran hak privasi dapat berujung pada masalah lain yang lebih serius.
Karenanya, PDP sangatlah perlu untuk diimplementasikan secara aktual.
Pengakuan PDP sebagai salah satu HAM juga termuat dalam poin a konsideran RUU
PDP.11 Pada poin a quo, ditegaskan bahwa perlu adanya landasan hukum yang kuat guna
memberikan keamanan atas data pribadi.12 RUU tersebut mendasarkan pada Pasal 28 G ayat
(1) UUD 1945 yang mana menegaskan bahwa setiap orang berhak atas perlindungan diri
pirbadi dan memperoleh rasa aman. Selain pasal a quo, terdapat pula Pasal 28 J yang
menyatakan bahwa setiap orang harus menghormati HAM yang dimiliki orang lain. Dengan
begitu, bisa kita ketahui bersama bahwa data digital sudah menjadi perhatian bagi pemerintah.
Tentunya hal ini merupakan suatu bentuk dari kemajuan perlindungan HAM di era digital,
terkhusus pada data pribadi. Sayangnya RUU tersebut masih belum disahkan juga hingga kini.
6 UN Human Rights Council, The Promotion, Protection and Enjoyment of Human Rights on the Internet, UN
Doc A/HRC/RES/32/13. 7 Naskah Akademik Rancangan Undang-Undang tentang Perlindungan Data Pribadi. 8 Selvi Marliana, Kajian Hukum Perlindungan Hak Privasi Pengguna SIMCard Terkait Registrasi SIMCard
berdasarkan Permen Kominfo Nomor 14 Tahun 2017 tentang Registrasi Pelanggan Jasa Telekomunikasi. 9 Christoforus Ristianto, “DPR Didesak Sahkan RUU Perlindungan Data Pribadi”,
https://pemilu.kompas.com/read/2019/08/02/13450871/dpr-didesak-sahkan-ruu-perlindungan-data-pribadi, diakses 8 Juni 2020. 10 Setyawati Fitri Anggraeni. “Polemik Pengaturan Kepemilikan Data Pribadi, Urgensi untuk Harmonisasi dan
Reformasi Hukum di Indonesia”. Jurnal Hukum & Pembangunan . 48. 4(2018): 816-817. Print. 11 Konsiderans Rancangan Undang-Undang tentang Perlindungan Data Pribadi. 12 Ibid.
6
Konsep Perlindungan Data Pribadi
Berbicara tentang konsep sama saja dengan memikirkan kerangka berpikir dari suatu
objek yang berangkat dari peristiwa konkret. Menurut KBBI daring, konsep adalah ide atau
pengertian yang diabstrakkan.13 Dalam hal ini berarti perlindungan data pribadi merupakan ide
yang diabstrakkan dan hal itu berangkat dari sesuatu peristiwa konkret tentang mengapa harus
ada perlindungan data pribadi. Keharusan perlindungan itu tidak jauh dari keberadaan hak
privasi individu yang merupakan hak asasi manusia. Berbagai macam pelanggaran terhadap
data pribadi menjadi contoh konkret yang mendorong perlindungan terhadap data pribadi harus
ada. Konsep sendiri berasal dari bahasa latin yakni conceptum yang artinya sesuatu yang
dipahami. Disejalankan dengan itu, konsep perlindungan data pribadi merupakan sesuatu yang
dipahami sebagai perlindungan yang objeknya adalah pada data pribadi.
Perlindungan data pribadi adalah sebuah jawaban dari salah satu permasalahan hak
privasi individu. Seperti yang sudah dijelaskan sebelumnya, data pribadi merupakan salah satu
bagian dari hak privasi.14 Sehingga hak privasi bukan selalu data pribadi namun data pribadi
adalah bagian dari hak privasi. Jika yang menjadi fokus pembahasannya adalah konsep
perlindungan data pribadi maka hal itu akan mengarah pada penegakkan hak privasi. Dimulai
dari alasan diwujudkan, perencanaan perlindungan, hingga implementasinya. Maka,
pembahasan mengenai konsep adalah pembahasan yang sifatnya sistematis dan mendasar yang
dalam konteks ini adalah tentang apa itu perlindungan yang berobjek pada data pribadi.
Sebelum mengurai pembahasan mengenai konsep perlu untuk dikaji terkait dengan
tinjauan ruang lingkup / lapangan dari perlindungan data pribadi itu sendiri. Di beberapa negara
maju, masalah perlindungan data pribadi sudah dianggap sebagai bagian dari ruang lingkup
hak asasi manusia yang harus dilindungi dan oleh karena itulah disediakan peraturan yang
mampu mengakomodasinya. 15 Di wilayah Eropa misalnya, mempunyai ketentuan yang
terdapat dalam GDPR yang mengakomodasi masalah perlindungan data pribadi sejak tahun
2016. Negara Inggris sendiri terlepas dari bagian Uni Eropa juga dianggap telah mempunyai
peraturan terhadap perlindungan data pribadi di dalam Data Protection Act 1998.16 Oleh karena
13 https://kbbi.web.id/konsep 14 Persepsi Online DEMA Justicia bersama Bhredipta Socarana pada 5 Juni 2020. 15 Rosalinda E. Latumahina, 2014, ‘Aspek Hukum Perlindungan Data Pribadi di Dunia Maya’, Jurnal GEMA
AKTUALITA, Vol. 3, No. 2, hlm. 18. 16 Edmon Makarim, 2005, Pengantar Hukum Telematika (Suatu Kompilasi Kajian), Jakarta: RajaGrafindo
Persada, hlm. 170.
7
itu, Perlindungan data pribadi merupakan tinjauan dari hak asasi manusia itu sendiri dan
berbagai macam peraturan dari beberapa negara seakan memiliki maksud yang sejalan di dalam
lapangan hak asasi manusia.
Dalam memahami suatu konsep harus dipahami juga subjek dan objek dari konsep
tersebut. Pertama, perlu pemahaman tentang subjek dalam perlindungan data pribadi. Subjek
dalam perlindungan data pribadi dikenal dengan para pihak yakni pihak pertama, pihak kedua,
dan pihak ketiga. Pihak pertama adalah subjek yang berlaku atau berposisi sebagai pemilik data
pribadi. Pemilik yang dimaksud dalam hal itu adalah subjek hukum yang hanyalah orang
perseorangan sebagai indvidu. Lalu, pihak kedua adalah subjek yang berlaku atau berposisi
sebagai penerima data pribadi dari pihak pertama dalam hal data pribadi pihak pertama menjadi
objek perikatan antara keduanya. Sama seperti pihak pertama, pihak kedua juga merupakan
subjek hukum baik orang perseorangan maupun badan hukum oleh karenanya berlaku hak dan
kewajiban. Sedangkan pihak ketiga adalah subjek yang berposisi sebagai pihak yang
memanfaatkan atau menggunakan data pribadi pihak pertama dengan hubungan hukum pihak
pertama dengan pihak kedua. Hal tersebut terjadi karena antara pihak pertama dan pihak kedua
sudah saling berikatan, sehingga pemanfaatan data pribadi pihak pertama tersebut dapat
dilakukan oleh pihak ketiga. Berbeda dengan pihak pertama dan pihak kedua, pihak ketiga
tidak dapat disebut sebagai subjek hukum sehingga tidak memiliki hak dan kewajiban
meskipun bertindak sebagai yang memanfaatkan data pribadi pihak pertama karena hubungan
hukum yang terjadi adalah antara pihak pertama dengan pihak kedua saja.
Secara teoretis, pihak pertama sebagai pemilik data pribadi. Pihak kedua sebagai
penerima data pribadi sehingga bertanggungjawab atas penggunan data pribadi pihak pertama.
Sehingga jelas konsep yang terlihat antara pihak pertama dan pihak kedua ini adalah pihak
kedua sebagai yang bertanggungjawab atas penggunaa data pribadi pihak pertama sebagai yang
memiliki data pribadi tersebut. Adanya tanggung jawab yang dimiliki oleh pihak kedua atas
data pribadi pihak pertama adalah akibat dari pihak pertama yang mengikatkan dirinya dengan
pihak kedua. Berbicara tentang subjek hukum berkaitan dengan hak dan kewajiban yang
ditanggung dan yang menjadi tanggungan. Subjek hukum pihak pertama berarti berbicara
tentang subjek yang memiliki hak dan kewajiban atas data pribadinya sendiri. Subjek hukum
pihak kedua berarti berbicara tentang subjek yang ikut serta dibebani tanggung jawab atas data
pribadi tersebut. Sehingga pihak kedua bertanggungjawab atas informasi data pribadi setelah
8
diserahkan oleh subjek hukum pihak pertama. Hal tersebut telah menggambarkan hubungan
hukum yang jelas antara pihak pertama dan pihak kedua.
Setelah subjek dari konsep perlindungan data pribadi sudah dipahami maka yang
selanjutnya harus dipahami adalah objeknya. Objek perlindungan data pribadi adalah informasi
yang berdasarkan data dan data tersebut milik pihak pertama. Data dapat disebut sebagai objek
perlindungan data pribadi jika data tersebut dapat digunakan untuk mengidentifikasi si pemilik
data.17 Tidak sembarangan data merupakan objek perlindungan data pribadi karena hanya data
yang dapat mengidentifikasikan pemiliknya saja yang merupakan data pribadi. Sehingga dalam
hal ini objeknya adalah informasi tentang data pribadi subjek hukum pihak pertama. Maka,
kesimpulannya adalah data pribadi merupakan objeknya dan subjeknya adalah para pihak yang
sudah dijelaskan sebelumnya.
