Masih ada aturan yang mengizinkan pengalihan hak milik data pribadi dari individu ke lembaga atau perusahaan. Padahal, harusnya kepemilikan data itu tetap di tangan individu.
Data pribadi adalah hal yang berharga. Ini terbukti dari terungkapnya praktik jual-beli data diri online, yang ternyata marak di kalangan telemarketing kartu kredit. Menurut Brigjen Dedi Prasetyo, Kepala Biro Penerangan Masyarakat Divisi Humas Polri, data pribadi sebetulnya harus dirahasiakan, dilindungi hukum, dan tidak bisa diperjualbelikan sembarangan.
Dalam wawancara pers, Brigjen Dedi menegaskan, “Dokumen pribadi seseorang itu tidak boleh dengan serta merta diperjualbelikan, apalagi untuk mendapat keuntungan pribadi. Itu merupakan suatu bentuk pelanggaran pidana, yang semuanya memiliki sanksi hukum,” ujarnya (14/5/2019).
Hukum Terkait Data Pribadi
Indonesia memang sudah punya sejumlah hukum yang melindungi kerahasiaan data pribadi.
Sudah ada UU ITE yang mengatur bahwa penggunaan data pribadi hanya bisa dilakukan berdasarkan:
- Persetujuan orang yang bersangkutan, atau;
- Diharuskan berdasarkan peraturan perundang-undangan yang berlaku.
Ada juga UU Administrasi Kependudukan yang menyatakan: siapapun yang menyebarkan data pribadi tanpa hak, akan dihukum penjara 2 tahun atau denda Rp25 juta.
Ketentuan perlindungan data pribadi juga tersebar dalam dokumen hukum lain, seperti Peraturan Menteri Kominfo, serta aturan Bank Indonesia tentang Layanan Keuangan Digital (LKD).
Perlindungan Belum Komprehensif
Meski Indonesia sudah punya hukumnya, tapi perlindungan data pribadi belum komprehensif.
Penilaian itu disampaikan oleh pengajar Fakultas Hukum Universitas Indonesia, Setyawati Fitri Anggraeni, lewat makalah berjudul Polemik Pengaturan Kepemilikan Data Pribadi, Urgensi untuk Harmonisasi dan Reformasi Hukum di Indonesia (Jurnal Hukum & Pembangunan 48 No. 4, 2018).
Setyawati (2018) menyebut, saat ini masih ada aturan hukum yang secara implisit mengizinkan pengalihan hak milik data pribadi, seperti aturan Bank Indonesia tentang LKD.
Aturan itu menetapkan bahwa data pribadi yang diperoleh agen LKD adalah hak milik Penyelenggara LKD.
Padahal, menurut Setyawati (2018) hak milik seharusnya tetap berada di tangan individu sebagai subjek data, bukan malah dipindahkan ke lembaga atau perusahaan.
Menurut Setyawati (2018), hukum yang ada sekarang baru sekedar menyatakan perlindungan saja, tapi belum mengatur secara rincitentang bagaimana cara melakukan perlindungan tersebut.
Belajar dari Uni Eropa
Setyawati (2018) menyebut, contoh perlindungan data pribadi yang komprehensif bisa dilihat dariGeneral Data Protection Regulation (GDPR) milik Uni Eropa.
GDPR mengatur secara detil bahwa setiap perusahaan atau lembaga pengumpul data pribadi wajib menyampaikan tujuannya secara transparan kepada individu subjek data.
Individu juga berhak meminta informasi terkait penyimpanan, pemanfaatan, pemindahtanganan, sampai penghapusan data pribadi mereka.
Tak hanya canggih di atas kertas, GDPR ini sudah nyata-nyata diberlakukan dengan tegas.
Awal Januari 2019 lalu misalnya, GDPR telah menjatuhkan denda Rp800 miliar untuk Google karena menggunakan data pribadi secara tidak sah.