Jakarta, KomIT – Akhirnya Peraturan Menteri (Permen) No 20 Tahun 2016 tentang Perlindungan Data Pribadi (PDP) ditetapkan 7 November 2016, diundangkan dan berlaku sejak 1 Desember 2016, meskipun masukan dari Asosiasi Big Data Indonesia (ABDI) yang baru lahir, belum tertampung dari beberapa kali panel diskusi publik maupun internal pendirinya untuk memberikan masukan terkait peraturan Perlindungan Data Pribadi yang belum terserap pada Permen ini. ABDI memperhatikan referensi berbagai peraturan di negara seperti OECD, EU, AS dll.
Permen PDP ini adalah satu dari 21 Permen yang direferensi oleh PP 82/2012 empat tahun yang lalu, agar PP 82/2012 dapat dilaksanakan segera terkait PDP.
Peraturan Pemerintah (PP) No 82 / 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) diundangkan dan berlaku sejak 15 Oktober 2012. Peraturan Pemerintah PP 82/2012 tentang PSTE ini sendiri gabungan 7 PP dari 9 PP yang merupakan turunan dari UU No 11 Tahun 2008 tentang ITE (Informasi dan Transaksi Elektronik), sehingga UU ITE ini sering disebut Peraturan Payung karena sangat komprehensif dan mengatur banyak hal terkait kegiatan di dunia Cyber atau Internet. Ini dapat dimaklumi karena UU ITE ini sebetulnya cikal bakal dari draft naskah akademisi UU Cyber Law yang dikerjakan oleh Departemen Perhubungan dan Universitas Padjajaran. Beberapa Pasal terkait Lawful Interceptions (pasal 31 UU ITE) sudah dihapus saat diuji di Mahkamah Konstitusi (MK).
PP 82/2012 tentang PSTE merupakan Peraturan perundangan yang sangsinya lebih bersifat administratif dan sangat tergantung pada turunan Permen, demikian juga dengan Permen No 20 tahun 2016 tentang PDP dimana majoritas sangsinya bersifat administratif dan belum terlalu jelas maksud, tujuan dan cara melindungi Data pribadinya.
Data Center dan DRC
Pertimbangan dari Permen PDP ini disebut melaksanakan Pasal 15 ayat (3) dari Peraturan Pemerintah No 82 Tahun 2012 tentang PSTE tentang Perlindungan Data Pribadi. Namun pasal 17 pada Permen PDP juga melaksanakan Pasal 17 pada PP PSTE tentang penempatan Pusat Data (Data Center) dan Pusat Pemulihan Bencana (Disaster Recovery Center) Penyelenggara Sistem Elektronik untuk Pelayanan Publik diwilayah negara Republik Indonesia untuk proses Perlindungan Data Pribadi. Namun karena Ketentuan lebih lanjut mengenai pasal 17 ini diatur oleh Instansi Pengawas dan Pengatur Sektor yang belum jelas dan masih harus menunggu Ketentuan Peraturan perundangan setelah berkoordinasi dengan Menteri menurut Permen PDP ini. Saran dari ABDI semestinya Permen PDP ini fokus saja pada Perlindungan Data Pribadi, sedangkan masalah terkait Pasal 17 pada PP PSTE soal Data Center dan Disaster Recovery Center biar diatur dalam Permen tersendiri khusus mengatur Data Center dan trend Clouds yang sedang populer.
Sangsi Administratif
Pada Bab IX Pasal 36 tentang sangsi administratif bagi setiap orang yang melanggar Permen PDP ini seperti memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumpulkan dan mengirim Data Pribadi tanpa hak atau tidak sesuai dengan ketentuan dalam Permen PDP ini hanya dikenai sangsi administratif berupa: (a) peringatan lisan; (b) Peringatan Tertulis; (c) Pengentian semetara kegiatan dan / atau; pengumuman disitus dalam jaringan, yang tata caranya akan diatur dengan Peraturan Menteri, yang sepertinya recursive alias aturannya tidak hierarki, ketika sebuah Permen merujuk Permen yang lain.
Pasal Peralihan
Banyak instansi seperti Telco, Perbankan, OTT, Ecommerce, Fintech, SosMed yang telah menyediakan, menyimpan dan mengelolah jutaan data pribadi sebelum Permen PDP ini berlaku harus segera aware akan aturan ini dan tetap menjaga kerahasian Data Pribadi dan menyesuaikan (comply) data strateginya dengan Permen ini paling lambat 2 (dua) tahun harus sudah siap. Pengawasan terhadap pelaksanaan Permen PDP ini oleh Menkominfo dan/atau pimpinan Instansi Pengawas dan Pengatur Sektor, misalnya OJK untuk Perbankan.
Menteri memiliki kewenangan meminta data dan informasi dari PSE dalam rangka Perlindungan Data Pribadi, sebagai perbandingan, NSA di AS menurut dokumen Snowden mempunyai kewenangan absolut mendapatkan data dan informasi dari pemain OTT Global, seperti Facebook memiliki data 1, 6 miliar internet user atau minimal dengan pertimbangan Nasional Security dan War on Terorism.
Aspek ‘Velocity’ – 4 ‘V’ Big Data sangat penting
Proses Penyelesaian Sengketa terkesan birokratis padahal sudah di era Big Data dan kerugian akibat penyalahgunaan data yang sensitif seperti data kartu kredit, pin perbankan, data kesehatan dll dapat berakibat fatal. Bisnis Intelijen bahkan Data Rahasia dapat meningkatkan kompentensi enterprise, namun menyebabkan kerugian fatal bagi pihak lawan yang datanya bocor (compromised). Kasusnya, proses pengaduan pertama dapat diajukan ke Menteri melalui proses musyawarah atas kegagalan perlindungan kerahasian data pribadi. Atau terlambat memberitahukan Menteri secara tertulis ketika terjadi pembobolan yang menimbulkan kerugian bagi pemilik data pribadi. Menteri kemudian berkoordinasi dengan pimpinan pengawas dan Pengatur Sektor, misalnya OJK (Otorisasi Jasa Keuangan) jika terjadi masalah pembobolan data finansial.