Perlindungan data pribadi berkaitan erat dengan konsep privasi. Konsep privasi itu
sendiri adalah gagasan menjaga integritas dan martabat pribadi.18 Konsep tersebut meliputi
juga kemampuan individu untuk menentukan siapa yang memegang informasi dan bagaimana
informasi itu digunakan. 19 Sehingga perlindungan data pribadi itu mengisyaratkan bahwa
individu sebagai pemilik data pribadi berhak untuk menentukan informasi data pribadi akan
dibagikan atau ditukarkan atau tidak.20 Maka dari itu hak privasi adalah pendorong keberadaan
perlindungan data pribadi, dengan adanya hak privasi akan mendorong perlindungan terhadap
informasi yang menjadi kehendak bebas pemilik data pribadi. Pernyataan demikian
berhubungan dengan yang telah dijelaskan sebelumnya bahwa perlindungan data pribadi
berada di dalam kamar hak privasi dimana hak privasi berada di dalam lapangan hak asasi
manusia. Kesimpulannya, konsep perlindungan data pribadi merupakan manifesto penegakkan
hak asasi manusia.
Terakhir, untuk memahami sebuah konsep perlindungan data pribadi maka harus
dimengerti makna perlindungan itu sendiri. Perlindungan diadakan untuk mampu memberikan
jaminan terhadap subjek yang paling rawan haknya terlanggar yakni pihak pertama. Di dalam
NA RUU PDP dijelaskan bahwa tujuan dari perlindungan itu adalah untuk dapat melindungi
17 European Union Agency for Fundamental Rights and Council of Europe, Handbook on European Data Protection Law, Belgium, 2014, hlm. 36. 18 Wahyudi Djafar dan Asep Komarudin, Perlindungan Hak Atas Privasi di Internet-Beberapa Penjelasan
Kunci, Elsam, Jakarta, 2014, hlm. 2. 19 Ibid, hlm. 6. 20 Naskah Akademik Rancangan Undang-Undang tentang Perlindungan Data Pribadi
9
kepentingan konsumen dan diharapkan dapat memberikan manfaat ekonomi.21 Maka, konsep
perlindungan yang dibawa dalam konteks data pribadi dapat dipahami sebagai penjaminan hak
pihak pertama dari perilaku yang mendatangkan keuntungan bagi pihak yang melanggar hak
tersebut. Pentingnya perlindungan itu sendiri berangkat dari banyaknya fakta pelanggaran hak
pihak pertama sebagai pihak yang lemah. Sehubungan dengan itu, perlindungan data pribadi
pada dasarnya berhubungan dengan privasi seperti yang dikemukakan oleh Allan Westin
karena menyangkut informasi pribadi. 22 Maka yang menjadi kesimpulan dalam konsep
perlindungan ini adalah bahwa data pribadi merupakan sebuah abstraksi hak asasi manusia
dengan hak privasi dan itu adalah turunan dari hak privasi.
Tinjauan dari Beberapa Negara terkait Perlindungan Data Pribadi
Data pribadi menurut Handbook on European Data Protection Law dipahami sebagai
suatu data yang dapat digunakan untuk mengidentifikasi orang tersebut selaku si pemilik data.
Dalam Europe Union Data Protection Directive yang juga senada dengan Council of Europe
Treaty Series Number 108 dipahami bahwa data pribadi merupakan suatu informasi yang
berkaitan dengan suatu entitas yang dapat diidentifikasi, dalam hal ini orang pribadi. Dikatakan
bahwa entitas tersebut, yakni identifiable person dapat diidentifikasi baik secara langsung
maupun tidak langsung melalui nomor tanda pengenal atau berdasarkan satu faktor maupun
lebih yang spesifik dari identifikasi fisik, budaya, psikologi, mental, atau sosial. Konsep
mengenai data pribadi dalam berbagai instrument internasional dipahami sebagai suatu data
yang berhubungan dengan orang-perorangan yang teridentifikasi dan dapat diidentifikasi.23
Berhubungan dengan pemahaman atas data pribadi, perlu dipahami pula mengenai konsep
privasi dan perlindungan data pribadi sebagai suatu hak privasi. Menurut Warren dan Brandeis
privasi adalah “right to enjoy life and the right to be left alone and this development of the law
was inevitable and demanded of legal recognition”.
Dinyatakan bahwa privasi adalah hak untuk menikmati hidup serta memerlukan adanya
perlindungan hukum terhadap privasi tersebut. Dalam kasus tersebut, dikatakan oleh Warren,
bahwa seiring perkembangan ekonomi, teknologi dan politik dimungkinkan adanya hak baru
21 Ibid. 22 Menurut Alan Westin: Privacy is the claim of individuals, group or institution to determine for themselves
when, how, and to what extent information about them is communicated to others dalam, Allan Westin, Alan F.
Westin, Privacy and Freedom, London, 1967, hlm. 7. 23 Naskah Akademik Rancangan Undang-Undang tentang Perlindungan Data Pribadi
10
yang belum dilindungi oleh hukum. 24 Aspek penting dari konsep hak privasi Warren ini,
menurut Randall Berzanson, adalah perlunya penghormatan dan perlindungan hukum atas hak
pribadi seseorang yang memberikannya kesempatan untuk menikmati hidupnya.25 Berkaitan
dengan konsep data pribadi diatas, maka hak privasi dalam ranah perlindungan data pribadi
tentunya memberikan suatu pengakuan atas hak seseorang untuk menikmati hidupnya dengan
adanya perlindungan hukum atas serangkaian informasi tentang dirinya selaku identifiable
person.
Mengutip dokumen Naskah Akademik Rancangan Undang-Undang Perlindungan Data
Pribadi, konsep dasar dari adanya perlindungan data pribadi muncul pada kisaran tahun 1960-
1970an di beberapa wilayah Eropa. Negara Bagian Jerman yaitu Hesse membemberlakukan
peraturan negara bagian mengenai perlindungan data pada tahu 1970 sebagai yang pertama,
disusul terbitnya hukum nasional di Swedia pada tahun 1973, Amerika Serikat pada tahun 1974,
Jerman Barat tahun 1977, Prancis pada tahun 1978, serta Inggris pada tahun 1984.26 Menurut
Allan Westin, perlindungan data pribadi merupakan bagian dari perlindungan privasi, berkaitan
dengan informasi pribadi seseorang dimana orang tersebut memiliki hak untuk menentukan
apakah suatu informasi tentang dirinya itu dapat dikomunikasikan dengan pihak lain atau tidak.
Konsep inilah yang menjadi acuan para pakar hukum modern dalam menyikapi perkembangan
teknologi dan keterbukaan informasi saat ini yang memungkinkan kemudahan akses atas data
pribadi seseorang. Demikian pula dokumen Council of Europe Treaty Series Number 223 tahun
2018 sebagai amandemen dari CETS Number 108 tahun 1981 memberikan penegasan bahwa
disusunnya dokumen tersebut sebagai bentuk perlindungan bagi setiap individu menyangkut
pemrosesan data pribadinya sebagai bentuk penghormatan atas hak asasi manusia serta hak
atas privasinya.27 ASEAN Human Rights Declaration Article 21 menyatakan bahwa setiap
orang berhak untuk bebas dari segala campur tangan yang sewenang-wenang (arbitrary
interference) terhadap privasi, keluarga, tempat tinggal, atau terkait dengan data pribadi dan
berhak atas perlindungan hukum atas gangguan mengenai hal-hal tersebut.28
24 Samuel Warren dan Louis Brandeis, “The Right to Privacy”, Harcard Law Review, Vol. 4, 1890 25 Randall P. Berzanson, “The Right to Privacy Revisited : Privacy, News and Social Change”, California Law Review, Vol. 80, 1992. 26 Dikutip dari Andrew Murray, Information Technology Law, The Law and Society, Oxford Universuty Press,
New York, 2010. 27 Council of Europe Treaty Series Number 223, 2018, Article 2 28 ASEAN Human Rights Declaration 2012, Article 21
11
Dengan demikian dapat dipahami bahwa keamanan data pribadi memerlukan
instrument perlindungan hukum yang memadai di era modern ini. Berkaca pada European
Union General Data Protection Regulation, salah satu aspek perlindungan atas keamanan data
pribadi adalah adanya tanggungjawab keamanan apabila terjadi serangan terhadap privasi data
pribadi. Dalam hal ini, pihak yang bertanggungjawab atas pemrosesan data pribadi harus
melaporkan pada otoritas kemanan terkait dalam waktu maksimal 72 jam.29Dalam Article 83
juga dinyatakan bahwa terdapat mekanisme denda administratif dalam hal terjadi
penyimpangan atas pemrosesan data pribadi seseorang.30
Indonesia telah melakukan berbagai upaya proteksi terhadap data pribadi seperti
membuat berbagai regulasi, membuat Badan Siber dan Sandi Negara (BSSN), mengesahkan
undang-undang Informasi dan Transaksi Elektronik (UU ITE), menyelesaikan beberapa kasus
kebocoran data, dan upaya-upaya lain yang bertujuan untuk memproteksi data pribadi warga
negaranya. Namun, tampaknya usaha pemerintah dalam memproteksi data pribadi warga
negaranya belum maksimal. Masih terdapat berbagai kasus-kasus kebocoran data yang terjadi
di Indonesia secara terus menerus yang diakibatkan oleh banyak faktor, terutama faktor
regulasi yang belum maksimal. Misalnya, kasus kebocoran data Tokopedia dan data Pemilih
KPU yang diduga bocor dan berpotensi untuk dapat disalahgunakan oleh pihak yang tak
bertanggungjawab.31
Dalam tatanan normatif, proteksi data pribadi masih cukup memprihatinkan
dikarenakan perlindungan data pribadi masih tersebar di berbagai regulasi dan bersifat tidak
terintegrasi, sehingga dibutuhkannya suatu reformasi dalam tataran normatif untuk
menciptakan proteksi data pribadi yang komprehensif oleh pemerintah sesegera mungkin agar
kasus-kasus serupa yang terjadi di kemudian hari tidak akan terulang.
