Perlindungan data

Keamanan informasi sudah menjadi prioritas utama dalam organisasi modern.[1] Lange, Solms dan Gerber[2] berpendapat bahwa keamanan informasi merupakan komponen yang krusial dalam mencapai kesuksesan organisasi, terlepas dari bidang atau fungsi organisasi tersebut. Informasi merupakan salah satu aset yang paling penting dari tiga aset berharga yaitu: people, physical property dan information. Karakteristik dari informasi yang menjadikannya aset berharga bagi sebuah organisasi yaitu:[1]

  • Kerahasiaan (Confidentiality). Merupakan sebuah karakteristik dari sebuah informasi di mana hanya orang yang mempunyai hak yang dapat mengakses informasi tersebut.
  • Keutuhan (Integrity). Merupakan jaminan dari kualitas keutuhan, kelengkapan dan tidak rusak dalam sebuah informasi.
  • Ketersediaan (Availability). Merupakan jaminan sebuah informasi dapat diakses ketika dibutuhkan. Hal ini bukan berarti bahwa sebuah informasi dapat diakses oleh siapapun akan tetapi hanya kepada yang mempunyai hak.

Karakteristik informasi tersebut menjadi pondasi utama dalam konsep keamanan informasi karena informasi merupakan salah satu aset berharga dari sebuah organisasi yang harus dilindungi dari ancaman. Ancaman dimaksud dapat berasal dari eksternal maupun internal. Ancaman dari eksternal antara lain Social engineering (manipulasi psikologis dari peretas untuk menguak suatu informasi rahasia tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu), Sabotase dan Perusakan (tindakan yang dilakukan untuk merusak dan mengotori sebuah sistem dalam sebuah website), Pemerasan Informasi (tindakan ancaman yang dilakukan oleh peretas yang mengancam untuk mencuri atau menyebarkan informasi dengan tuntutan bayaran/imbalan terhadap korban), Software Attack (serangan yang dilakukan untuk menginfeksi komputer), maupun serangan dari Programmer pengembang sistem (misalnya backdoor, yaitu sebuah password yang hanya diketahui oleh penyerang yang digunakan untuk mengakses sebuah sistem komputer tanpa melalui prosedur keamanan). Sedangkan ancaman dari internal lebih kepada celah keamanan pada faktor pengguna, baik itu berupa kelalaian maupun ketidaktahuan mengenai keamanan informasi.[3] Chan dan Mubarak menyebutkan beberapa konsep keamanan informasi sebagai berikut:[4]

  1. Phishing. Cara hacker yang secara umum dilakukan adalah dengan mencuri identitas pengguna dengan meniru email atau website perusahaan. Modus ini sangat mudah dilakukan, dan sering terjadi akibat kurang telitinya karyawan dalam mengakses informasi. Untuk itu, pentingnya sosialisasi bagi karyawan perusahaan untuk memahami konsep dan bahaya dari konsep pencurian data ini.
  2. Spam. Model pengiriman email yang tidak diinginkan kepada user merupakan metode umum kedua yang sering digunakan oleh Hacker. Email spam merupakan media distribusi virus dan trojan untuk mengakses sistem komputer dan mencuri data pengguna. Selain itu, spam sering kali berisi link kepada website phishing yang telah dibahas sebelumnya. Kesadaran individu dalam menyikapi konsep spam adalah cara preventif paling baik untuk menghindari jenis serangan ini.
  3. Social Engineering. Konsep penyerangan ke tiga adalah dengan memanipulasi psikologis pengguna. Konsep non-teknis ini mendorong user untuk memberikan informasi penting kepada hacker. Dengan cara ini penyerang dapat memperoleh data rahasia untuk masuk ke sistem perusahaan. Pencegahan ini dapat dilakukan dengan membuat aturan terkait keamanan dan privasi.

Kesadaran Keamanan DataSunting

Menurut penelitian yang dilakukan oleh Akraman, Candiwan, dan Priyadi serta Sari, tingkat kesadaran keamanan informasi dan privasi pengguna smartphone di Indonesia ada berada di kriteria rata-rata.[5][6] Pengetahuan di sekolah adalah elemen utama dalam mengedukasi pengguna tentang kesadaran keamanan.[7] Hal itu dikarenakan bidang ilmu kesadaran keamanan sangat berhubungan erat dengan faktor manusia dalam keamanan aset informasi. Pejabat di Innovation Center merupakan penanggungjawab utama dalam proses pengadaan bimbingan teknis terkait kesadaran keamanan kepada karyawan, selain itu divisi ini juga memiliki kewajiban dalam mempersiapkan penerapan elemen keamanan di dalam sistem informasi perusahaan.[8] Selain itu kontrol keamanan teknis, control procedural dan administrasi di tingkat manajemen juga menjadi cara utama dalam menghindari serangan kepada pengguna.[9] Peranan karyawan, manajer, dan personal IT dalam menggunakan sistem perusahaan adalah kunci sukses dalam mengamankan data penting perusahaan. Cybercrime yang terjadi saat ini memiliki tiga model yang sering terjadi, pertama adalah penyerangan terhadap lini jaringan. Kedua adalah serangan terhadap perangkat keras dan perangkat lunak. Model yang terakhir adalah penyerangan terhadap user. Dari ketiga model tersebut, serangan ketiga adalah model yang paling mudah dilakukan oleh peretas, hal ini dikarenakan kurangnya pengetahuan pengguna terhadap keamanan data. Kelalaian dan kurangnya ketelitian pengguna dalam memberikan informasi menjadi celah utama terjadinya cybercrime pada data sebuah organisasi.[8]

Menurut Mukhlis Amin,[10] kesadaran terhadap keamanan data atau informasi perlu terus ditingkatkan[11] karena keamanan informasi bukan hanya persoalan teknikal saja, namun konstribusi kelalaian manusia juga berpengaruh dalam kerentanan keamanan data.[12] Pentingnya meningkatkan kesadaran masyarakat tentang keamanan informasi guna untuk menghindari risiko kerugian seperti kebocoran informasi, penyalahgunaan data pribadi, pemalsuan identitas, dan hal-hal yang dapat menimbulkan kerugian terhadap pengakses layanan publik. Langkah dasar untuk menjaga privasi dan keamanan data pribadi:[13]

  1. Selalu cek update dan jaga kebersihan perangkat, sebisa mungkin untuk rutin mengupdate sistem operasi. Selain update, kita juga perlu rajin membersihkan perangkatmu dari virus.
  2. Gunakan kata sandi (password) yang unik dan solid. Gunakan kata sandi yang seunik mungkin dan terus perbaharui minimal tiga bulan sekali. Semakin unik, teka-teki kata sandi semakin sulit dipecahkan oleh peretas.
  3. Mengakses internet dengan aman, selalu gunakan HTTPS.
  4. Mengetahui dan memantau di mana saja anda menyimpan data
  5. Evaluasi segala usaha anda, terus terapakan langkah dasar untuk menjaga privasi. Perlu diingat juga bahwa privasi bukan hanya soal diri sendiri, tetapi juga orang-orang terdekat anda. Enkripsi komunikasi harus dilakukan dari ujung ke ujung, dari pengirim ke penerima, jadi ajak orang-orang terdekat anda untuk mengadopsi langkah-langkah di atas agar bisa saling melindungi informasi pribadi.

Kasus Kebocoran DataSunting

Kasus kebocoran data di Indonesia sudah sering terjadi belakangan ini.[14] Berita terakhir adalah data 279 juta WNI (Warga Negara Indonesia) yang tersebar dalam forum online pada 20 Mei 2021 berisi NIK (Nomor Induk Kependudukan), nomor ponsel, email, alamat, dan gaji yang diduga merupakan data dari BPJS (Badan Penyelenggara Jaminan Sosial) Kesehatan. Data tersebut termasuk data penduduk Indonesia yang telah meninggal dunia. Pihak BPJS hingga saat ini belum mengakui bahwa data tersebut berasal dari BPJS. Namun, mengakui data tersebut mirip dengan data yang ada pada BPJS.[15]

Kasus lain yang banyak terjadi di Indonesia adalah jual beli data konsumen. Konsumen yang datanya berhasil diperoleh menjadi target pemasaran suatu produk perusahaan atau perseorangan. Tidak sedikit pula pengguna internet menawarkan jasa jual-beli akun atau pengikut. Padahal praktik tersebut membuka ruang terjadinya penyalahgunaan data seseorang untuk melakukan kejahatan. Kasus terbaru yaitu penipuan dan penggelapan kartu kredit nasabah dengan tersangka Imam Zahali (IZ), yang menyebabkan kerugikan pihak bank sekitar Rp 250 juta setelah menggunakan kartu kredit nasabah untuk transaksi gesek tunai. Hasil kejahatan itu kemudian digunakan untuk kepentingan dirinya, salah satunya menunaikan ibadah haji di Tanah Suci Mekah. Pelaku mendapatkan data nasabah dengan cara membelinya di internet sebesar Rp 800 ribu untuk 25 data. Dari data tersebut, pelaku kemudian menghubungi korban dengan mengaku sebagai sales kartu kredit dan menawarkan untuk menaikkan limit kartu kredit. Bentuk lain dari diabaikannya perlindungan terhadap privasi adalah munculnya sebuah pesan berisi iklan yang biasa disebut Location-Based Messaging. Pesan tersebut akan terkirim otomatis kepada seseorang jika ia berada di tempat tertentu. Padahal, belum tentu ia pernah menyetujui suatu perjanjian dengan provider dan memperbolehkan mereka merekam setiap aktivitasnya.[16]

