Belakangan ini isu kebocoran data pribadi dan penawaran transaksi terhadap data pribadi yang bocor kembali merebak. Insiden tersebut tidak hanya melanda data pribadi yang dikelola korporasi melainkan juga lembaga Pemerintah. Tentu publik menjadi khawatir dan mempertanyakan mengapa insiden tersebut seringkali terjadi dan seakan tidak ada penegakan hukumnya. Semua insiden kebocoran data pribadi seakan selesai cukup dengan adanya pemberitaan saja. Korporasi dan instansi terkait seakan cukup memberitahukan kepada publik cukup hanya dengan mengeluarkan pernyataan dan klarifikasi saja. Walhasil, seakan pelaku pencurian data pribadi melenggang dengan leluasa melakukan tindakan tersebut dan seakan merasa sah-sah saja bebas melakukan jual beli data pribadi sebagai mata pencahariannya melakukan penawaran melalui situs darknet.
Sementara itu, suatu insiden kebocoran data, tentu kemungkinannya tidak hanya terjadi karena serangan dari luar saja, karena boleh jadi merupakan suatu tindakan pengungkapan dari dalam organisasi itu sendiri. Untuk memperjelas hal itu tentu diperlukan pembuktian yang tidak mungkin digantungkan hanya dari pernyataan satu pihak saja, melainkan harus juga dibuktikan oleh audit dari pihak lain ataupun instansi yang terkait. Pemerintah melalui instansi sektoral yang sesuai dengan kewenangan yang diberikan oleh undang-undang, memiliki tugas dan fungsi serta kewenangan untuk melakukan pengawasan atas pelindungan data pribadi masyarakat. Khawatirnya, publik justru akan menilai seakan-akan tidak ada kesadaran hukum bagi korporasi dan instansi terkait untuk melindungi data pribadi masyarakat.
Seakan tiada upaya yang dapat dilakukan oleh masyarakat untuk menuntut pelindungan yang lebih baik, karena terkesan bahwa korporasi dan instansi terkait hanya memandang remeh hal tersebut, karena kejadian itu berulang kali terjadi tanpa penegakan hukum yang jelas. Apakah memang tidak ada aturan pertanggungjawaban hukum oleh penyelenggara sistem elektronik terhadap kebocoran tersebut? Apakah publik harus menunggu Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) disahkan dulu baru tindakan tersebut dapat dimintakan pertanggungjawaban hukumnya? Tulisan ini mencoba mengingatkan semua pihak terkait adanya pertanggungjawaban hukum terhadap kebocoran data pribadi, baik secara perdata, administratif maupun pidana.
Pelindungan Privasi dan Data Pribadi serta Keamanan Sistem Elektronik
Secara historis, istilah privasi dan data pribadi sebenarnya bukanlah hal yang baru. Meskipun International Covenant on Civil and Political Rights (ICCPR) tidak secara tegas menyebutkan istilah ‘data pribadi’, namun secara substansial pelindungan atas data pribadi adalah bagian dari privasi atau kehidupan pribadi setiap orang. Pelindungan atas data pribadi tidak hanya diatur di konvensi regional Uni Eropa (General Data Protection Regulation/GDPR), melainkan juga regional lainnya seperti Afrika (African Union Convention on Cyber Security and Personal Data Protection) dan juga Asia. Di dalam ASEAN Declaration of Human Rights (2012)secara tegas dinyatakan bahwa data pribadi adalah bagian dari privasi meski tidak diuraikan lebih detail.
Di Indonesia sendiri, secara filosofis penghargaan atas privasi selayaknya juga dipahami sebagai perwujudan dari sila kedua Pancasila, yakni Kemanusian Yang Adil dan Beradab. Istilah privasi dan data pribadi juga telah dikenal dan dicantumkan sejak adanya UU No. 39 Tahun 1999 tentang HAM. Selanjutnya ‘data pribadi’ juga disebutkan dan diatur dalam berbagai peraturan perundang-undangan berikutnya, seperti antara lain; UU No. 23 Tahun 2006 jo. UU No. 24 Tahun 2013 tentang Administrasi Kependudukan, UU No. 36 Tahun 2009 tentang Kesehatan, UU No. 43 Tahun 2009 tentang Kearsipan, UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) beserta amandemennya.
Dengan kata lain, dalam sistem hukum nasional sekarang ini telah terdapat pelindungan privasi dan data pribadi, namun kondisinya memang tersebar sesuai karakteristik sektor masing-masing. Meskipun belum ada UU khusus, bukan berarti tidak ada ketentuan sama sekali (kevakuman hukum) terhadap tindakan pencurian maupun pembocoran data pribadi tersebut. Apalagi dengan telah adanya PP No. 71 Tahun 2019 dan juga PP No. 80 Tahun 2019 yang juga mengatur aspek pelindungan data pribadi, maka setiap penyelenggara sistem elektronik selayaknya memenuhi kepatuhan hukum atas pelindungan data pribadi yang ditentukan dalam peraturan perundang-undangan tersebut. Dalam kedua PP tersebut diuraikan asas-asas pelindungan data pribadi berdasarkan kelaziman (best practices) telah diakomodir dalam Pasal 2 ayat (5) PP No. 71/2019 dan Pasal 33 PP No. 80/2019 serta juga terdapat ancaman sanksi administratif terhadap ketidakpatuhan atas aturan tersebut.
Tanggung Jawab Hukum Perdata
Pasal 26 UU ITE telah menyatakan bahwa setiap orang dapat melakukan gugatan terhadap perolehan data pribadi tanpa persetujuannya. Setidaknya terhadap pelanggaran PDP dapat digugat sebagai Perbuatan Melawan Hukum (PMH) atas dasar kesalahan berdasarkan ketentuan UU (1365 KUHPerdata), maupun atas dasar ketidakpatutan atau ketidakhati-hatian (1366 KUHPerdata). Pasal 3 UU ITE telah menyatakan adanya prinsip kehati-hatian dan juga memberikan tanggung jawab kepada setiap Penyelenggara Sistem Elektronik (PSE) baik korporasi maupun pemerintah untuk menerapkan akuntabilitas sistem elektronik, yakni harus andal, aman dan bertanggung jawab.
Baca selengkapnya: https://www.hukumonline.com/berita/baca/lt5f067836b37ef/pertanggungjawaban-hukum-terhadap-kebocoran-data-pribadi-oleh–edmon-makarim?page=2