Instrumen hukum Perlindungan Data Pribadi dan Cakupan
Perlindungannya
Selanjutnya, dalam bagian ini Penulis akan membahas mengenai cakupan perlindungan
Data Pribadi terhadap ancaman dan serangan kejahatan siber yang berupa fraud, cracking, data
29 General Data Protection regulation, Article 33 30 Ibid. Article 83 31 Kompas Cyber Media, KOMPAS.com, https://tekno.kompas.com/read/2020/05/22/10093057/data-diduga-
bocor-kpu-sebut-informasi-yang-disebar-hacker-bersifat-terbuka, diakses 2 Juni 2020.
12
theft, hacking, cracking, data forgery, dan kejahatan siber lain yang dilindungi oleh peraturan
perundang-undangan sebagai berikut:
A. Perlindungan Data Pribadi dalam Konstitusi
Undang-Undang Negara Republik Indonesia Tahun 1945 yang selanjutnya disebut
UUD NRI 1945 sejatinya telah mengatur mengenai perlindungan data pribadi. Hal ini terletak
secara normatif di dalam pasal 28G ayat (1) konstitusi a quo yang menyatakan bahwa:32
“Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat,
dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan
dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”
Menurut Lembaga Studi dan Advokasi Masyarakat, makna “perlindungan diri pribadi”
dalam pasal a quo dapat dimaknai mencakup perlindungan data pribadi sebagai hak
konstitusional warga negara. 33 Artinya, negara memiliki komitmen berupa jaminan
konstitusional terhadap warga negaranya dalam mendapatkan perlindungan terhadap berbagai
ancaman dan serangan data pribadi.
Walaupun berdasarkan pasal a quo negara terbukti memiliki komitmen dalam memberi
perlindungan terhadap hal tersebut, namun perlu disayangkan bahwa konstitusi belum secara
komprehensif melindungi data pribadi.34 Hal ini dapat dibuktikan bila Kita merujuk pasal 30
ayat (3) UUD NRI 1945 tentang pertahanan dan keamanan negara yang secara eksplisit hanya
menyebutkan cakupan perlindungan keamanan sebatas cakupan fisik darat, laut, dan udara
saja. 35 Pasal a quo masih belum mengenal dimensi lain yang juga dapat membahayakan
keamanan negara melalui serangan dan ancaman melalui dimensi baru, yakni dimensi siber.36
B. Rekam Medis dalam UU Praktik Kedokteran
Dalam UU Nomor 29 Tahun 2004 tentang Praktik Kedokteran, perlindungan data
pribadi terletak dalam pasal 46 dan Pasal 47 terkait Rekam Medis. Rekam medis menurut
penjelasan pasal 46 UU a quo sendiri adalah: “Berkas yang berisikan catatan dan dokumen
tentang identitas pasien, pemeriksaan, pengobatan, tindakan, dan pelayanan lain yang telah
32 Lihat Pasal 28G ayat (1) UUD NRI 1945 33 ELSAM, ELSAM, https://elsam.or.id/uu-perlindungan-data-pribadi-mendesak-untuk-menjamin-kedaulatan-
individu-di-ruang-siber/, diakses 8 Juni 2020. 34 Delegasi UGM, “Naskah Akademik tentang Keamanan dan Ketahanan Siber,” 2019. Hlm. 159 35 Ibid. Hlm. 160 36 Ibid.
13
diberikan kepada pasien”.37 Lebih lanjut, dalam pasal 47 dijabarkan bahwa isi dari Rekam
Medis dimiliki oleh Pasien, bukan milik dokter, dokter gigi, atau sarana pelayanan dan perlu
disimpan dan dijaga kerahasiaannya oleh dokter dan pimpinan sarana pelayanan.38
Secara singkat, undang-undang ini telah mencakup perlindungan data pribadi berupa
Rekam Medis secara komprehensif, namun masalahnya adalah materi muatannya belum
terintegrasi secara rapi dalam undang-undang yang terpadu.
C. Informasi Elektronik dalam UU Perubahan ITE
Undang-Undang Nomor 19 tahun 2016 tentang Perubahan atas Undang-Undang
Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, yang selanjutnya disebut
UU ITE memberi cakupan perlindungan data pribadi yang cukup luas. Pertama, cakupan
definisi dari data pribadi yang dilindungi cukup luas. Hal ini terlihat di dalam pasal 1 UU a quo
sebagai berikut:39
Informasi Elektronik adalah satu atau sekumpulan data elektronik,
termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan,
foto, electronic data interchange (EDI), surat elektronik (electronic mail),
telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, Kode Akses,
simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami
oleh orang yang mampu memahaminya.
Berdasarkan ketentuan pasal di atas, dapat terlihat bahwa cakupan informasi
elektronik yang dilindungi cukup luas dan tidak terbatas pada berbagai macam data
seperti tulisan, suara, dan gambar yang ada, namun juga mencakup hal-hal lain yang
dapat dipahami.
Kedua, wilayah perlindungan yang diatur oleh UU a quo cukup luas pula. Hal ini
terlihat dalam Pasal 2 UU a quo yang menyatakan bahwa:40
“Undang-Undang ini berlaku untuk setiap Orang yang melakukan
perbuatan hukum sebagaimana diatur dalam Undang-Undang ini, baik yang
berada di wilayah hukum Indonesia maupun di luar wilayah hukum
37 Lihat Penjelasan Pasal 46 Undang-Undang Nomor 29 Tahun 2004 tentang Praktik Kedokteran (Lembaran
Negara No. 116, Tambahan Lembaran Negara No. 4431) 38Rizky, hukumonline.com/klinik, https://www.hukumonline.com/klinik/detail/ulasan/lt5d588c1cc649e/per
lindungan-hukum-atas-privasi-dan-data-pribadi-masyarakat/, diakses 8 Juni 2020. 39 Lihat Pasal 1 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, (Lembaran
Negara No. 58, Tambahan Lembaran Negara No. 4843) 40 Ibid. Pasal 2.
14
Indonesia, yang memiliki akibat hukum di wilayah hukum Indonesia
dan/atau di luar wilayah hukum Indonesia dan merugikan kepentingan
Indonesia.”
Dalam pasal a quo, dapat terlihat bahwa cakupan perlindungannya cukup luas
karena menganut kedua prinsip teritorial subjektif dan objektif secara kumulatif. Dalam
bukunya, Edward Hiariej menjelaskan ada dua jenis perluasan asas teritorial dalam
prinsip teknis, yaitu prinsip teritorial subjektif dan prinsip teritorial objektif.41 Prinsip
teritorial subjektif adalah prinsip yang membenarkan negara mempunyai kompetensi
mengadili atas perbuatan yang mulai dilakukan di wilayahnya, namun berakhir atau
berakibat di negara lain.42 Vice versa dengan prinsip teritorial objektif di mana prinsip
ini membenarkan suatu negara memiliki kompetensi absolut untuk mengadili tindak
perbuatan yang dilakukan di wilayah negara lain, namun berakibat di negaranya.43
Selain itu, UU ini juga menyatakan dengan tegas perlindungan terhadap
perlindungan data pribadi lain berupa Dokumen dan Tanda Tangan Elektronik dalam
Bab III UU a quo sebagai alat bukti hukum yang sah. Misalnya, dalam Pasal 5 ayat (1)
ditegaskan bahwa: 44 “Informasi Elektronik dan/atau Dokumen Elektronik dan/atau
hasil cetaknya merupakan alat bukti hukum yang sah.” Lebih jauh lagi, UU a quo juga
menegaskan dalam Pasal 25 bahwa informasi elektronik dan dokumen elektronik
dijamin perlindungannya sebagai Hak Kekayaan Intelektual (HKI) sebagai berikut:45
“Informasi Elektronik dan/atau Dokumen Elektronik yang disusun menjadi karya
intelektual, situs internet, dan karya intelektual yang ada di dalamnya dilindungi
sebagai Hak Kekayaan Intelektual berdasarkan ketentuan Peraturan Perundang-
undangan.”
D. Data Pribadi dalam UU Administrasi Kependudukan
Ketidakjelasan peraturan perundang-undangan merupakan kesalahan fatal dalam
pembuatan legislasi. UU Administrasi kependudukan pada awalnya dibuat dengan tujuan
peraturan perundang-undangan sebelumnya tidak sesuai dengan tuntutan pelayanan
41 Eddy O.S. Hiariej, 2015, Prinsip-Prinsip Hukum Pidana, Cahaya Atma Pustaka, Yogyakarta. Hlm. 306 42 Ibid. 43 Ibid. 44 Loc. Cit. UU ITE. Pasal 2. 45 Ibid. Pasal 25.
15
administrasi kependudukan tertib dan tidak diskriminatif.46 UU a quo telah mengatur ketentuan
mengenai data pribadi, namun perlu disayangkan ketentuan norma UU a quo justru tidak jelas.
Menurut ketentuan umum UU a quo, Data Pribadi dan Data Perseorangan adalah dua
hal yang berbeda. Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan
dijaga kebenaran serta dilindungi kerahasiaannya, sedangkan Data Kependudukan terdiri atas
data perseorangan dan/atau data agregat penduduk.
Jika kita cermati dengan teliti, Data Pribadi secara mutatis mutandis sama saja dengan
Data Perseorangan. Lebih jauh lagi, bila kita lihat definisi dari Data Kependudukan, maka Data
Pribadi merupakan bagian dari Data Perseorangan yang juga terdiri dari data agregat penduduk.
Pengertian data pribadi dalam konteks ini cukup sulit tampaknya dikarenakan tidak ditafsirkan
secara langsung oleh pembuat peraturan perundang-undangan.