Kasus kejahatan siber dan penyalahguaan data pribadi terus meningkat dari tahun ke tahun. Secara statistik kejahatan siber, dalam kurun waktu 2017-2019, pencurian data pribadi mengalami kenaikan yang signifikan. Bareskrim Polri mencatat di tahun 2017 terdapat 47 kasus, 2018 meningkat menjadi 88 kasus, dan terus meningkat pada 2019-2020 sebanyak 140 kasus. Sejauh ini kesadaran masyarakat terkait kejahatan data pribadi dinilai masih rendah. Hal ini dibuktikan dengan data hanya 278 dari total 11.777 atau hanya 2,3%.[17]

Dampak Kebocoran DataSunting

Dampak dari kebocoran data/informasi ada tiga, dampak bagi pemilik data, pemegang dan pemroses data, dan pihak yang membocorkan data.

Pemegang dan Pemroses DataSunting

Kebocoran data mengindikasikan bahwa perusahaan pemegang atau pemroses data tidak melaksanakan prinsip perlindungan data dari akses dan pengungkapan data konsumen yang tidak sah karena berhasil dibobol oleh peretas yang artinya data pribadi dapat diakses oleh peretas dan data pribadi yang telah berhasil dibocorkan dilakukan penjualan oleh peretas yang artinya peretas mengungkapkan data konsumen secara tidak sah.[18]

Menurut IDC,[19] sebanyak 41% perusahaan dari riset tersebut, merasa sangat khawatir terhadap kebocoran data dan informasi perusahaan, sehingga menetapkan pencegahan kebocoran sebagai tugas utama divisi Teknologi dan Informasi (TI). Menurut itgid.org[20] pihak pemegang dan pemroses data memiliki beberapa dampak terjadinya kebocoran informasi.

Pertama, Legal liability. Perusahaan yang lalai dalam melindungi informasi penting miliknya (yang mengandung informasi customer didalamnya) akan berhadapan dengan UU ITE 2008.

Lost productivity. Perusahaan yang tidak menjaga dengan aman hasil-hasil penemuan baru dan pengembangan baru akan menimbulkan lost productivity, baik bagi karyawan maupun perusahaan itu sendiri karena desain produk baru sudah berpindah ke perusahaan lain.

Business reputation. Kejatuhan reputasi bisnis tidak serta merta akan dialami perusahaan saat itu bila perusahaan mengalami kebocoran informasi. Kerugian juga tidak akan bisa dihitung secara kuantitatif. Namun demikian, pelan tapi pasti perusahaan yang tidak dapat menjaga informasinya akan mengalami degradasi reputasi bisnis, baik nasional dan internasional.

Pemilik DataSunting

Dampak bagi pemilik data yang telah tersebar data pribadinya kepada pihak-pihak yang tidak berkepentingan sangat berbahaya. Menurut Pakar keamanan siber yang juga Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) Pratama Persadha,[21] Data dari file yang bocor dapat digunakan oleh pelaku kejahatan dengan melakukan phishing yang ditargetkan atau jenis serangan rekayasa sosial (social engineering). Walaupun di dalam file yang bocor tidak ditemukan data yang sangat sensitif seperti detail kartu kredit namun dengan beberapa data pribadi yang ada, maka bagi pelaku penjahat dunia maya sudah cukup untuk menyebabkan kerusakan dan ancaman nyata. Dalam praktik phising pada pesan ataupun web, para pelaku bisa meyakinkan korban karena telah memiliki data yang akurat. Pengambilalihan akun korban sangat mungkin dilakukan.

Menurut CNN Indonesia,[22] berikut beberapa risiko kejahatan siber yang bisa terjadi dengan memanfaatkan kebocoran data:

  1. Telemarketing, Data nomor telepon bisa diperjualbelikan untuk kepentingan telemarketing. Maka tak heran jika tiba-tiba pengguna ditelepon dan ditawarkan sebuah jasa atau produk. Tiba-tiba orang yang menelepon sudah mengetahui nama lengkap Anda meski Anda tak pernah berafiliasi dengan perusahaan tersebut sama sekali. SMS spam berbau penipuan mulai penawaran berhadiah juga cukup menjengkelkan. Anda bisa menjadi 'korban' telemarketing ketika data nomor ponsel Anda sudah tersebar.
  2. Modal Penipuan Phising Scamming, Pakar keamanan siber dari Vaksin.com, Alfons Tanujaya juga mengingatkan bahaya scam dan phising. Scam adalah tindakan penipuan dengan berusaha meyakinkan pengguna, misal memberitahu pengguna jika mereka memenangkan hadiah tertentu yang didapat jika memberikan sejumlah uang. Sementara phising adalah teknik penipuan yang memancing pengguna, misal untuk memberikan data pribadi mereka tanpa mereka sadari dengan mengarahkan mereka ke situs palsu. Sementara Analis media sosial Drone Emprit and Kernels Indonesia, Ismail Fahmi mengingatkan bahaya serangan rekayasa sosial, pertama-tama penjahat akan membuat profil korban terlebih dahulu dengan mengandalkan data-data yang sudah diperoleh. Penjahat siber bisa membuat skenario penipuan berdasarkan profil tersebut, untuk mencari celah agar bisa menipu korban.
  3. Pembobolan Layanan Lain, Pakar keamanan siber dari CISSRec, Pratama Persadha mengingatkan data nomor telepon dan sebagainya itu bisa digunakan untuk membobol akun media sosial atau layanan lain. Sebagai contoh untuk membobol layanan pembayaran digital. Pratama mengatakan caranya cukup mudah, pelaku tinggal login dengan nomor telepon dan meminta kode One Time Password (OTP). Selanjutnya pelaku bisa menelepon korban dan mengaku sebagai pihak Tokopedia maupun platform lain yang digunakan korban untuk meminta kode OTP itu.
  4. Menemukan Kata Kunci, Alfons mengatakan data tanggal lahir dan email yang bocor juga bisa jadi modal peretas untuk mengambil alih akun. Sebab tanggal lahir sering digunakan sebagai kata sandi. Oleh karena itu, Alfons menyarankan agar jangan menggunakan tanggal lahir sebagai kata sandi. Selain itu, ia menyarankan agar mengaktifkan sistem pengamanan Two Factor Authentication (TFA) dengan menggunakan One Time Password (OTP) melalui SMS hingga USSD. TFA melibatkan pihak ketiga yaitu operator untuk mengirimkan OTP yang digunakan untuk otorisasi transaksi.
  5. Membuat akun pinjaman online, penjahat juga bisa mengajukan peminjaman di aplikasi pinjaman online dengan bermodalkan data-data yang sudah bocor. Pertama-tama peretas harus mampu mengumpulkan data KTP dari data-data yang telah bocor. Kemudian peretas bisa mengajukan pinjaman untuk menarik sejumlah uang dari aplikasi pinjaman online yang kurang baik sistem pemeriksaannya.
  6. Profiling untuk target politik atau iklan di media sosial, Ismail mengatakan data-data personal yang diambil bisa dipakai untuk rekayasa sosial hingga profiling (membuat profil pengguna).  Di sisi lain Pratama  mengatakan apabila data tersebut diproses, maka akan bermanfaat untuk profiling penduduk. Misalnya berdasarkan umur dan demografi penduduk berdasarkan lokasi, hobi, hingga jenis kelamin. Big data tersebut bisa digunakan untuk sosialisasi politik maupun target iklan di media sosial. Hal ini serupa dengan yang dilakukan Cambridge Analytica dengan data pengguna Facebook. Perusahaan itu menggunakan profiling warga AS untuk menargetkan artikel tertentu kepada pengguna. Artikel ini berisi penggiringan opini agar warga pada akhirnya mendukung calon Presiden Donald Trump saat itu.

