Ketua Asosiasi Big Data Indonesia (ABDI) Rudi Rusdiah menyatakan bahwa regulasi Perlindungan Data Pribadi dalam bentuk undang-undang harus mampu menjamin perlindungan hak privasi setiap orang.
“Dalam skala yang lebih luas, perlindungan atas informasi pribadi akan memberikan dampak kepada keamanan negara dan warga negara. Setiap pola aktivitas warga negara melalui sistem daring merefleksikan kegiatan ekonomi suatu bangsa. Alasan ini juga meningkatkan kewaspadaan Pemerintah untuk melengkapi Indonesia dengan UU Perlindungan Data Pribadi,” jelasnya kepada KlikLegal pada Rabu (19/7) melalui surat elektronik.
Rudi berpendapat bahwa kerangka regulasi yang mengatur prinsip‐prinsip perlindungan data pribadi perlu memuat paling tidak 16 hal sebagai berikut:
Pertama, pengaturan mengenai siapa pihak-pihak yang terlibat, mulai dari data controller, pemilik data serta data processor. Ia menjelaskan bahwa data controller merupakan perorangan, korporasi, institusi atau lembaga yang melakukan pemprosesan data pribadi. Kemudian, pemilik data atau data subject merupakan individu yang memiliki data pribadi. Selain itu, outsourced provider atau data processor merupakan perorangan, korporasi, institusi atau lembaga yang melakukan pemprosesan data pribadi mewakili / atas nama data controller.
Kedua, adanya definisi yang jelas mengenai data pribadi. Menurut versi ABDI, data pribadi dapat diartikan sebagai informasi tentang seseorang yang memungkinkan seseorang dapat dikenali identitasnya, termasuk di dalamnya data yang bersifat sensitif seperti data kesehatan. Ketiga, adanya definisi yang jelas mengenai pemprosesan data pribadi, yakni proses untuk mengumpulkan, merekam, menggunakan, memindahkan, dan menghapus data pribadi.
Keempat, pengaturan mengenai tanggung jawab data controller (dan/atau data processor) dalam mengumpulkan data pribadi. Beberapa tanggung jawab itu, di antaranya, adalah mendapat persetujuan dari pemilik data pribadi (consent). Persetujuan harus mencantumkan informasi yang jelas mengenai tujuan dari pengumpulan data dan memiliki tujuan yang spesifik.
Selain itu, data controller (dan/atau data processor) juga harus menyediakan dan melakukan sistem perlindungan data pribadi yang terorganisir dan memiliki langkah-langkah teknis pengamanan yang sesuai untuk melindungi data pribadi dari kejadian atau pengrusakan, kehilangan, dan akses informasi dari pihak-pihak yang tidak memiliki otoritas/kewenangan, serta terjaminnya tingkat pengamanan yang memadai.
Kelima, pengaturan mengenai akurasi data, yakni bahwa data controller wajib menjaga akurasi data yang disimpan termasuk pada pemutahiran data. Keenam, pengaturan mengenai penyimpanan data pribadi. Menurut ABDI, data pribadi wajib disimpan sesuai tujuan dikumpulkannya data tersebut, kecuali diwajibkan disimpan untuk waktu yang lebih lama sesuai peraturan perundang ‐undangan yang berlaku.
Ketujuh, kewajiban bagi data controller untuk menyediakan informasi terkait dengan sistem proteksi, prosedur, informasi tentang data processor (jika menggunakan pihak ketiga) dan penanganan keluhan pelanggan. Informasi tersebut termasuk perihal pemindahan data ke luar yuridiksi Indonesia.
Kedelapan, larangan bagi data controller memindahkan data pribadi ke luar yurisdiksi Indonesia, kecuali negara penerima memiliki standar perlindungan data pribadi yang sama serta adanya persetujuan dari data subject. (Baca Juga: Ini Pandangan KADIN Jakarta Terhadap RUU Perlindungan Data Pribadi).