Lebih jauh lagi, ketidakjelasan pengelompokan Data Pribadi dan Data Agregat
Penduduk dapat dilihat dalam tabel berikut:47
Kelompok Data Kependudukan
Kelompok Data Pribadi
(Pasal 58 ayat (2))
Kelompok Data Agregat
(Penjelasan Pasal 58 ayat (3))
Nomor KK Peristiwa Kependudukan
NIK Pekerjaan
Jenis Kelamin Jenis Kelamin
Nama Lengkap Peristiwa Penting
Tempat Lahir Kelompok Usia
Agama/Kepercayaan Agama
Pendidikan Terakhir Pendidikan
... ...
Tabel 1.1 Perbedaan Jenis Kelompok Data Kependudukan
46 Lihat Konsiderans Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang Nomor
23 Tahun 2006 tentang Administrasi Kependudukan (Lembaran Negara Nomor 232, Tambahan Lembaran
Negara Nomor 5475) 47 Ibid. Lihat Penjelasan Pasal 58 ayat (3)
16
Dalam tabel di atas terdapat ketentuan data yang bersifat overlap atau tumpang tindih,
yaitu data jenis kelamin, agama, dan pendidikan. Adanya tumpang tindih ini memberikan
konsekuensi ketidakjelasan peraturan perundang-undangan.
Namun, terlepas dari hal itu UU a quo telah memberikan cakupan perlindungan data
pribadi melalui pasal 84 ayat (1) sebagai berikut:48
Pasal 84
(1) Data Pribadi Penduduk yang harus dilindungi memuat:
a. nomor KK;
b. NIK;
c. tanggal/bulan/tahun lahir;
d. keterangan tentang kecacatan fisik dan/atau mental;
e. NIK ibu kandung;
f. NIK ayah;dan
g. beberapa isi catatan Peristiwa Penting;
E. Hak atas Rahasia Kondisi Kesehatan Pribadi dalam UU Kesehatan
Undang-Undang ini semata-mata disusun demi tujuan memenuhi hak asasi manusia dalam
mendapatkan kesehatan yang diupayakan melalui pemeliharaan dan peningkatan derajat
kesehatan masyarakat setinggi-tingginya. 49 Dalam Pasal 57 ayat (1) dijabarkan bahwa: 50
“setiap orang berhak atas rahasia kondisi kesehatan pribadinya yang telah dikemukakan
kepada penyelenggara pelayanan kesehatan.”
Tampaknya sudah ada proteksi data pribadi, yaitu hak atas rahasia kondisi kesehatan. Namun,
hal yang perlu disayangkan belum ada kejelasan mengenai maksud dari data pribadi yang
dilindungi, kondisi kesehatan pribadi yang dimaksud masih belum jelas. Lalu, lebih lanjut lagi
UU a quo juga mengatur terdapat pengecualian terhadap hak a quo sebagaimana disebutkan
dalam Pasal 57 ayat (2) bahwa:51
48 Ibid. Lihat Pasal 84 ayat (1) 49 Lihat Konsiderans Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan (Lembaran Negara Nomor 144,
Tambahan Lembaran Negara Nomor 5063) 50 Ibid. Lihat Pasal 57 ayat (1) 51 Ibid. Lihat Pasal 57 ayat (2)
17
“(2) Ketentuan mengenai hak atas rahasia kondisi kesehatan pribadi sebagaimana dimaksud
pada ayat (1) tidak berlaku dalam hal:
a. perintah undang-undang;
b. perintah pengadilan;
c. izin yang bersangkutan;
d. kepentingan masyarakat; atau
e. kepentingan orang tersebut.”
F. Jaminan Proteksi Data Pribadi dalam UU Pelayanan Publik
Undang-Undang ini dibuat dalam rangka meningkatkan kualitas dan menjamin
penyediaan pelayanan publik yang sesuai dengan asas-asas umum pemerintahan yang baik juga
memberi proteksi bagi setiap warga negara dan penduduk dari penyalahgunaan wewenang di
dalam penyelenggaraan pelayanan publik.52
Dalam Pasal 34 huruf i, UU a quo menegaskan adanya jaminan kepada pelaksana
penyelenggaraan publik untuk:53 “tidak membocorkan informasi atau dokumen yang wajib
dirahasiakan sesuai dengan peraturan perundang-undangan;” Kelemahan dari UU ini adalah
tidak memberikan kriteria umum ataupun khusus mengenai data pribadi informasi atau
dokumen apa saja yang wajib dirahasiakan sesuai dengan peraturan perundang-undangan.
G. Permen KI Nomor 20 2016: Perlindungan Data Pribadi dalam Sistem Elektronik
Peraturan Menteri ini dibuat dalam rangka untuk memenuhi ketentuan Pasal 15 ayat (3)
Peraturan Pemerintah tentang Penyelenggaraan Sistem dan Transaksi Elektronik.54 Menurut
ketentuan umum Permen a quo data pribadi adalah: “Data Pribadi adalah data perseorangan
tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya”.55
Peraturan ini menurut Penulis cukup luas dalam melindungi data pribadi. Hal ini terlihat
dari cakupan materi muatan yang diproteksi oleh Permen a quo sebagai berikut:
52 Lihat Konsiderans Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik (Lembaran Negara Nomor 139, Tambahan Lembaran Negara Nomor 4899) 53 Ibid. Pasal 34 huruf i 54 Lihat Konsiderans Peraturan Menteri Komunikasi dan Informasi tentang Perlindungan Data Pribadi dalam
Sistem Elektronik (Berita Negara Tahun 2016 Nomor 1829) 55 Ibid. Pasal 1.
18
Pasal Materi Muatan Pokok
Pasal 1 Definisi dari:
1. Data Pribadi
2. Data Perseorangan Tertentu
3. Pemilik Data Pribadi
4. Sistem Elektronik
Pasal 2 Cakupan Perlindungan:
Perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan,
penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan
Data Pribadi.
Pasal 26 Hak Pemilik Data Pribadi:
a. atas kerahasiaan Data Pribadinya;
b. mengajukan pengaduan dalam rangka penyelesaian sengketa Data
Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh
Penyelenggara Sistem Elektronik kepada Menteri;
c. mendapatkan akses atau kesempatan untuk mengubah atau
memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data
Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-
undangan;
d. mendapatkan akses atau kesempatan untuk memperoleh historis
Data Pribadinya yang pernah diserahkan kepada Penyelenggara Sistem
Elektronik sepanjang masih sesuai dengan ketentuan peraturan perundang-
undangan; dan
e. meminta pemusnahan Data Perseorangan Tertentu miliknya dalam
Sistem Elektronik yang dikelola oleh Penyelenggara Sistem Elektronik,
kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.
Selain itu, berdasarkan hasil Diskusi Persepsi yang diselenggarakan oleh Dewan
Mahasiswa Justicia pada tanggal 4 Juni 2020, setidaknya Permen ini juga mengatur beberapa
hal mengenai proteksi data pribadi sebagai berikut.56
56 Persepsi Online DEMA Justicia bersama Satriyo Wibowo pada 4 Juni 2020.
19
Pasal Materi Muatan
Pasal 27
Kewajiban Pemilik Data Pribadi:
Menjaga Kerahasiaan data; Menggunakan sesuai kebutuhan;
Melindungi data Pribadi dari Penyalahgunaan; Bertanggungawab atas
data pribadi yang berada dalam penguasaannya
Pasal 29 Mekanisme Penyelesaian Sengketa
- Upaya Pengaduan kepada Menteri
- Upaya Gugatan Perdata
Pasal 33 Peran Pemerintah dan Masyarakat
Berupa Partisipasi dan Edukasi Masyarakat yang dapat dilakukan
melalui: pendidikan dan/atau pelatihan, advokasi, bimbingan teknis,
dan sosialisasi dengan menggunakan berbagai media.
Berdasarkan pemaparan di atas, dapat disimpulkan bahwa Peraturan Menteri a quo
mengatur secara menyeluruh hal yang berhubungan dengan data pribadi. Selain berbagai
peraturan perundang-undangan di atas, masih banyak lagi peraturan yang mengatur mengenai
perlindungan data pribadi, namun masih bersifat tersebar.
H. Permasalahan dari perlidungan data pribadi yang menyebar dan tidak
terintegrasi
Sampai saat ini belum ada undang-undang yang mengatur secara khusus terkait
perlindungan data pribadi di Indonesia. Pengaturan terkait perlindungan data pribadi masih
menyebar di banyak undang-undang dan bersifat sektoral. Setidaknya terdapat 32 undang-
undang yang di dalam materi muatannya terdapat ketentuan terkait data pribadi.57 Berbagai
peraturan perundang-undangan tersebut hanya mengatur perlindungan data pribadi secara
sebagian dan menyesuaikan dengan muatan utama dari peraturan perundang-undangan tersebut.