Penyebar DataSunting

Di Indonesia, dampak bagi pihak penyebar data dalam hal ini berarti pihak yang menyalin dan membocorkan data tanpa izin sudah dijelaskan pada pasal 32 UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) ayat (1) yang berbunyi “Setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apapun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu informasi elektronik dan/atau Dokumen Elektronik milik orang lain atau milik publik”. Pihak tersebut mendapat jerat hukum yang dijelaskan pada pasal 48 UU ITE yang berbunyi “Setiap orang yang memenuhi unsur sebagaimana dimaksud dalam pasal 32 ayat (1) dipidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp.2.000.000.000,00 (dua milyar rupiah)”.[23]

Konsep Perlindungan DataSunting

Perlindungan terhadap hak dan data pribadi di Indonesia termuat pada Undang-Undang Dasar Negara Republik Indonesia Tahun1945 Pasal 28G ayat (1) , yang berbunyi “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang dibawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”

Konsep kehidupan pribadi berhubungan dengan manusia sebagai makhluk hidup. Dengan demikian orang perorang adalah pemilik utama dari hak perlindungan data pribadi.[17] Dalam konteks Indonesia, Putusan No.5/PUU-VIII/2011, MK (Mahkaman Konstitusi) juga menulis bahwa right to privacy merupakan bagian dari hak asasi manusia (derogable rights) dan cakupan dari right to privacy meliputi informasi atau right to information privacy, disebut juga data privacy (data protection). Peraturan delegasi dari Undang-Undang ITE, PP Nomor 82 Tahun 2012 tentang Penyelenggara Sistem dan Transaksi Elektronik, memuat definisi data pribadi yaitu data perseorangan tertentu yang disimpan, dirawat, dijaga kebenaran serta dilindungi kerahasiaannya (Pasal 1 angka 27).[16]

Hukum hak asasi international telah menyoroti privasi digital.  Pada Sidang Umum PBB 2013, negara-negara anggota menyepakati adanya hak untuk privasi. Negara-Negara anggota diminta untuk transparan dan bertanggung jawab Ketika mengumpulkan data pribadi. Negara lain seperti Australia dan Singapura juga telah menetapkan peraturan mengenai privasi. Australia menetapkan Privacu Act pada 1988 dan Singapura menetapkan Personal Data Protection Act pada 2012. Sementara Uni Eropa mempunyai General data Protection Regulation (GDPR) pada 2018.[16] Berend van der Eijk menjelaskan mengenai prinsip transparansi: bahwa warga memiliki hak untuk mengakses, mengubah, dan menghapus data pribadi mereka pada waktu tertentu dari data pelanggan perusahaan. Perusahaan juga diminta untuk transparan mengenai mengapa mereka mengumpulkan data dan bagaimana mereka akan menggunakannya. Perlindungan data personal yang ada dalam GDPR terkait masalah ras, etnis, politik, kesehatan, gender, dan seksualitas yang berlaku.[24]

Secara umum, prinsip mengenai pengaturan perlindungan data utamanya data pribadi bisa mengacu pada 6 prinsip Personal Personal Data Privacy Ordinance of 1995 (PDPO)[25] Hong Kong :

  1. Batasa Pengumpulan Data Pribadi, Pengumpulan data pribadi terbatas pada pengumpulan data pribadi secara sah untuk tujuan yang secara langsung berhubungan dengan fungsi dari pengumpul.
  2. Penggunaan dan Pengungkapan Data Pribadi, Prinsip ini membatasi pengungkapan data pribadi hanya untuk atau secara langsung berhubungan dengan tujuan awal pengumpulan data pribadi tersebut, atau apabila subjek data menyatakan persetujuan.
  3. Kewajiban Kualitas Data dan Pemberian Saran kepada Pihak Ketiga, Prinsip ini mewajibkan seluruh langkah yang mungkin diambil untuk menjamin akurasi data pribadi (dengan mempertimbangkan tujuan penggunaan dan setiap tujuan yang langsung berhubungan), dan untuk menghapus atau tidak menggunakan data yang tidak akurat.
  4. Penghapusan dan Pemusnahan Data Pribadi, Berdasarkan prinsip ini, data pribadi tidak boleh disimpan lebih lama dari jangka waktu yang diperlukan untuk pemenuhan tujuan (termasuk setiap tujuan yang langsung berhubungan) untuk tujuan tersebut data digunakan atau akan digunakan di masa depan.
  5. Kewajiban Keamanan Data, Berdasarkan prinsip ini, pengelola data pribadi wajib melakukan setiap langkah yang memungkinkan untuk melindungi data pribadi dari akses yang tidak disengaja, atau pemrosesan, penghapusan, penghilangan, dan penggunaan tidak sah (tanpa hak).
  6. Keterbukaan mengenai praktik-praktik, “Data User” harus mengambil langkah-langkah untuk menjamin bahwa setiap orang (tidak hanya subjek data) dapat menentukan kebijakan dan praktik mengenai data pribadi, jenis data pribadi yang disimpan “Data User”, dan tujuan utama penggunaannya.

Prinsip mengenai pengaturan perlindungan data juga bisa mengacu pada EU GDPR artikel 5 yaitu:[16]

  • Data pribadi harus diproses sesuai hukum, adil, dan transparan,
  • Diperoleh sesuai dengan tujuan penggunaannya, jelas, spesifik kecuali untuk kepentingan public, science dan riset.
  • Relevan dan terbatas sesuai dengan tujuan penggunaannya.
  • Terjamin keakuratannya.
  • Dibatasi penyimpanannya,
  • Terjamin keamanan, integritas dan kerahasiaannya. Juga di artikel 9 yaitu “racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person's sex life or sexual orientation”.

Hak-hak pemilik Data pribadi dapat melihat model pengaturan EU GDPR khususnya Chapter III yakni hak subjek data untuk transparansi informasi dalam hal pemrosesan data pribadinya, hak mengakses informasi terhadap tujaun pengumpulan data pribadinya (kontrak, pengendalinya), hak untuk menghapus dan koreksi data pribadinya, hak untuk menolak pemrosesan data pribadinya, hak untuk membatasi pemrosesan data pribadinya. Pengaturan terhadap Pengendali dan Pemroses terhadap data dapat melihat model pengaturan EU GDPR khususnya Chapter IV mengenai tanggung jawab pengendali, siapakah pengendalinya, pemroses, tanggung jawab pemroses dalam keamanan data pribadi, bentuk dan mekanisme pemrosesan data pribadi. Pengaturan terhadap Kode Etik dan sertifikasi dapat melihat model pengaturan EU GDPR khususnya Article 40 mengenai kode etik terhadap pengendali dan pemroses data pribadi yang dibentuk oleh Pemeritah, selain itu Sertifikasi terhadap pengendali dan pemroses data pribadi oleh pemerintah atau lembaga pemerintahan tertentu. Pengaturan terhadap Transfer data pribadi ke negara lain atau organisasi internasional dapat melihat model pengaturan EU GDPR khususnya Chapter V bahwa negara yang menerima transfer data pribadi harus memiliki standar pengaturan yang sama terhadap perlindungan data pribadi. Pengaturan terhadap otoritas pengawas yang independen berupa komisi atau lembaga dapat melihat model pengaturan EU GDPR khususnya Chapter VI dimana otoritas tersebut bertanggung jawab untuk mengawasi pengaturan perlindungan data pribadi sesuai regulasi yang ditetapkan yang bersifat independen dari pengaruh eksternal yang juga dapat sebagai wadah untuk penyelesaian sengketa. Pengaturan terhadap Ganti Rugi dan Pertanggung jawaban, sanksi dapat melihat model pengaturan EU GDPR khususnya Chapter VIII bahwa contohnya pemilik data pribadi dapat meminta ganti rugi kepada pengendali dan/atau pemroses jika data pribadinya disalah gunakan dan diproses tidak sesuai dengan tujuan atau terdapat pelanggaran.[16]

Selain GDPR dan PDPO, terdapat juga The OECD Privacy Framework yang diterbitkan oleh Organization for Economic Co-Operation and Development (OECD) tahun 1980 sebagaimana telah direvisi pada tahun 2013. Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data yang menerapkan prinsip-prinsip pertama privasi yang diakui secara internasional. Berikut adalah prinsip perlindungan data pribadi menurut OECD 95:[26]

