Bulan Juli kemarin, Mahkamah Eropa (European Court of Justice) menolak kesepakatan yang memungkinkan perusahaan teknologi melakukan transfer data pribadi dari server di Uni Eropa ke Amerika Serikat (AS). Kasus itu berawal dari gugatan warga Austria, Maximilian Schrems, yang menuntut Facebook dan Komisi Perlindungan Data Pribadi Irlandia ke Mahkamah Eropa. Facebook sebelumnya melakukan transfer berdasarkan kesepakatan PrivacyShield yang memungkinkan perusahaan melakukan transfer data antar server (peladen).
Namun Maximilian dalam gugatannya menyatakan bahwa standar perlindungan data pribadi di AS lebih rendah daripada Uni Eropa karena aturan di AS memungkinkan data diakses oleh intelijen tanpa adanya pengawasan maupun mekanisme banding. Putusan ini tidak hanya penting bagi Uni Eropa dan AS tetapi juga penting bagi Indonesia yang tengah membahas rancangan Undang-Undang (RUU) pertama tentang Perlindungan Data Pribadi (RUU PDP) pertama. Putusan Mahkamah Eropa mengisyaratkan perlunya lembaga pengawas independen yang menyediakan mekanisme penyelesaian sengketa dan pemulihan hukum terkait perlindungan data pribadi. Hal ini belum ada dalam RUU PDP yang sedang dibahas.
Perlindungan data di Uni Eropa
Internet memang telah menghubungkan komunikasi dan transfer data lintas batas negara secara mudah. Saat kita menggunakan fitur Instagram, misalnya menyaksikan IG Live seorang selebriti Eropa, data pribadi kita akan dikumpulkan oleh Instagram dan ditempatkan di sistem server Instagram. Data pribadi ini dapat diolah untuk menghasilkan keuntungan atau dimonetisasi, salah satunya dengan menciptakan profil pribadi kita untuk keperluan iklan. Data pribadi kita yang dikumpulkan oleh perusahaan teknologi, dapat ditransfer ke wilayah negara lain yang berada di luar jangkauan hukum negara asal pengguna.
Sehingga, data pribadi kita berpotensi untuk disalahgunakan oleh pihak ketiga tanpa adanya pengawasan yang ketat. Sayangnya hingga kini tidak ada regulasi tingkat global yang mengatur standar perlindungan data pribadi yang berlaku terhadap seluruh negara di dunia. Menurut hukum internasional, secara tradisional data pribadi pengguna akan selalu tunduk pada aturan hukum tempat server tersebut berada. Bisa jadi, negara tujuan pengiriman data pribadi kita tersebut memiliki standar perlindungan yang lebih lemah, ataupun bahkan tidak ada.
Karena data warga Uni Eropa tidak aman saat berada di AS, Maximilian menuntut bahwa transfer data oleh Facebook Irlandia – perusahaan subsider untuk pasar Uni Eropa – ke server Facebook di AS harus dicegah. Pencegahan ini berdasarkan Ketentuan Umum Perlindungan Data Uni Eropa (General Data Protection Regulation atau GDPR).
Menurut GDPR, transfer ke luar wilayah Uni Eropa dimungkinkan bila negara tujuan transfer memenuhi standar tingkat perlindungan yang setara (adequate level of protection), memiliki penerapan pengamanan yang layak (appropriate safeguards), atau berdasarkan perjanjian internasional yang dibuat dengan Uni Eropa dengan negara lain. PrivacyShield adalah perjanjian yang menjembatani perbedaan standar hukum atas perlindungan data pribadi antara AS dan UE.
Kasus ini menegaskan kembali apa yang dimaksud dengan ‘tingkat perlindungan yang setara’ dan bagaimana negara target dapat memenuhi perlindungan yang setara tersebut. Menurut Mahkamah Eropa, transfer data berdasarkan ketentuan GDPR mensyaratkan negara target tujuan memiliki kerangka hukum yang menjamin adanya upaya pemulihan melalui hukum yang efektif (effective legal remedies). Lebih lanjut, menurut mahkamah itu, mekanisme yang ada di AS tidak memiliki tingkat perlindungan yang setara dengan di Eropa.
Sehingga, mahkamah itu menegaskan bahwa perlu adanya lembaga pengawas independen yang menyediakan mekanisme penyelesaian sengketa dan pemulihan hukum bagi subjek data di negara target, sebelum transfer data pribadi ke negara tujuan tersebut dibolehkan. GDPR mengamanatkan masing-masing negara anggota Uni Eropa untuk membuat lembaga pengawas independen. Di tingkat regional, European Data Protection Supervisor berwenang untuk mengawasi kendali data oleh lembaga-lembaga di bawah Uni Eropa sebagai lembaga supranasional. Keberadaan lembaga pengawas adalah keniscayaan dalam arsitektur perlindungan data pribadi ala Uni Eropa.
Lembaga independen dalam RUU PDP
Menariknya, ketentuan pembatasan transfer data lintas batas negara yang serupa dengan GDPR juga diadopsi dalam RUU PDP yang tengah dibahas. Ketentuan ini menjadi aturan kunci untuk mengamankan data warga negara Indonesia yang akan dikirim ke server yang berada di luar wilayah Indonesia. Pertanyaannya kemudian, apakah RUU PDP Indonesia memiliki ketentuan tentang lembaga pengawasan independen? Jawaban singkatnya: tidak.
Susunan RUU PDP Indonesia sangat dipengaruhi oleh GDPR; bisa dibilang RUU PDP adalah bentuk adaptasi hukum Uni Eropa ke Indonesia. GDPR tidak hanya melindungi subyek data dari penyalahgunaan data pribadi oleh korporasi maupun individual, tetapi juga penyalahgunaan data pribadi oleh otoritas publik. Faktanya, kebocoran data oleh lembaga publik Indonesia telah terjadi. Awal tahun ini, jutaan data warga negara Indonesia dalam Daftar Pemilih Tetap Pemilihan Umum 2014 yang dikelola Komisi Pemilihan Umum bocor di internet.
Oleh karena itu, memang sepatutnya lembaga pengawasan diberikan posisi yang independen. Sayangnya, dalam draf RUU PDP terakhir, tidak ada ketentuan lembaga pengawas independen. Dalam draf itu, kewenangan pengawasan diberikan kepada Kementerian Komunikasi dan Informatika (Kominfo) sebagai kementerian sektoral. Kita tentu bertanya apakah ke depannya Kominfo dapat berlaku independen bila terdapat sengketa maupun keluhan dari pemilik data atas tindakan pengendalian data oleh lembaga publik lain?
Poin penting dari putusan Mahkamah Eropa adalah perlu ada mekanisme perlindungan hukum dan pemulihan hukum yang efektif dari tindakan otoritas publik yang sewenang-wenang. Namun, dalam pembahasan RUU PDP, anggota Dewan Perwakilan Rakyat (DPR) menolak usulan keberadaan lembaga pengawas independen dengan alasan agar birokrasi lebih sederhana dan menghemat anggaran negara.
Menurut saya, manfaat lembaga tersebut akan jauh lebih besar daripada biayanya. Bila setelah disahkan undang-undang tersebut tidak mengatur lembaga pengawas independen, maka itu akan merugikan reputasi Indonesia perekonomian digital global. Tanpa adanya lembaga pengawas independen, dunia dapat memandang bahwa kerangka hukum perlindungan data pribadi Indonesia tidak memenuhi perlindungan yang setara.