Ketiadaan suatu undang-undang yang khusus mengatur perlindungan data pribadi ini tentu
menimbulkan permasalahan. Pertama, pengaturan terkait perlindungan data pribadi yang
57 ELSAM, “UU Perlindungan Data Pribadi Penting Segera Diwujudkan”, https://elsam.or.id/uu-perlindungan-
data-pribadi-penting-segera-diwujudkan/, diakses pada 11 Juni 2020
20
terletak di berbagai peraturan perundang-undangan menyebabkan tidak adanya harmonisasi
dalam tataran normatifnya. Supaya hal tersebut tidak menimbulkan permasalahan
berkelanjutan, sudah selayaknya dilakukan harmonisasi peraturan dengan disediakannya suatu
produk hukum dalam hal ini undang-undang yang secara khusus mengatur mengenai
perlindungan data pribadi.58 Kedua, tidak ada kepastian perlindungan hukum yang lebih kuat
bagi masyarakat karena belum ada suatu undang-undang yang secara spesifik mengatur terkait
perlindungan data pribadi. Ketentuan perlindungan terhadap data pribadi yang menyebar di
berbagai peraturan perundang-undangan sektoral menyebabkan minimnya perlindungan
terhadap data pribadi. Di sisi lain, hal tersebut dapat menggambarkan realita yang terjadi bahwa
perlindungan data belum dianggap sebagai suatu permasalahan yang sangat penting di
Indonesia.59 Padahal, di era digital ini semakin banyak terjadi kasus-kasus kejahatan yang
melibatkan data pribadi akibat rendahnya perhatian yang diberikan terhadap perlindungan
privasi dan data pribadi. Maka dari itu, keberadaan peraturan yang mengatur mengenai privasi
data secara komprehensif sangat dibutuhkan.60
Ketiga, dalam tataran praktek banyak sekali permasalahan yang terjadi akibat
lemahnya pengaturan terkait perlindungan data pribadi. Pada September 2019 lalu terjadi
kebocoran data konsumen di anak perusahaan Lion Air yaitu Malindo Air dan Thai Lion Air,
dimana 21 juta data penumpang bocor dan dijual ke forum daring.61 Data penumpang yang
bocor tersebut merupakan data-data yang sensitif yakni alamat tempat tinggal, tanggal lahir,
alamat email, nama penumpang, nomor handphone, nomor paspor hingga tanggal kadaluarsa
paspor.62 Belum adanya undang-undang terkait perlindungan data pribadi yang komprehensif
maka menyulitkan Kementrian Komunikasi dan Informatika untuk mengambil langkah yang
lebih lanjut dalam menyikapi permasalahan ini.63 Selain itu, kekosongan hukum mengenai
perlindungan data pribadi juga menyebabkan Lior Air sebagai pengendali data terbebas dari
58 Setyawati Fitri Anggraeni, “Polemik Pengaturan Kepemilikan Data Pribadi: Urgensi Untuk Harmonisasi dan
Reformasi Hukum di Indonesia”, Jurnal Hukum & Pembangunan Tahun ke-48, No.4, Oktober-Desember 2018 59 Ibid. 60 Sinta Dewi Rosadi, dkk, “Perlindungan Privasi dan Data Pribadi Dalam Era Ekonomi Digital di Indonesia”,
Vej, Vol. 4, No. 1, Juni, 2018 61 Fitri Novia H, “Data Penumpang Lion Air Bocor, UU Perlindungan Data Pribadi Dibutuhkan”,
https://www.hukumonline.com/berita/baca/lt5d8947d7aa783/data-penumpang-lion-air-bocor--uu-perlindungan-data-pribadi-dibutuhkan, diakses pada 11 Juni 2020 62 Mutia Fauzia, 2019, "Data Jutaan Penumpang Lion Air Group Diduga
Bocor", https://money.kompas.com/read/2019/09/18/100310226/data-jutaan-penumpang-lion-air-group-diduga-
bocor., diakses pada 11 Juni 2020 63 Fitri Novia H, Loc. Cit
21
kewajiban-kewajiban yang seharusnya dilakukan oleh para pengendali data pribadi dan di sisi
lain konsumen yang datanya turut ikut bocor menjadi kehilangan haknya khususnya hak atas
informasi, hak atas pemulihan, dan kompensasi. 64 Kasus kebocoran data lainnya ialah,
bocornya data milik setidaknya 15 juta pengguna Tokopedia yang kemudian data-data tersebut
dijual ke dark web.65 Data yang bocor tersebut meliputi nomor telepon, nama terang, nama
email, hingga hash kata kunci.66 Pada tahun 2017 lalu juga terjadi kebocoran data terhadap satu
juta pengguna Facebook asal Indonesia yang kemudian datanya bocor ke perusahaan konsultan
politik yakni Cambridge Analytica.67 Facebook tidak bisa mengetahui dengan jelas data apa
saja yang bocor ke perusahaan konsultan politik tersebut.68 Banyaknya kasus kebocoran data
pribadi yang telah terjadi terutama yang menjadikan masyarakat Indonesia sebagai korban
seharusnya semakin menjadi faktor pendorong untuk adanya undang-undang yang secara
spesifik dan komprehensif mengatur mengenai perlindungan data pribadi supaya ada instrumen
hukum yang pasti dan tentunya dapat melindungi data pribadi masyarakat Indonesia dari
penyalahgunaan kepentingan terutama pada saat data tersebut memiliki nilai tinggi untuk
kepentingan ekonomi dalam hal ini bisnis suatu pihak tertentu.69
Rancangan Undang-Undang Perlindungan Data Pribadi
Kemajuan teknologi informasi menciptakan evolusi perkembangan gaya hidup manusia
dari zaman ke zaman. Pada saat ini, manusia di abad ke-21 telah mencapai tahapan yang masuk
dalam Revolusi Industri 4.0. Perlu diketahui bahwasanya perkembangan Revolusi Industri 4.0
menekankan pada otomatisasi kerja dan mesin tanpa intervensi manusia dengan mendasarkan
pada artificial intelligence (AI) dan kecerdasan buatan yang didasarkan pada algoritma
pekerjaan yang telah ditentukan.70 Selain itu, perkembangan teknologi yang memungkinkan
manusia untuk saling terhubung dalam komunikasi dan interaksi tanpa memperhatikan
batasan-batasan fisik.71
64 Ibid. 65 Adi Briantika, 2020, “Akun Tokopedia Dibobol, Bagaimana Tanggungjawab Pengelola Data?”
https://tirto.id/akun-tokopedia-dibobol-bagaimana-tanggung-jawab-pengelola-data-fmX1, diakses pada 11 Juni
2020. 66 Ibid. 67 Fabian Januarius K, 2018, “1 Juta Data Pengguna Asal Indonesia Bocor, Menkominfo Panggil Facebook”,
https://nasional.kompas.com/read/2018/04/05/1736110/1-juta-data-pengguna-asal-indonesia-bocor-menkominfo-panggil-facebook, diakses pada 11 Juni 2020 68 Ibid. 69 Delegasi UGM, Loc. Cit, hlm. 87 70 Klaus Schwab, 2017, The Fourth Industrial Revolution, cet. 1, Crown Business, New York, hlm. 177. 71 Ibid. hlm. 179-180.
22
Namun dalam perkembangan kemajuan teknologi informasi ini, terdapat sejumlah
ancaman-ancaman yang mengintai masyarakat selaku pengguna daripada teknologi informasi
tersebut. Salah satu ancaman tersebut berupa gangguan gangguan privasi, seperti kebocoran
dan penggunaan data secara ilegal, terhadap data pribadi yang disimpan secara elektronik.72
Keberadaan ancaman ini menyerang masyarakat di seluruh negara, termasuk Indonesia.
Sejumlah kasus kebocoran data yang terjadi dan berdampak terhadap data pengguna milik
warga negara Indonesia misalnya kasus kebocoran data satu juta pengguna Facebook di
Indonesia kepada pihak ketiga bernama Cambridge Analytica pada awal 2018 lalu.73 Kasus
kebocoran data pribadi ini menyadarkan Indonesia tentang isu penting karena dapat berkaitan
dengan tindak kejahatan siber lain yang memanfaatkan kebocoran data pribadi ini. Sehingga
menguatkan wacana pentingnya aturan hukum untuk melindungi data pribadi dalam internet
dan siber di Indonesia. Sehingga dengan demikian, menyadarkan pemerintah khususnya
pembentuk undang-undang tentang pentingnya wacana Rancangan Undang-Undang
Perlindungan Data Pribadi (RUU PDP).
A. Substansi RUU PDP
Rancangan Perlindungan Data Pribadi pada saat ini pertama kali digagas dengan
mendasarkan pada aturan yang telah ada, yaitu Aturan itu dituangkan dalam bentuk Peraturan
Menteri No 20 Tahun 2016 tentang Perlindungan Data Pribadi ditetapkan 7 November 2016,
diundangkan dan berlaku sejak 1 Desember 2016. RUU PDP dinilai sangat penting untuk
melindungi hak warga Negara, sehingga RUU PDP sudah mulai diusulkan sejak tahun 2014.
Pembahasan RUU PDP diharapkan rampung sebelum berakhirnya periode DPR RI 2014-2019
mengingat RUU PDP ini tidak dimasukkan dalam Program Legislasi Nasional (Prolegnas)
2018. Hingga pada 24 Januari tahun 2020, RUU PDP telah ditandatangani oleh Presiden Joko
Widodo dan selanjutnya akan dibahas di DPR. RUU PDP ini akan diajukan dalam program
legislasi nasional prioritas DPR periode 2019-2024. Jika dilihat dari sisi substansi berdasarkan
draf per Desember 2019, RUU PDP memiliki 72 pasal yang tersebar dalam 15 bab mulai dari
defisini hinggga penyelesaian sengketa. Lebih lanjut, berikut pembagian bab-bab dan hal yang
diatur dalam RUU PDP:
72 European Panel for Future Science and Technology, “Harmful Internet Use, Part II: Impact on Culture and
Society, cet. 1 (Januari 2019), hlm 17. 73Harian Kompas, “1 Juta Data Pengguna Asal Indonesia Bocor, Menkominfo Panggil Facebook,”
https://nasional.kompas.com/read/2018/04/05/17361101/1-juta-data- pengguna-asal-indonesia-bocor-
menkominfo-panggil-facebook, diakses 4 Juni 2020.