  1. Prinsip Pembatasan Pengumpulan (Collection Limitation Principle), Harus ada batasan untuk pengumpulan data pribadi dan data semacam itu harus diperoleh dengan cara yang sah dan adil dan dengan sepengetahuan atau persetujuan dari subjek data.
  2. Prinsip Kualitas Data (Data Quality Principle), Data pribadi harus relevan dengan tujuan penggunaannya, dan sejauh yang diperlukan untuk tujuan tersebut, harus akurat, lengkap, dan terus diperbarui.
  3. Prinsip Spesifikasi Tujuan (Purpose Specification Principle), Tujuan pengumpulan data pribadi harus ditentukan selambat-lambatnya pada saat pengumpulan data dan penggunaan selanjutnya terbatas pada pemenuhan tujuan tersebut atau tujuan lainnya yang tidak sesuai dan ditentukan untuk setiap perubahan tujuan.
  4. Prinsip Pembatasan Penggunaan (Use Limitation Principle), Data pribadi tidak boleh diungkapkan, tersedia atau digunakan untuk tujuan selain yang ditentukan kecuali: (a) dengan persetujuan subjek data; atau (b) oleh otoritas hukum
  5. Prinsip Perlindungan Keamanan (Security Safeguards Principle), Data pribadi harus dilindungi oleh perlindungan keamanan yang wajar terhadap risiko seperti kehilangan atau akses tidak sah, perusakan, penggunaan, modifikasi atau pengungkapan data.
  6. Prinsip Keterbukaan (Openness Principle), Adanya kebijakan keterbukaan tentang perkembangan, praktik, dan policy berkenaan dengan data pribadi. Sarana tersebut harus tersedia untuk menetapkan keberadaan dan sifat data pribadi, dan tujuan utama penggunaannya, serta identitas dan lokasi pengontrol data (data controller).
  7. Prinsip Partisipasi Individu (Individual Participation Principle), Individu berhak: a. untuk memperoleh dari pengontrol data (data controller), atau konfirmasi, apakah pengontrol data memiliki data terkait atau tidak; b. untuk berkomunikasi dengan mereka, data yang berkaitan dengan mereka: (i) dalam waktu yang wajar;(ii) dengan biaya, jika ada;(iii) alasan yang cukup; dan (iv) diberikan dalam bentuk yang dapat dipahami. c. Diberikan alasan jika permintaan dibuat berdasarkan huruf (a) dan (b) di tolak, dan dapat diargumentasikan penolakan tersebut; d. Untuk melawan data terkait mereka, dan seandainya perlawanan tersebut benar, untuk menghapus data, memperbaiki, melengkapi atau mengubah.
  8. Prinsip Akuntabilitas (Accountability Principle), Pengontrol data (data controller) harus bertanggung jawab untuk mematuhi langkah-langkah yang berdampak pada prinsip-prinsip yang disebutkan di atas.

Asas ataupun prinsip perlindungan data pribadi terdapat pada peraturan turunan dari UU ITE dan perubahannya yang secara spesifik mengatur mengenai perlindungan data pribadi, yakni Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo 20 Tahun 2016). Perlindungan data pribadi dalam sistem elektronik mencakup perlindungan terhadap perolehan data, pengumpulan data, pengolahan data, penganalisisan data, penyimpanan data, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan data pribadi. Dalam melaksanakan ketentuan tersebut harus berdasarkan asas perlindungan data pribadi yang baik, antara lain adalah :      

  • penghormatan terhadap data pribadi sebagai privasi;
  • data pribadi bersifat rahasia sesuai persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan
  • berdasarkan persetujuan;
  • relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan;
  • kelaikan sistem elektronik yang digunakan;
  • iktikad baik untuk segera memberitahukan secara tertulis kepada pemilik data pribadi atas setiap kegagalan perlindungan data pribadi;
  • ketersediaan aturan internal pengelolaan perlindungan data pribadi;
  • tanggung jawab atas data pribadi yang berada dalam penguasaan pengguna;
  • kemudahan akses dan koreksi terhadap data pribadi oleh pemilik data pribadi; dan
  • keutuhan, akurasi, dan keabsahan serta kemutakhiran data pribadi.

Konsep perlindungan data pribadi menekankan bahwa setiap orang berhak menentukan nasibnya sendiri seperti apakah dirinya akan melakukan sharing data atau tidak dan apabila sharing data dilakukan maka ia berhak juga menentukan syarat yang hendak dipenuhi dalam suatu komunitas masyarakat. Data pribadi mengenai nama lengkap, email, akun media sosial bahkan nomor rekening dalam berbagai layanan aplikasi yang meminta data pengguna dengan berbagai macam tujuan, salah satunya untuk memastikan data pengguna adalah benar. Tidak ada jaminan bahwa data pribadi tersebut terhindar dari penyalahgunaan. Nomor kontak, nomor rekening bank, alamat rumah dapat menjadi ancaman bagi pemilik data pribadi misalnya penipuan yang dilakukan melalui telepon genggam, menjadi sasaran peretasan rekening bank dan dapat menjadi sasaran perampokan dengan berbagi alamat rumah.[27]

Khusus untuk konteks Asia Tenggara, pengakuan itu tercermin secara jelas pada Deklarasi HAM ASEAN 2012 (ASEAN Human Rights Declaration/AHRD) yang pada butir 21 memuat: “Setiap orang memiliki hak untuk terbebas dari campur tangan yang sewenang-wenang terhadap privasi, keluarga, tempat tinggal, atau yang terkait termasuk data pribadi, atau untuk menyerang kehormatan dan reputasi orang tersebut. Setiap orang berhak atas perlindungan hukum terhadap gangguan atau serangan tersebut".[28]

HAM dan Perlindungan DataSunting

Dalam pemanfaatan teknologi informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy right). Hak pribadi (privacy right) meurpakan bagian dari Hak Asasi Manusia (HAM). HAM adalah sebuah konsep hukum dan normatif yang menyatakan bahwa manusia memiliki hak yang melekat pada dirinya karena ia adalah seorang manusia. Hak asasi manusia berlaku kapan saja, di mana saja, dan kepada siapa saja, sehingga sifatnya universal. Hak pribadi (privacy right) merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan, hak untuk dapat berkomunikasi dengan Orang lain tanpa tindakan memata-matai, dan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang. Perlindungan data merupakan pemenuhan terhadap hak privasi (privacy right).[23]

Perlindungan data pada dasarnya dapat berhubungan secara khusus dengan privasi seperti yang dikemukakan oleh Allan Westin yang untuk pertama kali mendefinisikan privasi sebagai hak individu, grup atau lembaga untuk menentukan apakah informasi tentang mereka akan dikomunikasikan atau tidak kepada pihak lain sehingga definisi yang dikemukakan oleh Westin disebut dengan information privacy karena menyangkut informasi pribadi. Perlindungan data juga merupakan hak asasi manusia yang fundamental, sejumlah negara telah mengakui perlindungan data sebagai hak konstitusional atau dalam bentuk “habeas data” yakni hak seseorang untuk mendapatkan pengamanan terhadap datanya dan untuk pembenaran ketika ditemukan kesalahan terhadap datanya. Albania, Armenia, Filipina, Timor Leste, Kolombia dan Argentina adalah negara-negara dengan perbedaan sejarah dan budaya yang telah mengakui peran dari perlindungan data yang dapat memfasilitasi proses demokrasi dan telah menjamin perlindungannya dalam konstitusi mereka.[16]

Pengumpulan dan penyebarluasan data pribadi merupakan pelanggaran terhadap privasi seseorang karena hak privasi mencakup hak menentukan memberikan atau tidak memberikan data pribadi. Data pribadi merupakan suatu aset atau komoditas bernilai ekonomi tinggi.[29] Pengumpulan besar-besaran set data yang bisa dicari, dikumpulkan, dan direferensi silang ini dinamakan Big Data. Tidak hanya perusahaan, tetapi individu dan pemerintahan juga bisa mengumpulkan data pribadi.

Hak Privasi (Privacy Right)Sunting

Konsep privasi sebagai suatu hak asasi manusia yang harus dilindungi diakui dalam Pasal 12 Deklarasi Umum Hak Asasi Manusia (1948), yang menyatakan bahwa: “No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attack (Tidak ada seorang pun dapat diganggu dengan sewenang-wenang urusan pribadi, keluarga, rumah tangga atau hubungan surat menyuratnya, juga tidak diperkenakan pelanggaran atas kehormatan dan nama baiknya. Setiap orang berhak mendapat perlindungan hukum terhadap gangguan atau pelanggaran itu)”. Ketentuan tersebut selanjutnya dipertegas dalam Pasal 17 Konvenan Internasional Tentang Hak -hak Sipil dan Politik (ICCPR) pada 1966, yang menyatakan bahwa: “(1) No one shall be subjected to arbitrary or unlawful interference with his privacy, family, home or correspondence, nor to unlawful interference with his privacy, family, home or correspondence, nor to unlawful attacks upon his honour and reputation; (2) Everyone has the right to protection of the law against such interference or attack ((1) Tidak boleh seorangpun yang dapat secara sewenang-wenang atau secara tidak sah dicampuri masalah-masalah pribadinya, keluarganya, rumah atau hubungan surat menyuratnya, atau secara tidak sah diserang kehormatan dan nama baiknya;(2) Setiap orang berhak atas perlindungan hukum terhadap campur tangan atau serangan seperti tersebut di atas)” 95. Evolusi hak atas privasi dalam kerangka Pasal 17 ICCPR ini kemudian di pandang oleh Manfred Nowak dapat merambah hingga aspek hak atas akses dan kontrol data pribadi seseorang.[26]