Kemudian Menteri mendelegasikan kewenangan penyelesaian sengketa Data Pribadi ini kepada Dirjen yang akan membentu panel penyelesaian sengketa Data Pribadi (, sepertinya lembaga adhoc) dan hanya berupa gugatan perdata. Pejabat/ Lembaga Penyelesaian sengketa Data Pribadi dapat memberikan rekomendasi kepada Menteri untuk menjatuhkan sangksi administrattif kepada PSE meskipun pengaduan dapat diselesaikan secara musyawarah. Proses yang lamban dan birokratis seperti ini dapat menimbulkan masalah yang lebih sistemik, jika data pribadinya bersifat sensitif.
Penyitaan Data Pribadi?
Jika dalam proses penegakan hukum oleh aparat penegak hukum harus melakukan penyitaan, maka yang dapat disita hanya Data Pribadi yang terkait kasus hukum tanpa harus menyita seluruh Sistem Elektroniknya merupakan tindakan yang partial dan minimalis. Padahal jika terjadi vulnerability (kebobolan), maka seluruh Database dan sistem dalam perimeter cenderung terancam oleh whistleblower, internal threat ataupun Man in the Middle (MitM), meski ayat (2) melarang PSE untuk melakukan berubah atau hilangnya Data Pribadi serta tetap wajib memberikan perlindungan rahasia Data Pribadi dalam sebuah Sistem elektronik yang mengalami kebobolan.
Tampak beberapa error tata bahasa pada Permen PDB misalnya Pasal 2, Butir 2 dengan ayat b yang tidak nyambung sepertinya proses proof readingnya minim dalam drafting Permen ini.
Penyelenggara Sistem Elektronik (PSE) harus melakukan Perlindungan Data Pribadi pada proses: (1) Perolehan dan Pengumpulan; (2) Pengolahan dan Penganalisisan; (3) Penyimpanan; (4) Penampilan; (5) Pengumuman; (6) Pengiriman; dan (7) Akses data; hingga (8) Pemusnahan data. PSE harus tersertifikasi, mengharuskan Pemilik Data Pribadi mengisi formulir persetujuan dan mempunyai aturan internal perlindungan data pribadi untuk melaksanakan ke tujuh proses diatas, namun kurang jelas sangsinya jika PSE tidak melakukannya dan ketentuan dari aturan Internal ini.
Privasi dimasudkan sebagai kebebasan Pemilik Data Pribadi untuk menyatakan rahasia atau tidak Data Pribadinya kecuali ditentukan lain oleh peraturan perundang-undangan. Data Pribadi yang diperoleh dan dikumpulkan secara langsung harus diverifikasi kepada Pemilik Data Pribadi dan sumber data dalam perolehan dan pengumpulan data pribadi harus memiliki dasar hukum yang sah untuk menjamin otentikasi dan HKI.
Data Pribadi yang disimpan oleh PSE harus yang sudah di verifikasi dan harus dalam bentuk enkripsi meski tidak jelas level dan model enkripsinya.Sangsi mengenai verifikasi, otentikasi, enkripsi data, HKI dan jangka waktu minimal penyimpanan data belum jelas pada Permen PDB ini.
Prosedur dan Sarana Pengamanan Sistem elektronik harus sesuai dengan ketentuan peraturan perundang-undangan, meski belum jelas peraturan yang mana ?
Menampilkan, Mengumumkan, Mengirimkan dan Menyebar luaskan Data Pribadi dalam Sistem elektronik harus atas persetujuan yang belum jelas dengan perkecualian ditentukan oleh peraturan perundang-undangan ? Menurut ABDI, semestinya Permen PDB ini juga merujuk pada UU No 16 / 1997 tentang Statistik mengatur lembaga seperti Badan Pusat Statistik (BPS) mengatur bagaimana menampilkan, mengumumkan jika data pribadi dikumpulkan dalam bentuk agregat dan statisik untuk keperluan publik dan bersifat nasional ?
Cross Border Data Flow
Pengiriman Data Pribadi yang dikelolah oleh PSE Pemerintah; Swasta dan Masyarakat dalam wilayah NKRI keluar negeri harus berkoordinasi dengan Menteri atau Pejabat Lembaga yang diberi kewenangan dan menerapkan ketentuan Peraturan Perundangan mengenai pertukaran Data Pribadi Lintas Batas Negara ? Pertanyaannya bagaimana dengan data transaksi credit card dimana data konsumen RI disimpan di luar negeri, apakah setiap ada transaksi di merchant EDC, harus berkoordinasi dengan Menteri ? Kemudian apakah Pemerintah mempunyai regulasi mengenai Pertukaran Data Pribadi Lintas Batas Negara seperti yang ada di Uni Eropa dan Ingris ?
Sepertinya banyak saran dan masukan ABDI yang perlu diperhatikan oleh Kementrian Kominfo terkait dengan Permen PDB ini. Semestinya proses FGD dan Konsultasi Publik dilakukan lebih intensif sehingga ABDI, Mastel, APJII dan banyak asosiasi terkait dapat memberikan masukan yang lebih melindungi kepentingan privasi dari masyarakat konsumen Indonesia. Diharapkan Pemerintah segera melakukan sosialisasi terkait Permen PDB ini dan membuat turunan dari Peraturan ini untuk mengisi beberapa kekurangan yang ada bersama asosiasi terkait. (rrusdiah@yahoo.com).
