(22/08) Data pribadi 17 juta pelanggan PT. Perusahaan Listrik Negara (PLN) yang diduga mengalami kebocoran. Kebocoran data pribadi diduga terjadi kepada para pelanggan PLN dan Indonesia Digital Home (IndiHome), data yang diduga bocor merupakan data lama yang dipasarkan di situs peretas atau hacker. Dalam deskripsinya, Penjual data pribadi menyebutkan data yang dijual termasuk informasi mengenai ID pelanggan, nama konsumen, alamat konsumen, hingga informasi besarnya penggunaan listrik dalam kWh dan tipe energi.
Di sisi lain, IndiHome, selaku penyedia layanan paket internet dan telepon dari PT. Telkom Indonesia (Persero) Tbk. mengalami kebocoran data sebanyak 26 juta riwayat pencarian. Tidak berbeda dengan kebocoran yang dialami PLN, data yang tersebar adalah nama dan Nomor Induk Kependudukan (NIK) pelanggan. Kondisi kebocoran data pribadi inipun bukanlah yang pertama kali.
Jika kita runut ke belakang, peristiwa serupa sebelumnya, peristiwa serupa juga pernah terjadi beberapa kebocoran data pribadi pada beberapa situs milik pemerintah seperti: Daftar Pemilih Tetap (DPT) Pemilu 2014, BPJS, eHAC, selain itu terjadi pada penyelenggaraan aplikasi pinjaman online. Sampai berita ini meluas, pemerintah melalui Direktur Jenderal Aplikasi Informatika Semuel A. Pangerapan akan melakukan pemanggilan terhadap manajemen PLN dan IndiHome.
- Baca juga: “LBH Jakarta Terima 182 Pengaduan Masyarakat yang Dirugikan Kebijakan Permenkoinfo No. 5 Tahun 2020”
Melihat permasalahan di atas, LBH Jakarta menilai:
Pertama, perlindungan data pribadi adalah bagian dari HAM yang bersifat kodrati, serta harus dilindungi secara kolektif, terutama oleh negara sebagai penegak HAM. Perlindungan terhadap data pribadi ini merupakan suatu hal yang fundamental, sebagaimana diatur dalam Pasal 28G ayat (1) UUD NRI 1945 dan Pasal 29 ayat (1) UU HAM. Perlindungan data pribadi ini berkaitan juga dengan hak atas privasi oleh karena penyebarluasan data pribadi seseorang tanpa izin merupakan pelanggaran terhadap hak atas privasi seseorang pula. Hal ini mencerminkan sifat dari HAM yang interdependensi antara hak asasi satu dan lainnya. Terlebih lagi, hak atas perlindungan data pribadi juga ditegaskan dalam Pasal 17 Kovenan Internasional Hak Sipil dan Politik, dan Komentar Umum 16 Kovenan Internasional Hak Sipil dan Politik.
Kedua, kasus kebocoran data pribadi telah melanggar hak atas perlindungan data pribadi warga negara. Celakanya, apabila dilihat pada data dalam tiga tahun terakhir, setidaknya, terdapat lebih dari 10 kasus kebocoran data pribadi yang melibatkan instansi pemerintah atau perusahaan besar. Kebocoran ini didukung dengan meningkatnya pengguna internet dan perubahan pola konsumen yang memilih memanfaatkan teknologi informasi sebagai tempat jual beli (electronic transaction), bahkan bersifat lintas negara (cross border data flow). Akan tetapi, perkembangan teknologi informasi ini tidak beriringan dengan perlindungannya.
Dalam lingkup yang lebih khusus (perlindungan konsumen), kebocoran data tersebut merupakan bentuk pelanggaran hak konsumen, sebagaimana diatur dan dijamin dalam Pasal 4 angka 1 UU Perlindungan Konsumen;
Ketiga, minimnya jaminan atas ketidak berulangan kasus-kasus kebocoran data pribadi. Permasalahan ini kerap kali disepelekan, padahal sudah menjadi peran pemerintah untuk bertanggung jawab menjamin ketidak berulangan kasus-kasus kebocoran data yang sangat merugikan bagi masyarakat. Pembelajaran buruk bagi pemerintah dapat kita lihat dalam penegakan hukum bagi pelaku penyebaran data pribadi pada kasus pinjaman online yang tidak pernah ditindak secara pidana, padahal sudah jelas diatur dalam Pasal 32 UU ITE;
Keempat, sampai saat ini belum ada undang-undang spesifik yang mengatur mengenai perlindungan data pribadi di Indonesia. Sumber utama hukum terkait pengelolaan informasi dan transaksi elektronik hanya mengacu pada UU ITE dan PP No. 82 Tahun 2012 tentang Penyelenggaraan Sistem Transaksi Elektronik. Kemudian, jika merujuk pada Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, Kemenkominfo mengembalikan kepada Penyelenggara Sistem Elektronik (PSE) terkait perlindungan data pribadi dalam aturan internalnya sendiri. Ketentuan hukum tersebut belum dapat mengakomodasi permasalahan yang timbul akibat kebocoran data pribadi seseorang di masyarakat sehingga dapat dilihat bahwa perlindungan data pribadi masyarakat di Indonesia yang berkaitan dengan pemenuhan hak privasi belum dilakukan secara optimal;
Kelima, mengingat Rancangan Undang-Undang Perlindungan Data Pribadi (“RUU PDP”) sangatlah dibutuhkan bagi masyarakat untuk memastikan perlindungan keamanan data pribadi, selain itu penting pula untuk mengatur beberapa hal, diantaranya mengenai ancaman pidana/tanggung jawab hukum pelaku penyebaran data pribadi.