Dalam Komentar Umum 16 ICCPR yang berbunyi: “Pengumpulan dan penyimpanan informasi pribadi di komputer, bank data dan alat mekanik lainnya, baik oleh pihak berwenang publik atau individu-individu atau badanbadan, harus diatur oleh hukum. Langkah-langkah yang efektif harus diambil oleh negara-negara guna menjamin bahwa informasi yang berkaitan dengan kehidupan pribadi seseorang tidak jatuh ke tangan orang-orang yang tidak memiliki kewenangan secara hukum untuk menerima, memproses dan menggunakannya, dan tidak boleh digunakan untuk tujuan-tujuan yang tidak sesuai dengan ICCPR. Guna mendapatkan perlindungan yang efektif bagi kehidupan pribadinya, setiap individu harus memiliki hak untuk menentukan data-data pribadi apa dan untuk tujuan apa yang akan disimpan dalam rekaman data otomatis. Jika rekaman data tersebut memuat data pribadi yang tidak benar atau dikumpulkan atau diproses dengan cara yang bertentangan dengan ketentuan-ketentuan hukum, maka setiap individu harus memiliki hak untuk meminta perbaikan atau pemusnahan data tersebut”. Pelapor Khusus Frank La Rue menyampaikan dalam laporannya bahwa pembatasan terhadap ketentuan ini dapat merujuk pada Komentar Umum yang mensyaratkan pembatasan dimungkinkan jika memenuhi elemen berikut ini:[30]

  • Segala bentuk pembatasan harus diatur dengan undang-undang;
  • Pembatasan tidak boleh melanggar esensi perlindungan HAM;
  • Pembatasan dilakukan dalam masyarakat yang demokratis;
  • Setiap kebijakan pembatasan tidak boleh mengekang pelaksanaan hak tersebut;
  • Pembatasan yang dibolehkan tidak cukup ditujukan hanya untuk mencapai tujuan yang sah, tetapi juga harus benar-benar dibutuhkan untuk melindungi tujuan tersebut; dan
  • Pembatasan harus sesuai dengan prinsip proporsionalitas, yakni sesuai untuk mencapai fungsi perlindungan, harus menjadi instrumen yang tidak sangat intrusif sehingga memungkinkan mencapai hasil yang diinginkan, dan proporsional dengan kepentingan yang harus dilindungi.

Pelindungan terhadap data pribadi berkaitan dengan konsep privasi, konsep privasi sendiri adalah merupakan sebuah gagasan untuk memelihara integritas dan martabat setiap orang secara pribadi. Privasi adalah istilah lain yang kemudian digunakan oleh negara-negara maju yang berkaitan dengan data pribadi sebagai hak yang harus dilindungi, yaitu hak seseorang untuk tidak diganggu kehidupan pribadinya.membahas privasi berarti membahas tentang hak untuk menikmati hidup. Meskipun privasi diakui sebagai hak asasi manusia, sebagai sebuah konsep, sangat sulit untuk mendefinisikan dan bervariasi sesuai dengan konteks, bangsa, dan budaya. Hak privasi melalui pelindungan data merupakan elemen kunci bagi kebebasan dan harga diri individu. Pelindungan data menjadi pendorong bagi terwujudnya kebebasan politik, spiritual, keagamaan bahkan kegiatan yang bersifat privat. Hak untuk menentukan nasib sendiri, kebebasan berekspresi dan privasi adalah hak-hak yang penting untuk menjadikan kita sebagai manusia. Potensi pelanggaran hak privasi atas data pribadi tidak saja ada dalam kegiatan online tetapi juga kegiatan offline.[31]

Potensi pelanggaran privasi atas data pribadi secara online misalnya terjadi dalam kegiatan pengumpulan data pribadi secara masal (digital dossier), pemasaran langsung (direct selling), media sosial, pelaksanaan program e-KTP, pelaksanaan program e-health dan kegiatan komputasi awan (cloud computing). Khususnya di era big data, pengumpulan data secara masif lazim dilakukan, tak hanya oleh pemerintah, namun juga oleh entitas bisnis atau korporasi. Jenis data yang dikumpulkan pun beragam, mulai dari personally identifiable information (PII) hingga sensitive personal information (SPI). Perusahaan sebagai pengendali data memiliki tanggung jawab untuk menjaga data konsumen dari kebocoran data. Bocornya data pribadi konsumen merupakan sebuah bentuk pelanggaran terhadap hak atas privasi. Oleh karenanya, diperlukan peraturan hukum yang komprehensif guna melindungi data pribadi konsumen yang dikumpulkan oleh korporasi. Tujuan dari ketentuan-ketentuan yang berkaitan dengan perlindungan terhadap data pribadi adalah untuk melindungi kepentingan konsumen dan memberikan manfaat ekonomi bagi Indonesia. Berdasarkan kasus yang terjadi di Eropa yaitu Maximillian Schrems v. Data Protection Commissioner yang diputus Court of Justice of the European Union, 2016, perbedaan perlindungan kepentingan konsumen dapat mengancam transaksi antar dua negara atau dua regional.[32]

Kebijakan Perlindungan Data di IndonesiaSunting

Undang Undang nomor 19 tahun 2016 (UU ITE)Sunting

Undang-Undang Republik Indonesia Nomor 19 Tahun 2016 Perubahan atas Undang-Undang Republik Indonesia Nomor 11 Tahun 2011 tentang Informasi dan Transaksi Elektronik sebagai UU generik memuat norma perlindungan data pribadi pada Pasal 26, yang pada intinya, penggunaan setiap data dan informasi di media elektronik yang terkait dengan data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan atau berdasarkan hukum positif yang berlaku saat ini (peraturan perundang-undangan). Pada dasarnya ketentuan ini memuat dua dasar legitimasi pemrosesan data pribadi yaitu (a) consent/ persetujuan; dan (b) norma hukum positif. Kedua prinsip ini adalah dasar lawful data processing.

Pasal 26 UU ITE [33] menjelaskan bahwa perlindungan data harus dilakukan. Jika terjadi penggunaan data pribadi seseorang tanpa izin dari orang yang bersangkutan, maka orang yang dilanggar haknya itu dapat mengajukan gugatan atas kerugian yang ditimbulkan. berikut adalah Pasal 26 UU 19/2016 :

  1. Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.
  2. Setiap orang yang dilanggar haknya sebagaimana yang dimaksud pada ayat 1 dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan undangundang ini.
  3. Setiap penyelenggara sistem elektronik wajib menghapus informasi elektronik dan/atau dokumen elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan orang yang bersangkutan berdasarkan penetapan pengadilan.
  4. Setiap penyelenggara sistem elektronik wajib menyediakan mekanisme penghapusan informasi elektronik dan/atau dokumen elektronik yang tidak relevan sesuai dengan ketentuan peraturan perundang-undangan.
  5. Ketentuan mengenai tata cara penghapusan informasi elektronik dan/atau dokumen elektronik sebagaimana dimaksud pada ayat (3) dan ayat (4) diatur dalam peraturan pemerintah.

Berdasarkan ketentuan dari Pasal 26 UU ITE [33] pemerintah melarang setiap penylenggara sistem elektronik menggunakan atau menafaatkan data milik orang lain tanpa persetujuan dari si pemilik data tersebut. Berdasarkan isi dari pasal tersebut artinya aktivitas-aktivitas seperti pengumpulan dan penyebarluasan data pribadi merupakan pelanggaran terhadap privasi seseorang karena hak privasi mencakup hak menentukan memberikan atau tidak memberikan data pribadi. Termasuk didalamnya pencurian data pribadi, ketika pihak penyelenggara elektronik menggunakan data pribadi milik orang lain, bentuk larangan tersebut tidak lain karena pandangan pemerintah menganggap bahwa data pribadi merupakan suatu aset atau komoditi bernilai ekonomi tinggi [34]. Dalam penjelasannya Pasal 26 UU ITE juga menyatakan bahwa data pribadi merupakan salah satu bagian dari hak pribadi seseorang. Selain untuk mencegah pelangaranpelangaran penyalahgunaan berupa pencurian data pribadi pemerintah melalui UU ITE tersebut memberikan perintah kepada penyelengaraan sistem elektronik untuk menyiapkan suatu sistem yang berorientasi kepada melakuan penyesuaian dan melakukan penghapusan pada data pribadi yang dianggap sudah tidak sesuai berdasarkan permintaan dari pihak terkait kepada pengadilan dan putusan pengadilan. Tetapi keadaan penghapusan sebagaimana disebutkan masihlah umum, dengan sekedar menyebutkan pengahapusan informasi elektronik dan/atau dokumen elektronik yang tidak relevan. tidak ada penjelasan yang detil mengenai informasi yang tidak relevan. Keadaan seperti ini berpotensi bertabrakan dengan beberapa perundang-undangan lain dalam penerapannya dikemudian hari. Contohnya potensi ketegangan dengan UndangUndang Nomor 40 Tahun 1999 tentang Pers dan Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan informasi Publik.[33]

Pihak penyebar data sebelumnya pasti sudah melakukan cracking atau peretasan dengan cara merusak sebuah sistem elektronik. Selain merusak, cracking merupakan pembajakan data pribadi maupun account pribadi seseorang, sehingga mengakibatkan hilang atau berubah dan digunakan tanpa persetujuan pemilik. Hal tersebut sudah diatur dalam pasal 30 ayat (3) UU ITE yaitu “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.” Lebih lanjut dijelaskan pada pasal 32 UU ITE [20] yaitu “1. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik. 2.Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak. 3.Terhadap perbuatan sebagairana dimaksud pada ayat (1) yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana mestinya.”. pelanggaran tersebut kemudian dapat dikenakan jerat hukum pada pasal 48 UU ITE yaitu “1. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1) dipidana dengan pidana penjara paling lama 8 tahun dan/atau denda paling banyak Rp2 miliar. 2.Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (2) dipidana dengan pidana penjara paling lama 9 tahun dan/atau denda paling banyak Rp3 miliar. 3.Setiap Orang yang rnemenuhi unsur sebagaimana dimaksud dalarn Pasal 32 ayat (3) dipidana dengan pidana penjara paling lama 10 tahun dan/atau denda paling banyak Rp5 miliar.”