“Dalam kaitan kegiatan perekonomian yang berlangsung secara global dimana kemungkinan terjadi pemindahan data antar negara (cross‐border transfer) perlu dipersiapkan ketentuan Perlindungan Data Pribadi yang memperhatikan kepentingan keamanan dan kedaulatan negara,” jelas Rudi.
Sejalan dengan kegiatan ini, Rudi mengatakan regulator sekaligus juga dapat menentukan subyek dari pihak yang terkait dengan kegiatan perekonomian tersebut (e‐commerce) untuk kepentingan pencatatan subyek penerima manfaat dari kegiatan perekonomian tersebut di Indonesia dan kepentingan perpajakan.
Kesembilan, kewajiban data controller untuk memegang teguh asas kehati-hatian dalam memilih data processor yang membantu dalam memproses data pribadi. Kesepuluh, hak dari data subject untuk melihat data yang disimpan serta memilik hak untuk merevisi data pribadi sesuai dengan dokumen sah yang dimilikinya.
“Penghapusan data pribadi perlu diatur agar tidak bertentangan dengan kepentingan lain yang diatur dalam undang‐undang, misalnya pengusutan kasus hukum,” jelas Rudi.
Kesebelas, hak data subject untuk membatalkan persetujuannya dalam pengumpulan data pribadi, sepanjang tidak bertentangan dengan peraturan perundang‐undangan yang berlaku. “Data controller wajib menghapus data tersebut dan dilarang untuk menggunakannya kembali,” ujar Rudi.
Kedua belas, hak data subject untuk menolak setiap tujuan penggunaan data pribadi bagi kepentingan promosi (direct marketing). Ketiga belas, pengaturan yang memuat pengecualian terkait dengan kewajiban untuk memperoleh persetujuan dari data subject dalam pemprosesan data pribadi jika pemprosesan data pribadi tersebut diharuskan, di antaranya, (a) untuk melaksanakan kontrak dimana data subject adalah salah satu pihak;
(b) untuk melindungi kepentingan utama dari data subject; (c) terdapat hubungan yang relevan antara data subject dan operasional data controller; (d) untuk melindungi kepentingan kesehatan dari data subject atau kesehatan/keamanan masyarakat (public health/ Public safety) atau tindakan prefentif kesehatan;
(e) untuk kebutuhan investigasi atau kegiatan terkait hukum lainnya; (f) untuk melaksanakan peraturan perundang‐undangan; (g) dalam menanggapi situasi darurat, atau kepentingan nasional; (h) untuk tujuan riset termasuk kegiatan sejarah dan riset statistik sejauh data subject tidak dapat dikenali identitasnya; (i) jika informasi data pribadi telah dipublikasikan; (j) untuk tujuan kepentingan pribadi.
Keempat belas, pengaturan mengenai sistem untuk menunjang perlindungan data pribadi. Rudi menyarankan regulator perlu menetapkan standar teknis yang menjamin tersedianya langkah‐langkah perlindungan data pribadi untuk menghindari akses data pribadi oleh pihak‐pihak yang tidak berwenang, baik perlindungan secara fisik (administrasi, prosedur, pengamanan fisik) dan non fisik (IT system security).
“Selain itu, regulator perlu menetapkan rambu-rambu dalam penggunaan data pribadi untuk keperluan promosi (direct marketing) yang berlaku bagi penyelenggara telekomunikasi maupun mitra kerja, dan prosedur penanganan keluhan pelanggan,” ujarnya.
Kelima belas, kewajiban setiap data controller memiliki organisasi yang khusus memonitor ketaatan data controller terhadap kebijakan perlindungan data pribadi. Keenam belas, kewajiban setiap data controller untuk melakukan edukasi kepada pelanggannya dalam memberikan persetujuan pemprosesan data pribadi dan memahami prosedur keluhan pelanggan.
Rudi berharap RUU Perlindungan Data Pribadi segera dibahas dan diberlakukan. “Hal demikian diperlukan untuk meminimalisir terjadinya berbagai macam penyalahgunaan data pribadi yang semakin banyak terjadi akibat belum adanya aturan yang khusus mengatur mengenai hal tersebut,” tukasnya.