23
Bab I – Ketentuan Umum
Pasal 1, mengenai definisi dari istilah-istilah yang digunakan pada RUU
Pasal 2, mengenai terhadap siapa keberlakuan undang-undang
Bab II – Jenis Data Pribadi
Pasal 3, Pengklasifikasian Data Pribadi
Bab III – Hak Pemilik Data Pribadi
Pasal 4-16
Bab IV – Pemrosesan Data Pribadi
Pasal 17-22
Bab V – Kewajiban Pengendalian Data Pribadi dan Prosesor Data Pribadi dalam
Pemrosesan Data Pribadi
Bagian Kesatu (Umum)
Pasal 23
Bagian Kedua (Kewajiban Pengendali Data Pribadi)
Pasal 24- 42
Bagian Ketiga (Kewajiban Prosesor Data Pribadi)
Pasal 43-44
Bagian Keempat (Pejabat atau Petugas yang Melaksanakan Fungsi Perlindungan Data
Pribadi)
Pasal 45-46
Bab VI – Transfer data Pribadi
Bagian Kesatu (Transfer Data Pribadi dalam Wilayah Hukum Negara Kesatuan
Republik Indonesia)
Pasal 47-48
Bagian Kedua (Transfer Data Pribadi ke luar Wilayah Hukum Negara Kesatuan
Republik Indonesia)
Pasal 49
Bab VII – Sanksi Administratif
Pasal 50
Bab VIII – Larangan dalam Penggunaan Data Pribadi
Pasal 51-54
Bab IX – Pembentukan Pedoman Perilaku Pengendali Data Pribadi
24
Pasal 55
Bab X – Penyelesaian Sengketa dan Hukum Acara
Pasal 56
Bab XI – Kerja Sama Internasional
Pasal 57
Bab XII – Peran pemerintah dan Masyarakat
Pasal 58-60
Bab XIII – Ketentuan Pidana
Pasal 61-69
Bab XIV – Ketentuan Peralihan
Pasal 70
Bab XV – Ketentuan Penutup
Pasal 71-72
B. RUU PDP: Pro dan Kontra
RUU PDP menimbulkan berbagai respon positif, namun tidak luput dari tanggapan
negatif dari berbagai pihak. Perlindungan data pribadi sendiri merupakan salah satu manifestasi
dari perlindungan diri pribadi yang merupakan hak asasi manusia, yakni dirumuskan dalam
Pasal 28G UUD 1945 sebagai berikut:
“Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan,
martabat, dan harta benda yang di bawah kekuasannya, serta berhak atas rasa
aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat
sesuatu yang merupakan hak asasi”.74
Menteri Komunikasi dan Informatika, Johnny G Plate, mengatakan bahwa penting bagi
bangsa Indonesia untuk segera memiliki Undang-Undang Perlindungan Data Pribadi.75 Ia juga
menilai bahwa krusialnya perlindungan data pribadi berkaitan erat dengan tingginya nilai
ekonomi yang dimiliki oleh data tersebut. Selanjutnya, dukungan terhadap RUU PDP juga
datang dari berbagai layanan jejaring sosial, salah satunya adalah Facebook Indonesia.
Facebook Indonesia melalui Manajer Kampanye Kebijakan Facebook Indonesia, Naudhy
74 Lihat Pasal 28G Undang-Undang Dasar Negara Republik Indonesia Tahun 1945. 75 Agus Tri Haryanto, “RUU Perlindungan Data Pribadi Bakal Masuk Prolegnas 2020”,
https://m.detik.com/inet/law-and-policy/d-4793400/ruu-perlindungan-data-pribadi-bakal-masuk-prolegnas-
2020, diakses pada 8 Juni 2020
25
Valdryono, menyatakan bahwa pihak Facebook menghormati proses pembuatan regulasi
perlindungan data pribadi yang sedang dilakukan oleh pemerintah.76
Selain itu, masyarakat secara luas juga banyak yang memberikan dukungan, bahkan
menuntut untuk segera disahkannya RUU PDP di Indonesia. Tujuannya, apabila sudah
disahkan menjadi UU maka RUU PDP dapat memenuhi kebutuhan masyarakat dan
mewujudkan payung hukum yang jelas ketika terjadi sengketa terkait dengan data pribadi.
Menurut Plt. Direktur Pemberdayaan Informatika, Direktorat Jenderal Informatika,
Kementerian Komunikasi dan Informatika Slamet Santoso, RUU PDP perlu segera disahkan
mengingat pentingnya perlindungan terhadap kondisi keamanan dan data pribadi yang dimiliki
oleh seseorang.77
Hal lain yang menjadikan keberadaan RUU PDP sangat urgen salah satunya tergambar
dalam masalah yang pernah dihadapi oleh Indonesia antara tahun 2008-2011 perihal kewajiban
membangun server di Indonesia. Ketika itu, pemerintah Indonesia memaksa perusahaan
Research in Motion (RIM), yaitu perusahaan yang dikenal dengan produk gawai cerdas
BlackBerry, untuk membangun servernya di Indonesia. 78 Pemerintah beralasan bahwa
BlackBerry mengelola begitu banyak data pengguna yang berasal dari Indonesia. Dengan
membuka server di Indonesia, maka berbagai ancaman kejahatan di Indonesia dapat dengan
lebih mudah dideteksi, selain itu juga dapat memberikan dampak positif secara ekonomi.79
Namun perusahaan RIM tidak mengindahkan permintaan pemerintah dengan alasan
bahwa tidak adanya kepastian hukum bagi RIM karena saat itu Indonesia dianggap belum
mempunyai payung hukum mengenai perlindungan data pribadi. 80 Padahal, ketika itu
Indonesia telah memiliki Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan
Transaksi Elektronik (UU ITE). Akan tetapi dengan alasan teknis kemanan, pada akhirnya
perusahaan RIM tetap memberikan penolakan untuk mendirikan server-nya di Indonesia.81
76 Dadi Haryadi, “Facebook Dukung Perlindungan Data Pribadi”,
https://m.ayobandung.com/read/2019/09/13/63589/facebook-dukung-perlindungan-data-pribadi, diakses
pada 8 Juni 2020. 77 Vendi Yhulia Susanto, “Kominfo targetkan RUU Perlindungan Data Pribadi rampung tahun 2020”,
https://amp.kontan.co.id/news/kominfo-targetkan-ruu-perlindungan-data-pribadi-rampung-tahun-
2020#referrer=https://www.google.com, diakses pada 8 Juni 2020. 78 Bambang Pratama, “Beberapa Catatan tentang RUU Data Pribadi”, https://business-
law.binus.ac.id/2017/06/16/beberapa-catatan-tentang-ruu-data-pribadi/, diakses pada 9 Juni 2020. 79 Sandi Indra Pratama dan Aprianto Muktadi, “RIM Diminta Buka Pusat Data Server di Indonesia”,
https://koran.tempo.co/read/ekonomi-dan-bisnis/208763/rim-diminta-buka-pusat-data-server-di-indonesia?,
diakses pada 9 Juni 2020. 80 Bambang Pratama, Loc.Cit. 81 Ibid.
26
Berangkat dari permasalahan tersebut, serta beberapa kejadian lainnya, seperti kebocoran data
yang berasal dari Indonesia hingga data tersebut dijual dan dapat merugikan pemilik data, maka
memang seharusnya RUU PDP segera disahkan.
Comunication and Information System Security Research Center (CISSREC)
menyatakan bahwa saat ini terdapat dua undang-undang yang dibutuhkan Indonesia yaitu
undang-undang tentang pelindungan data pribadi dan undang keamanan dan ketahanan siber.
Perbedaan antara keduanya adalah terletak di scope//cakupannya. Pelindungan data pribadi
lebih berfokus pada data-data personal seseorang atau suatu organisasi, sedangkan keamanan
dan ketahanan siber salah satu fokusnya yaitu pada sistem keamanan dari data-data personal
tersebut. Kedua produk hukum tersebut menjadi pelengkap Undang-Undang tentang Informasi
dan Transaksi Elektronik. Hal ini karena ketiganya butuh diatur dalam bentuk undang-undang.
Namun jika dilihat mana yang lebih memiliki urgensi tertinggi, yaitu pelindungan data pribadi.
Hal ini dikarenakan maraknya penyalahgunaan, tindak pidana, dan hal hal lain yang melanggar
hak privasi seseorang sebagai bentuk hak konstitusional manusia. 82
Suatu produk hukum sejatinya tidak terlepas dari kontra ataupun kritikan, begitu pula
dengan RUU PDP yang bahkan belum disahkan menjadi Undang-Undang. Salah satu kritikan
terhadap RUU PDP dilontarkan oleh anggota Komisi I DPR RI yang berasal dari Fraksi Partai
Gerindra, Yan Parmenas Mandenas. Ia memberikan penilaian bahwa RUU PDP yang disusun
oleh pemerintah kurang memberikan perhatian pada aspek keamanan masyarakat dan rawan
disalahgunakan oleh pihak penguasa. 83 Elit politik Indonesia dinilai sangat rentan untuk
melakukan intervensi kepada negara guna mengakses data pribadi masyarakat yang
berkepentingan langsung dengan konstelasi politik di tanah air.84 Hal ini dikarenakan RUU
PDP dinilai sebagai state oriented atau pihak yang berwenangan mengendalikan adalah
pemerintah sehingga juga dapat disebut state actor. Dengan adanya sifat tersebut dan
dibutuhkan adanya campur tangan atau partisipasi masyarakat maka diperlukan adanya public-
private partnership untuk menjadikan pengendalian perlindungan data pribadi tersebut
dilakukan oleh pemerintah dan sektor privat sebagaimana dipraktikan di negara-negara lain.
Selain itu, perlu diketahui bahwa terdapat tiga aspek umum yang seharusnya
mendapatkan perhatian lebih terkait perlindungan data pribadi, yaitu aspek konseptual, aspek
82 Wawancara yang dilakukan pada bulan November 2019. 83 Liberty Jemadu, “DPR Kritik RUU PDP, Rawan Disalahgunakan Penguasa”,
ihttps://www.suara.com/tekno/2020/02/25/230500/dpr-kritisi-ruu-pdp-rawan-disalahgunakan-penguasa,
diakses pada 9 Juni 2020. 84 Ibid.