Jika terjadi kegagalan dalam pelindungan terhadap data pribadi yang dikelolanya, PSE (Penyelenggara Sistem Elektronik) wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut. Kegagalan yang dimaksud adalah terhentinya sebagian atau seluruh fungsi sistem elektronik yang bersifat esensial sehingga sistem elektronik tidak berfungsi sebagaimana mestinya. Terjadinya kegagalan sistem bisa disebabkan oleh faktor internal dan faktor eksternal. Salah satu faktor eksternal yang sering terjadi adalah adanya cybercrime. Dilihat dari jenis aktivitasnya, cybercrime dapat berupa hacking, cracking, phising, identity theft, dan lain-lain. Dampak kerugian yang timbul antara lain kebocoran data pribadi, manipulasi data, pelanggaran privasi, kerusakan sistem, dan sebagainya.[33]

Undang-Undang Nomor 36 Tahun 2009 tentang KesehatanSunting

Kebijakan terkait perlindungan data tidak hanya pada bidang informasi dan transaksi elektronik. Data pribadi di bidang kesehatan pun tidak terlepas dari kemungkinan penyalahgunaan. Akan lebih bahaya lagi apabila data pribadi tersebut merupakan suatu data jejak rekam medis pasien yang memang bersifat sangat rahasia, sehingga ada beberapa peraturan khusus seperti diantaranya UndangUndang Nomor 29 tahun 2004 tentang Praktik Kedokteran [36] yang mengatur bahwa setiap Dokter dan Dokter Gigi dalam menyelenggarakan praktik kedokteran harus membuat rekam medis dan rekam medis ini harus dijaga kerahasiaannya oleh Dokter atau Dokter Gigi dan pimpinan sarana pelayanan kesehatan. Kemudian, Peraturan Menteri Kesehatan Nomor 269 tahun 2008 tentang Rekam Medis menyebutkan bahwa meskipun informasi tentang identitas, diagnosis, riwayat penyakit, riwayat pemeriksaan dan riwayat pengobatan pasien harus dijaga kerahasiaannya oleh klinisi, petugas pengelola dan pimpinan sarana kesehatan, namun informasi ini dapat dibuka antara lain untuk memenuhi permintaan aparatur penegak hukum atas perintah pengadilan dan memenuhi permintaan institusi/lembaga sesuai dengan ketentuan perundang-undangan. Permintaan tersebut harus disampaikan secara tertulis kepada pimpinan Rumah Sakit. Selain itu, Permenkes ini juga mengatur mengenai kepemilikan, manfaat dan tanggung jawab dalam mengelola Rekam Medis. Berkas rekam medis adalah milik sarana pelayanan kesehatan dan isinya yang berupa ringkasan rekam medis merupakan milik pasien. Ringkasan tersebut dapat diberikan, dicatat atau dicopy oleh pasien atau orang yang diberi kuasa atau atas persetujuan tertulis pasien atau keluarganya yang berhak untuk itu. Undang-undang Nomor 36 tahun 2009 menjelaskan mengenai perlindungan data Kesehatan pribadi pada pasal 57, bahwa:

  1. Setiap Orang berhak atas RAHASIA KONDISI KESEHATAN PRIBADINYA yang telah dikemukakan kepada penyelenggara Pelayanan Kesehatan.
  2. Ketentuan mengenai hak atas RAHASIA KONDISI KESEHATAN PRIBADI sebagaimana dimaksud pada ayat (1) TIDAK BERLAKU dalam hal :
  3. Perintah Undang-Undang
  4. Perintah Pengadilan
  5. Izin yang bersangkutan
  6. Kepentingan masyarakat
  7. Kepentingan orang tersebut.

Pasien adalah seorang konsumen atas jasa dari seorang dokter. Oleh karena itu, seorang pasien memiliki hak-hak seperti yang diatur dalam pasal 4 Undang-Undang no 8 Tahun 1999 atau Undang Undang Perlindungan Konsumen (UUPK), yang menyatakan bahwa pasien berhak atas kenyamanan, hak keamanan, hak keselamatan, hak memilih, hak informasi, hak didengar, hak mendapatkan advokasi, ha katas pelayanan yang tidak diskriminatif, hak mendapatkan ganti rugi dan hak yang diatur dalam perundang-undangan 2. Regulasi tersebut juga memberi mandat kepada Pemerintah untuk bertanggung jawab dalam menyelenggarakan kesehatan bagi masyarakat yang menjamin keamanan, keselamatan, dan keadilan bagi seluruh masyarakat.[34]

Undang Undang Nomor 24 Tahun 2013Sunting

Kebijakan terkait perlindungan data/informasi masyarakat juga diatur dalam pasal 1 angka 22 undang undang nomor 24 tahun 2013 yang berbunyi : “Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.”. sehubungan dengan hal tersebut, Negara melindungi privasi dan data penduduk masyarakat yang dijelaskan pada Pasal 28G ayat (1) UUD 1945 : “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”. dijelaskan lebih lanjut mengenai hak setiap penduduk pada pasal 22 Undang undang Adminduk yang berbunyi :

Setiap Penduduk mempunyai hak untuk memperoleh:

a. Dokumen Kependudukan;

b. Pelayanan yang sama dalam Pendaftaran Penduduk dan Pencatatan Sipil;

c. Perlindungan atas Data Pribadi;

d. Kepastian hukum atas kepemilikan dokumen;

e. Informasi mengenai data hasil Pendaftaran Penduduk dan Pencatatan Sipil atas dirinya dan/atau keluarganya; dan

f. ganti rugi dan pemulihan nama baik sebagai akibat kesalahan dalam Pendaftaran Penduduk dan Pencatatan Sipil serta penyalahgunaan Data Pribadi oleh Instansi Pelaksana.

penggunaan data pribadi masyarakat diatur dalam pasal 58 ayat (1) Peraturan Pemerintah nomor 40 tahun 2019 berbunyi :

Kementerian/lembaga dan badan hukum Indonesia yang memperoleh Data Pribadi Penduduk atau Data Kependudukan dilarang:

a. menggunakan Data Pribadi Penduduk atau Data Kependudukan melampaui batas kewenangannya; atau

b. menjadikan Data Pribadi Penduduk atau Data Kependudukan sebagai bahan informasi publik sebelum mendapat persetujuan dari Menteri.

Undang-Undang Nomor 37 Tahun 2007 Tentang Administrasi KependudukanSunting

Kebijakan terkait perlindungan data juga terdapat pada Peraturan Pemerintah nomor 37 tahun 2007. Tepatnya disebutkan pada pasal 79 yang berisi:

  1. Data dan dokumen kependudukan wajib disimpan dan dilindungi oleh negara.
  2. Menteri sebagai penanggung jawab memberikan hak akses kepada petugas pada Penyelenggara dan Instansi Pelaksana untuk memasukkan, menyimpan, membaca, mengubah, meralat dan menghapus, serta mencetak Data, mengkopi Data dan Dokumen Kependudukan.
  3. Ketentuan lebih lanjut mengenai persyaratan, ruang lingkup. dan tata cara mengenai pemberian hak akses sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Pemerintah.