Kemudian, menyoal mekanisme pengawasan dan pengendalian keamanan data pribadi yang harus independen dan harus diberikan kepada otoritas publik independen (independent body) seperti praktik di negara-negara Uni Eropa, yang sudah ditegaskan pula oleh Majelis Umum PBB (UN General Assembly) melalui Resolusi Majelis Umum 68/167 di tahun 2014, yang menyerukan kepada semua negara anggota PBB untuk mendirikan atau mempertahankan suatu badan supervisi independen. Sehingga, pemerintah tidak menjadi aktor tunggal sebagai pengawas, regulator, dan pengendali data pribadi.
Harapannya, Pemerintah dan DPR tidak berkompromi dan bersepakat untuk menempatkan badan otoritas berada di bawah Presiden. Terakhir, RUU PDP harus juga memuat pengaturan mengenai mekanisme pemulihan yang efektif bagi korban kebocoran data pribadi (hak-hak subjek data);
Keenam, kebocoran data pribadi seringkali melanggar hak-hak perempuan. Di banyak kasus, seperti halnya kasus pinjaman online, tak sedikit intimidasi, ancaman kekerasan yang dilakukan oleh pelaku usaha pinjaman online kepada konsumen, khususnya perempuan konsumen, yang dilakukan dengan melecehkan, menerror, menakut-nakuti sampai ke tempat kerja perempuan konsumen hingga terlanggar hak atas pekerjaannya. Masalah ini pun berpotensi erat dengan masalah Kekerasan Berbasis Gender Siber yang tentunya akan melanggar hak atas rasa aman perempuan yang rentan sebagai korban kekerasan.
Keenam, Bagi masyarakat yang menjadi korban kebocoran data pribadi dapat menempuh upaya hukum alternatif diantaranya gugatan perbuatan melawan hukum terhadap pemerintah yaitu terhadap Kemenkominfo selaku pihak yang memiliki kewenangan pengawasan, dan gugatan terhadap korporasi plat merah sebagai pihak yang bersalah dalam menyimpan dan melindungi kerahasiaan data pribadi dan hak privasi para pelanggannya sebagaimana diatur dalam Pasal 1 ayat 22 UU Administrasi Kependudukan Jo. Pasal 1 angka 20 PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik Jo. Pasal 1 angka 1 Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Berdasarkan hal-hal tersebut diatas LBH Jakarta mendesak:
- Presiden RI dan DPR RI segera mengesahkan dan melaksanakan pembahasan dengan partisipasi yang bermakna (meaningful participation) terhadap RUU PDP sebagai payung hukum perlindungan data pribadi, serta memastikan mengakomodir ancaman pidana/tanggung jawab hukum, pelaku penyebaran data pribadi, mekanisme pengawasan dan pengendalian independen, dan mekanisme pemulihan yang efektif bagi korban dengan memberikan hak-hak subjek data;
- Presiden RI dan DPR RI memberikan kewenangan pengawasan dan pengendalian keamanan data pribadi kepada badan otoritas yang independen untuk mencegah kerentanan penyalahgunaan dalam kepentingan politik;
- Presiden RI dan Kementerian Komunikasi dan Informatika menjamin adanya ketidak berulangan terjadinya kebocoran data pribadi dengan menindak tegas pelanggaran hukum yang dilakukan oleh pelaku penyebaran data pribadi; serta memberikan “right to erasure (right to be forgotten)” kepada korban (subjek data);
- PLN dan Telkom Indonesia memberikan kompensasi, rugi dan/atau penggantian apabila kebocoran data pribadi benar-benar terjadi kepada para pelanggan.
Jakarta, 25 Agustus 2022
Hormat kami,
Lembaga Bantuan Hukum (LBH) Jakarta
Dukung layanan bantuan hukum gratis dengan berdonasi ke SIMPUL LBH Jakarta melalui www.donasi.bantuanhukum.or.id, kami butuh bantuanmu.