27
kelembagaan, dan aspek hukum formil.85 Masing-masing aspek tersebut tentu tidak terhindar
dari kritikan dan masukan. Pertama, dalam aspek konseptual, ruang lingkup perlindungan data
pribadi dinilai hanya dikenakan kepada perseorangan sebagai subjek hukum, seharusnya tidak
demikian, karena badan hukum sebagai subjek hukum juga memerlukan adanya perlindungan
terhadap data pribadi yang dimilikinya. Kedua, aspek institusi/kelembagaan, pengaturan
terhadap perlindungan data pribadi sebisa mungkin harus memberikan tugas pokok dan fungsi
(tupoksi) yang jelas kepada lembaga-lembaga yang bersangkutan agar tidak terjadi tumpang
tindih kewenangan. Kejelasan tersebut menjadi relevan karena ketika terjadi tumpang tindih
kewenangan antar lembaga negara, maka akan timbul pula masalah dalam struktur
kelembagaan. Ketiga, aspek hukum formil, pembuat undang-undang seharusnya dapat
menghindari adanya penyempitan ruang lingkup dari undang-undang yang dibuatnya.
Penyempitan tersebut biasanya dapat dilihat dengan adanya penyebutan contoh dari suatu
definisi yang dirumuskan dalam suatu undang-undang.
Dalam hal perlindungan data pribadi, Indonesia seyogianya dapat berkaca pada negara
tetangga seperti Singapura, Filipina, dan Malaysia. Singapura pernah menjadi korban
pencurian data nama dan alamat 14.200 orang dengan HIV/AIDS (ODHA) 86 serta data 1,5 juta
pasien yang terdapat dalam database SingHealth, yang merupakan lembaga perawatan
kesehatan terbesar di Singapura, juga mengalami peretasan87. Selanjutnya pada 2019, The Star
mengungkapkan lebih dari satu juta data mahasiswa dan alumni Universiti Teknologi MARA
(UiTM) sejak tahun 2000 hingga 2018 dicuri oleh peretas.88 Sedangkan di Filipina, Cubuana
Lhuilier, yang merupakan penyedia jasa keuangan, menyatakan bahwa sebanyak 900 ribu data
kliennya telah diakses tanpa izin.89 Namun yang membedakan negara-negara tersebut dengan
Indonesia adalah ketiganya telah mempunyai Undang-Undang tentang Perlindungan Data
Pribadi dengan hukuman yang tegas, yaitu hingga sanksi pidana penjara. Sedangkan di
85 Bambang Pratama, Loc.Cit. 86 Agni Vidya Perdana, “Bocorkan Data Ribuan Orang Positif HIV di Singapura, Warga AS Dihukum 2 Tahun
Penjara”, https://amp.kompas.com/internasional/read/2019/09/30/17045461/bocorkan-data-ribuan-orang-
positif-hiv-di-singapura-warga-as-dihukum-2, diakses pada 9 Juni 2020. 87 Alfian Zainal, “Peretas Curi Data 1,5 Juta Pasien Singapura, Termasuk PM Lee dan Para Menterinya”,
https://jakarta.tribunnews.com/2018/07/21/peretas-curi-data-15-juta-pasien-singapura-termasuk-pm-lee-dan-
para-menterinya, diakses pada 9 Juni 2020. 88 Angelin Yeoh, Qishin Tariq, and Sandhya Menon, “UiTM student’s data allegedly stolen”,
http://www.thestar.com.my/news/nation/2019/01/26/uitm-students-data-allegedly-stolen-classified-records-compiled-over-18-years-believed-taken-from-va, diakses pada 9 Juni 2020.
89 Faye Orellana, “Data breach hits Cebuana Lhuillier, around 900k clients affected”,
https://business.inquirer.net/263859/data-breach-hits-cebuana-lhuillier-around-900k-clients-
effected/amp#aoh=15908352064709&referrer=https%3A%2F%2Fwww.google.com&_tf=From%20%2
51%24s, diakses pada 9 juni 2020.
28
Indonesia belum memiliki UU PDP dan bahkan di dalam RUU PDP sanksi pidana yang dapat
dikenakan hanya sebatas pidana denda, tidak sampai pidana penjara.
Kritikan juga diberikan oleh Senior Partner Firma Hukum Assegaf Hamzah & Partner,
Ahmad Fikri Assegaf. Ia menilai bahwa muatan aturan yang terkandung dalam RUU PDP,
khususnya dalam aspek pengawasan, masih terkesan sangat sektoral dan belum ada lembaga
atau otoritas khusus yang berwenang mengawasi pelaksanaan serta penindakan aturan data
pribadi, layaknya Personal Data Protection Commission (PDPC di Singapura), Komisyon para
sa Proteksiyon ng Personal na Impormasyon (KPPI di Filipina), ataupun Jabatan Perlindungan
Data Pribadi (JPDP di Malaysia).90 Ia juga menyatakan bahwa RUU PDP Indonesia cukup
banyak mengikuti konsep General Data Protection Regulation (GDPR) yang diterapkan oleh
European Union (EU).91
Konsep yang ada dalam GDPR tentu tidak dapat serta merta diterapkan di Indonesia yang
memilki latar belakang serta kondisi berbeda dengan EU. Secara historis, dalam penerapan
konsep-konsep GDPR, EU telah melewati poses yang panjang, seperti pada tahun 1995 EU
telah mempunyai derective (pedoman) yang sudah diuji melalui berbagai kasus. 92 Hal itu
menunjukkan bahwa konsep-konsep yang pada akhirnya termaktub dalam GDPR sudah cukup
berkembang, sedangkan tentu perkembangan EU tidak akan sama dengan perkembangan
Indonesia. Oleh karena itu, dibutuhkan adanya penyesuaian dengan keadaan di Indonesia.
Selain itu, perlu adanya perbedaan standar pengaturan perlindungan data oleh perusahaan yang
memiliki skala besar dengan perusahaan yang berskala kecil. Hal yang demikian menjadi
penting, mengingat bahwa perusahaan yang lebih besar akan mengelola data pribadi dengan
jumlah yang sedemikian besar pula, oleh karenanya diperlukan perlindungan yang juga lebih
besar daripada perusahaan kecil.93 Besar kecilnya perusahaan dapat dilihat dari jumlah aset
yang pendapatan yang dimiliki oleh perusahaan yang bersangkutan.
C. RUU PDP: Revisi atau Langsung Disahkan?
Berdasarkan uraian sebelumnya, terlihat bahwa dalam Rancangan Undang-Undang
Perlindungan Data Pribadi (RUU PDP) masih terdapat beberapa hal yang perlu direvisi dan
dilakukan perbaikan terhadapnya. Masukan dan kritikan yang bersifat membangun dan
90 Hamalatul Qur’aini, “3 Poin Ini Perlu Dipertimbangkan dalam Draft RUU Perlindungan Data Pribadi”,
https://m.hukumonline.com/berita/baca/lt5d89c5463a83f/3-poin-ini-perlu-dipertimbangkan-dalam-draft-ruu-
perlindungan-data-pribadi/, diakses pada 9 Juni 2020. 91 Ibid. 92 Ibid. 93 Ibid.
29
komprehensif pun menjadi relevan mengingat kedudukan RUU PDP sebagai payung hukum
nantinya. Hal yang demikian dikuatkan dengan penelitian yang dilakukan oleh Lembaga Studi
dan Advokasi Masyarakat (ELSAM) di tahun 2016 yang mana terdapat 30 undang-undang
terkait data pribadi yang akan berada di bawah payung hukum UU PDP Indonesia.94 RUU PDP
juga diharapkan dapat memenuhi sebesar-besarkan kebutuhan masyarakat dan meminimalisir
dampak negatif dari pengundangannya. Oleh karena itu, agar RUU PDP dapat menaungi 30
UU serta memenuhi kebutuhan sesuai dengan apa yang dicitakan masyarakat, maka aspek
konseptual, kelembagaan, hukum formil, dan hal-hal yang telah disebutkan diatas harus benar-
benar diperhatikan agar tidak terdapat celah hukum yang berpotensi memberikan dampak
negatif di kemudian hari.
94 Bambang Pratama, Loc.Cit., dikutip dari Wahyudi Djafar, dkk, ELSAM, 2016, Perlindungan Data Pribadi di
Indonesia.
30
Daftar Pustaka
A. Peraturan Perundang-undangan
Undang-Undang Dasar Negara Republik Indonesia Tahun 1945.
Undang-Undang Nomor 29 Tahun 2004 tentang Praktik Kedokteran (Lembaran Negara No. 116,
Tambahan Lembaran Negara No. 4431).
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, (Lembaran Negara
No. 58, Tambahan Lembaran Negara No. 4843).
Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik (Lembaran Negara Nomor 139,
Tambahan Lembaran Negara Nomor 4899).
Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan (Lembaran Negara Nomor 144, Tambahan
Lembaran Negara Nomor 5063).
Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 Tahun 2006
tentang Administrasi Kependudukan (Lembaran Negara Nomor 232, Tambahan Lembaran Negara
Nomor 5475).
Peraturan Menteri Komunikasi dan Informasi tentang Perlindungan Data Pribadi dalam Sistem Elektronik
(Berita Negara Tahun 2016 Nomor 1829).
Naskah Akademik Rancangan Undang-Undang tentang Perlindungan Data Pribadi.
B. Instrumen Hukum Internasional
ASEAN Human Rights Declaration 2012, Article 21
Council of Europe Treaty Series Number 223, 2018, Article 2
General Data Protection regulation, Article 33
C. Buku
Djafar, Wahyudi dan Asep Komarudin, Perlindungan Hak Atas Privasi di Internet-Beberapa
Penjelasan Kunci, Elsam, Jakarta, 2014, hlm. 2.
European Union Agency for Fundamental Rights and Council of Europe, Handbook on European
Data Protection Law, Belgium, 2014, hlm. 36.
European Panel for Future Science and Technology, 2019 “Harmful Internet Use, Part II: Impact on Culture and Society, cet. 1.