Administrasi Kependudukan dalam UU 23 tahun 2006 tentang Administrasi Kependudukan adalah rangkaian kegiatan penataan dan penertiban dalam penerbitan dokumen dan Data Kependudukan melalui Pendaftaran Penduduk, Pencatatan Sipil, pengelolaan informasi Administrasi Kependudukan serta pendayagunaan hasileya untuk pelayanan publik dan pembangunan sektor lain. Negara Kesatuan Republik Indonesia berdasarkan Pancasila dan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 pada hakikatnya berkewajiban memberikan perlindungan dan pengakuan terhadap penentuan status pribadi dan status hukum atas setiap Peristiwa Kependudukan dan Peristiwa Penting yang dialami oleh Penduduk Indonesia yang berada di dalam dan/atau di luar wilayah Negara Kesatuan Republik Indonesia. Untuk memberikan perlindungan, pengakuan, penentuan status pribadi dan status hukum setiap Peristiwa Kependudukan dan Peristiwa Penting yang dialami oleh Penduduk Indonesia dan Warga Negara Indonesia yang berada di luar wilayah Negara Kesatuan Republik Indonesia, perlu dilakukan pengaturan tentang Administrasi Kependudukan. Penyelenggaraan Administrasi Kependudukan bertujuan untuk:

  1. memberikan keabsahan Identitas dan kepastian hukum atas dokumen Penduduk untuk setiap Peristiwa Kependudukan dan Peristiwa Penting yang dialami oleh Penduduk;
  2. memberikan perlindungan status hak sipil Penduduk;
  3. menyediakan data dan informasi kependudukan secara nasional mengenai Pendaftaran Penduduk dan Pencatatan Sipil pada berbagai tingkatan secara akurat, lengkap, mutakhir, dan mudah diakses sehingga menjadi acuan bagi perumusan kebijakan dan pembangunan pada umumnya;
  4. mewujudkan tertib Administrasi Kependudukan secara nasional dan terpadu; dan
  5. menyediakan data Penduduk yang menjadi rujukan dasar bagi sektor terkait dalam penyelenggaraan setiap kegiatan pemerintahan, pembangunan, dan kemasyarakatan.

Peraturan Pemerintah Nomor 37 Tahun 2007Sunting

Dalam Sistem Informasi Administrasi Kependudukan (SIAK) di Indonesia terdiri dari beberapa unsur seperti yang dijelaskan pada pasal 71, yaitu : database, perangkat teknologi informasi dan komunikasi, sumber daya manusia, pemegang hak akses, lokasi database, pengelolaan database, pemeliharaan database, pengamanan database, pengawasan database, data cadangan, perangkat pendukung, tempat pelayanan, pusat data, pusat data cadangan, dan jaringan komunikasi data. Pemeliharaan, pengamanan, dan pengawasan yang harus dilakukan meliputi data dalam database, perangkat keras, perangkat lunak, jaringan komunikasi data, pusat data, data cadangan, dan pusat data cadangan.

UndangUndang Nomor 10 Tahun 1998 tentang PerbankanSunting

Kebijakan perlindungan data terdapat pada sektor perbankan. Sebagai lembaga keuangan yang memiliki tanggung jawab yang besar, tenaga ahli yang profesional dan manajemen yang baik merupakan sebuah kewajiban bagi pihak bank demi tata kelola yang memuaskan para nasabah. Adapun tujuan manajemen dan tenaga ahli profesional yaitu sebagai bentuk usaha menumbuhkan kepercayaan masyarakat agar merasa yakin dan aman untuk pengelolaan keuangan. 96 Sebagaimana diatur dalam Peraturan Otoritas Jasa Keuangan Nomor: 1/POJK.07/2013 berkaitan dengan Perlindungan Konsumen Sektor Jasa Keuangan pada Bab 1 pasal 2 poin (d) menyebutkan “perlindungan konsumen menerapkan prinsip kerahasiaan dan keamanan data/informasi konsumen”. Pada pasal tersebut dilihat bahwa pihak nasabah (sebagai konsumen) mempunyai hak dalam perlindungan data pribadi mereka yang sebagaimana pihak bank berkewajiban melindungi serta menfasilitasi keamanan data nasabah.[35]

Dalam rangka menghindari terjadinya penyalahgunaan keuangan nasabah maka dibuatlah aturan khusus yang melarang bank untuk memberikan informasi tercatat kepada siapapun berkaitan dengan keadaan keuangan nasabah, simpanan dan penyimpanan sebagaimana diatur dalam Undang-Undang Nomor 10 Tahun 1998 tentang Perbankan kecuali dalam hal-hal tertentu yang disebutkan secara tegas di dalam undang-undang tersebut. Hal ini disebut dengan rahasia bank. Pasal 1 angka 28 UU No. 10 Tahun 1998 tentang Perubahan atas UU No. 7 Tahun 1992 tentang Perbankan (UU Perbankan) menyatakan bahwa Rahasia Bank adalah segala sesuatu yang dengan keterangan mengenai nasabah penyimpan dan simpanannya.[35] Selanjutnya dalam pasal 40 ayat (1) UU Perbankan disebutkan bahwa Bank wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya. Jadi, Bank wajib merahasiakan data simpanan dan nasabah penyimpannya. Dalam kewajiban Bank tersebut, masih terdapat pengecualian diantaranya:[36]

  1. Untuk kepentingan perpajakan, Pimpinan Bank Indonesia atas permintaan Menteri Keuangan berwenang mengeluarkan perintah tertulis kepada bank agar memberikan keterangan dan memperlihatkan bukti-bukti tertulis serta surat-surat mengenai keadaan keuangan Nasabah Penyimpan tertentu kepada pejabat pajak (Pasal 41 ayat 1 UU Perbankan)
  2. Untuk penyelesaian piutang bank yang sudah diserahkan kepada Badan Urusan Piutang dan Lelang Negara/Panitia Urusan Piutang Negara, Pimpinan Bank Indonesia memberikan izin kepada pejabat Badan Urusan Piutang dan Lelang Negara/Panitia Urusan Piutang Negara untuk memperoleh keterangan mengenai simpanan nasabah debitur (Pasal 41A UU Perbankan)
  3. Untuk kepentingan peradilan dalam perkara pidana, Pimpinan Bank Indonesia dapat memberikan izin kepada Polisi, Jaksa, atau Hakim untuk memperoleh keterangan dari bank mengenai simpanan tersangka atau terdakwa pada bank (Pasal 42 UU Perbankan)
  4. Dalam perkara perdata antara bank dengan nasabahnya, direksi bank yang bersangkutan dapat menginformasikan kepada pengadilan tentang keadaan keuangan nasabah yang bersangkutan dan memberikan keterangan lain yang relevan dengan perkara tersebut. (Pasal 43 Undang-Undang No. 7 Tahun 1992 tentang Perbankan)
  5. Dalam rangka tukar menukar informasi antar bank, direksi bank dapat memberitahukan keadaan keuangan nasabahnya kepada bank lain (Pasal 44 ayat 1 Undang-Undang No. 7 Tahun 1992 tentang Perbankan)
  6. Atas permintaan, persetujuan atau kuasa dari nasabah penyimpan yang dibuat secara tertulis, bank wajib memberikan keterangan mengenai simpanan nasabah penyimpan pada bank yang bersangkutan kepada pihak yang ditunjuk oleh nasabah penyimpan tersebut. (Pasal 44A ayat 1 UU Perbankan)
  7. Dalam hal nasabah penyimpan telah meninggal dunia, ahli waris yang sah dari nasabah penyimpan yang bersangkutan berhak memperoleh keterangan mengenai simpanan nasabah penyimpan tersebut (pasal 44A ayat 2 UU Perbankan)

Sebagaimana dalam Undang-Undang Nomor 8 Tahun 1999 Tentang Perlindungan Konsumen maka Bank Indonesia mengeluarkan Peraturan Bank Indonesia Nomor 7/7/PBI/2005 terkait Penyelesaian Pengaduan Nasabah dimana Bank wajib menyediakan dan menyelesaikan setiap pengaduan yang diajukan oleh pihak nasabah. Adapun mekanisme dan prosedur bentuk umum yang di tetapkan oleh Peraturan Bank Indonesia meliputi:[37]

  1. Penerimaan pengaduan;
  2. Penanganan dan penyelesaian pengaduan; dan
  3. Pemantauan penangan dan penyelesaian pengaduan.

ReferensiSunting

  1. ^ a b author., Whitman, Michael E., 1964-. Management of information security. ISBN 978-1-337-67154-5. OCLC 1242879603. 
  2. ^ De Lange, Joshua; Von Solms, Rossouw; Gerber, Mariana (2016-05). "Information security management in local government". 2016 IST-Africa Week Conference. IEEE. doi:10.1109/istafrica.2016.7530584. ISBN 978-1-905824-55-7. 
  3. ^ "Keamanan Informasi: Sudah Saatnya Kita Peduli". www.djkn.kemenkeu.go.id. Diakses tanggal 2021-06-13. 
  4. ^ "[PDF] OUA Assignment Cover Sheet - University of South Australia - Free Download PDF". nanopdf.com (dalam bahasa Inggris). Diakses tanggal 2021-06-13. 
  5. ^ Akraman, Robbi; Candiwan, Candiwan; Priyadi, Yudi (2018-10-24). "Pengukuran Kesadaran Keamanan Informasi Dan Privasi Pada Pengguna Smartphone Android Di Indonesia". JURNAL SISTEM INFORMASI BISNIS. 8 (2): 115. doi:10.21456/vol8iss2pp115-122. ISSN 2502-2377. 
  6. ^ Sari, Ika Yusnita, dkk (2020). Keamanan Data dan Informasi. Medan: Yayasan Kita Menulis. hlm. 55. ISBN 9786236761809. 
  7. ^ Amin, Mukhlis (Oktober 2014). "Pengukuran Tingkat Kesadaran Keamanan Informasi Menggunakan Multiple Criteria Decision Analysis (MCDA)". Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika. 5 (1): 18. 
  8. ^ a b Destya, Senie (2020-07-31). "Pengukuran Tingkat Kesadaran Keamanan Informasi Berdasarkan Behavior Dan Offence Scale". CESS (Journal of Computer Engineering, System and Science). 5 (2): 236. doi:10.24114/cess.v5i2.18206. ISSN 2502-714X. 
  9. ^ Visser, Arnoud (2011). "Thirtieth Annual Erasmus Birthday Lecture: Erasmus, the Church Fathers and the Ideological Implications of Philology". Erasmus of Rotterdam Society Yearbook. 31 (1): 7–31. doi:10.1163/027628511x597999. ISSN 0276-2854. 
  10. ^ Amin, Mukhlis (2014). "PENGUKURAN TINGKAT KESADARAN KEAMANAN INFORMASI MENGGUNAKAN MULTIPLE CRITERIA DECISION ANALYSIS (MCDA)". Jurnal Penelitian dan Pengembangan Komunikasi dan Informatika. 5 (1): 12–24. 
  11. ^ Jamaludin, Fauzan (4 September 2021). "Keamanan Siber Fondasi Transformasi Digital". Merdeka. Diakses tanggal 1 Desember 2021. 
  12. ^ RI, Oleh Humas Kemenko Polhukam. "Kemenko Polhukam Bahas Masalah Keamanan Siber Bersama Delegasi Rusia". polkam.go.id. Diakses tanggal 2021-12-01. 
  13. ^ Batmetan, John Reimon (2018-06-17). "Tingkat Kesadaran Privasi Atas Masalah Keamanan Informasi (Lack Of Security Awareness)". dx.doi.org. Diakses tanggal 2021-06-13. 
  14. ^ Akbar, Caesar (3 September 2021). "6 Kasus Kebocoran Data Pribadi di Indonesia". Tempo. Diakses tanggal 1 Desember 2021. 
  15. ^ Pebrianto, Fajar (2021-05-25). "Investigasi Kebocoran Data 279 Juta Penduduk Libatkan Polri, Kemenhan, hingga BIN". TEMPO.CO. 
  16. ^ a b c d e f Niffari, Hanifan (2020-06-30). "PERLINDUNGAN DATA PRIBADI SEBAGAI BAGIAN DARI HAK ASASI MANUSIA ATAS PERLINDUNGAN DIRI PRIBADI Suatu Tinjauan Komparatif Dengan Peraturan Perundang-Undangan Di Negara Lain". Jurnal Hukum dan Bisnis (Selisik). 6 (1): 1–14. doi:10.35814/selisik.v6i1.1699. ISSN 2685-6816. 
  17. ^ a b Arbella (2020). "Perbandingan Hukum Terhadap Perlindungan Data Pribadi Menurut Hukum Positif Indonesia dan General Data Protection Regulation (GDPR) Uni Eropa". 
  18. ^ Fathur, M (2020). "TANGGUNG JAWAB TOKOPEDIA TERHADAP KEBOCORAN DATA PRIBADI KONSUMEN". National Conference on Law Studies. 2 (1). 
  19. ^ BeritaSatu.com. "Survei: 41% Perusahaan Prioritaskan Pencegahan Kebocoran Data". beritasatu.com. Diakses tanggal 2021-06-13. 
  20. ^ Nadya, Rezwinda (2016-04-07). "Kebocoran Informasi, Penyebab dan Dampaknya". ITGID | IT Governance Indonesia (dalam bahasa Inggris). Diakses tanggal 2021-06-13. 
  21. ^ BeritaSatu.com. "Data Pribadi Bocor, Ini Risiko yang Mengintai". beritasatu.com. Diakses tanggal 2021-06-13. 
  22. ^ Indonesia, C. N. N. "6 Bahaya yang Intai Usai Kasus Data Bocor Tokopedia-Bukalapak". teknologi. Diakses tanggal 2021-06-13. 
  23. ^ a b "Ulasan lengkap : Perlindungan Hukum atas Privasi dan Data Pribadi Masyarakat". hukumonline.com/klinik (dalam bahasa Indonesia). Diakses tanggal 2021-06-13. 
  24. ^ Tsamara, Nadiah (2021-03-09). "Perbandingan Aturan Perlindungan Privasi Atas Data Pribadi Antara Indonesia Dengan Beberapa Negara". Jurnal Suara Hukum. 3 (1): 53. doi:10.26740/jsh.v3n1.p53-84. ISSN 2656-5358. 
  25. ^ Lau, Stephen (2000). "The Hong Kong personal data (privacy) ordinance". Proceedings of the tenth conference on Computers, freedom and privacy challenging the assumptions - CFP '00. New York, New York, USA: ACM Press. doi:10.1145/332186.332272. ISBN 1-58113-256-5. 
  26. ^ a b Yuniarti, Siti (2019-09-30). "PERLINDUNGAN HUKUM DATA PRIBADI DI INDONESIA". Business Economic, Communication, and Social Sciences (BECOSS) Journal. 1 (1): 147–154. doi:10.21512/becossjournal.v1i1.6030. ISSN 2686-2557. 
  27. ^ Priscyllia, Fanny (2019-11-21). "Perlindungan Privasi Data Pribadi dalam Perspektif Perbandingan Hukum". Jatiswara. 34 (3). doi:10.29303/jatiswara.v34i3.218. ISSN 2579-3071. 
  28. ^ W. Djafar, B. R. F. Sumigar and B. L. Setianti (2016). PERLINDUNGAN DATA PRIBADI DI INDONESIA. Jakarta: Lembaga Studi dan Advokasi Masyarakat (ELSAM). 
  29. ^ 1970-, Makarim, Edmon, (2003). Kompilasi hukum telematika. Divisi Buku Perguruan Tinggi, RajaGrafindo Persada. ISBN 979-421-973-8. OCLC 55286848. 
  30. ^ Assembly., United Nations. General. Report of the Special Rapporteur on the promotion and protection of the right to freedom of opinion and expression. OCLC 1005664760. 
  31. ^ ,, Sinta Dewi (2016-04-01). "KONSEP PERLINDUNGAN HUKUM ATAS PRIVASI DAN DATA PRIBADI DIKAITKAN DENGAN PENGGUNAAN CLOUD COMPUTING DI INDONESIA". Yustisia Jurnal Hukum (94). doi:10.20961/yustisia.v0i94.2780. ISSN 2549-0907. 
  32. ^ Rumlus, Muhamad Hasan; Hartadi, Hanif (2020-08-28). "Kebijakan Penanggulangan Pencurian Data Pribadi dalam Media Elektronik". Jurnal HAM. 11 (2): 285. doi:10.30641/ham.2020.11.285-299. ISSN 2579-8553. 
  33. ^ a b "Ulasan lengkap : Dasar Hukum Perlindungan Data Pribadi Pengguna Internet". hukumonline.com/klinik (dalam bahasa Indonesia). Diakses tanggal 2021-06-13. 
  34. ^ E. D. Suhardini. "PERLINDUNGAN HUKUM TERHADAP PASIEN SEBAGAI PENGGUNA JASA PELAYANAN RUMAH SAKIT SWASTA" (PDF). 
  35. ^ a b Bahagia, Bahagia; Rahayu, Sri Walny; Mansur, Teuku Muttaqin (2019-04-29). "Perlindungan Data Pribadi Nasabah Dalam Penawaran Transaksi Asuransi Oleh PT.Bank Negara Indonesia (Persero)". Syiah Kuala Law Journal. 3 (1): 18–34. doi:10.24815/sklj.v3i1.12108. ISSN 2580-9059. 
  36. ^ "Ulasan lengkap : Bolehkah Bank Memberikan Informasi Data Nasabah Kepada Bank Lain?". hukumonline.com/klinik (dalam bahasa Indonesia). Diakses tanggal 2021-06-13. 
  37. ^ Najmi, S (2014). "Pengikatan Jaminan Fidusia Oleh Kreditur Dalam Perjanjian Kredit Dan Akad Pembiayaan Di Kota Banda Aceh". Jurnal Ilmu Hukum Pascasarjana Universitas Syiah Kuala. 2 (1): 41.