Hiariej, Eddy O.S., 2015, Prinsip-Prinsip Hukum Pidana, Cahaya Atma Pustaka, Yogyakarta.
Makarim, Edmon, 2005, Pengantar Hukum Telematika (Suatu Kompilasi Kajian), Jakarta: RajaGrafindo
Persada, hlm. 170.
UN Human Rights Council, The Promotion, Protection and Enjoyment of Human Rights on the Internet,
UN Doc A/HRC/RES/32/13
Schwab, Klaus, 2017, The Fourth Industrial Revolution, cet. 1, Crown Business, New York.
D. Jurnal, Makalah, dan Kajian
Anggraeni, Setyawati Fitri, “Polemik Pengaturan Kepemilikan Data Pribadi, Urgensi untuk Harmonisasi dan
Reformasi Hukum di Indonesia”. Jurnal Hukum & Pembangunan Tahun ke-48, No.4, Oktober-
Desember 2018
Berzanson, Randall P., “The Right to Privacy Revisited : Privacy, News and Social Change”, California Law
Review, Vol. 80, 1992.
Delegasi UGM, “Naskah Akademik tentang Keamanan dan Ketahanan Siber,” 2019. Hlm. 159
Latumahina, Rosalinda E., 2014, ‘Aspek Hukum Perlindungan Data Pribadi di Dunia Maya’, Jurnal GEMA AKTUALITA, Vol. 3, No. 2, hlm. 18.
Marliana, Selvi, Kajian Hukum Perlindungan Hak Privasi Pengguna SIMCard Terkait Registrasi SIMCard
berdasarkan Permen Kominfo Nomor 14 Tahun 2017 tentang Registrasi Pelanggan Jasa
Telekomunikasi.
31
Rosadi, Sinta Dewi, et al., “Perlindungan Privasi dan Data Pribadi Dalam Era Ekonomi Digital di
Indonesia”, Vej, Vol. 4, No. 1, Juni, 2018.
Warren, Samuel dan Louis Brandeis, “The Right to Privacy”, Harcard Law Review, Vol. 4, 1890
E. Persepsi Online
Persepsi Online DEMA Justicia bersama Satriyo Wibowo pada 4 Juni 2020.
Persepsi Online DEMA Justicia bersama Bhredipta Socarana pada 5 Juni 2020.
F. Internet
Briantika, Adi, 2020, “Akun Tokopedia Dibobol, Bagaimana Tanggungjawab Pengelola Data?”
https://tirto.id/akun-tokopedia-dibobol-bagaimana-tanggung-jawab-pengelola-data-fmX1, diakses
pada 11 Juni 2020.
ELSAM, ELSAM, https://elsam.or.id/uu-perlindungan-data-pribadi-mendesak-untuk-menjamin-
kedaulatan-individu-di-ruang-siber/, diakses 8 Juni 2020.
Fauzia, Mutia, 2019, "Data Jutaan Penumpang Lion Air Group Diduga Bocor", https://money.kompas.com/read/2019/09/18/100310226/data-jutaan-penumpang-lion-air-
group-diduga-bocor., diakses pada 11 Juni 2020
Farisa, Fitria Chusna, Penjelasan Dukcapil Soal Ribuan e-KTP di Tempat Sampah dan Semak di Serang,
https://nasional.kompas.com/read/2018/09/12/13023461/penjelasan-dukcapil-soal-ribuan-e-KTP-
di-tempat-sampah-dan-semak-di-serang, diakses 11 Juni 2020.
Harian Kompas, “1 Juta Data Pengguna Asal Indonesia Bocor, Menkominfo Panggil Facebook,”
https://nasional.kompas.com/read/2018/04/05/17361101/1-juta-data- pengguna-asal-indonesia-
bocor-menkominfo-panggil-facebook, diakses 4 Juni 2020.
Haryadi, Dadi, “Facebook Dukung Perlindungan Data Pribadi”,
https://m.ayobandung.com/read/2019/09/13/63589/facebook-dukung-perlindungan-data-pribadi,
diakses pada 8 Juni 2020.
Haryanto, Agus Tri, “RUU Perlindungan Data Pribadi Bakal Masuk Prolegnas 2020”,
https://m.detik.com/inet/law-and-policy/d-4793400/ruu-perlindungan-data-pribadi-bakal-masuk-
prolegnas-2020, diakses pada 8 Juni 2020.
Januarius, Fabian K, 2018, “1 Juta Data Pengguna Asal Indonesia Bocor, Menkominfo Panggil
Facebook”, https://nasional.kompas.com/read/2018/04/05/1736110/1-juta-data-pengguna-asal-
indonesia-bocor-menkominfo-panggil-facebook, diakses pada 11 Juni 2020
Jemadu, Liberty, “DPR Kritik RUU PDP, Rawan Disalahgunakan Penguasa”,
ihttps://www.suara.com/tekno/2020/02/25/230500/dpr-kritisi-ruu-pdp-rawan-disalahgunakan-
penguasa, diakses pada 9 Juni 2020.
Kompas Cyber Media, KOMPAS.com, https://tekno.kompas.com/read/2020/05/22/10093057/data-diduga-
bocor-kpu-sebut-informasi-yang-disebar-hacker-bersifat-terbuka, diakses 2 Juni 2020.
KumparanTECH, Waspada Aplikasi Pinjam Uang Ambil Data Kontak dan Baca SMS di Ponsel,
https://kumparan.com/kumparantech/waspada-aplikasi-pinjam-uang-ambil-data-kontak-dan-baca-
sms-di-ponsel-27431110790534537, diakses 11 Juni 2020.
Novia, Fitri H, “Data Penumpang Lion Air Bocor, UU Perlindungan Data Pribadi Dibutuhkan”,
https://www.hukumonline.com/berita/baca/lt5d8947d7aa783/data-penumpang-lion-air-bocor--uu-
perlindungan-data-pribadi-dibutuhkan, diakses pada 11 Juni 2020
Orellana, Faye, “Data breach hits Cebuana Lhuillier, around 900k clients affected”,
https://business.inquirer.net/263859/data-breach-hits-cebuana-lhuillier-around-900k-clients-
effected/amp#aoh=15908352064709&referrer=https%3A%2F%2Fwww.google.com&_tf=Fro
m%20%251%24s, diakses pada 9 juni 2020
Perdana, Agni Vidya, “Bocorkan Data Ribuan Orang Positif HIV di Singapura, Warga AS Dihukum 2
Tahun Penjara”, https://amp.kompas.com/internasional/read/2019/09/30/17045461/bocorkan-data-
ribuan-orang-positif-hiv-di-singapura-warga-as-dihukum-2, diakses pada 9 Juni 2020.
Pertiwi, Wahyunanda Kusuma, Data Tokopedia, Gojek, dan Bukalapak Bocor di Tengah Absennya RUU
PDP, https://tekno.kompas.com/read/2020/05/04/20170027/data-tokopedia-gojek-dan-bukalapak-
bocor-di-tengah-absennya-ruu-pdp?page=3, diakses 11 Juni 2020.
32
Pratama, Bambang, “Beberapa Catatan tentang RUU Data Pribadi”, https://business-
law.binus.ac.id/2017/06/16/beberapa-catatan-tentang-ruu-data-pribadi/, diakses pada 9 Juni 2020.
Ristianto, Christoforus, “DPR Didesak Sahkan RUU Perlindungan Data Pribadi”,
https://pemilu.kompas.com/read/2019/08/02/13450871/dpr-didesak-sahkan-ruu-perlindungan-
data-pribadi, diakses 8 Juni 2020.
Pratama, Sandi Indra dan Aprianto Muktadi, “RIM Diminta Buka Pusat Data Server di Indonesia”,
https://koran.tempo.co/read/ekonomi-dan-bisnis/208763/rim-diminta-buka-pusat-data-server-di-
indonesia?, diakses pada 9 Juni 2020.
Rizky, hukumonline.com/klinik, https://www.hukumonline.com/klinik/detail/ulasan/lt5d588c1cc649e/per
lindungan-hukum-atas-privasi-dan-data-pribadi-masyarakat/, diakses 8 Juni 2020.
Susanto, Vendi Yhulia, “Kominfo targetkan RUU Perlindungan Data Pribadi rampung tahun 2020”,
https://amp.kontan.co.id/news/kominfo-targetkan-ruu-perlindungan-data-pribadi-rampung-tahun-
2020#referrer=https://www.google.com, diakses pada 8 Juni 2020.
Syambudi, Irwan, Kasus Peretasan & Teror Diskusi CLS FH UGM: Polisi Lambat Bertindak,
https://tirto.id/kasus-peretasan-teror-diskusi-cls-ugm-polisi-lambat-bertindak-fECn, diakses 11
Juni 2020.
Qur’aini, Hamalatul, “3 Poin Ini Perlu Dipertimbangkan dalam Draft RUU Perlindungan Data Pribadi”,
https://m.hukumonline.com/berita/baca/lt5d89c5463a83f/3-poin-ini-perlu-dipertimbangkan-
dalam-draft-ruu-perlindungan-data-pribadi/, diakses pada 9 Juni 2020.
Yeoh, Angelin, Qishin Tariq, and Sandhya Menon, “UiTM student’s data allegedly stolen”,
http://www.thestar.com.my/news/nation/2019/01/26/uitm-students-data-allegedly-stolen-
classified-records-compiled-over-18-years-believed-taken-from-va, diakses pada 9 Juni 2020.
Zainal, Alfian, “Peretas Curi Data 1,5 Juta Pasien Singapura, Termasuk PM Lee dan Para Menterinya”,
https://jakarta.tribunnews.com/2018/07/21/peretas-curi-data-15-juta-pasien-singapura-termasuk-
pm-lee-dan-para-menterinya, diakses pada 9 Juni 2020.
