Sinkronisasi Pelindungan Data Pribadi

Jakarta - Rapat Kerja Komisi I DPR dengan Menteri Komunikasi dan Informatika (Menkominfo) pada 25 Februari mengundang tanda tanya. Rapat itu tidak dihadiri oleh Menteri Dalam Negeri dan Menteri Hukum dan HAM. Padahal, kedua menteri tersebut termasuk menteri yang ditugaskan Presiden mewakili pemerintah dalam membahas Rancangan Undang-Undang tentang Pelindungan Data Pribadi (RUU PDP) sesuai Surat Presiden Nomor R-05/Pres/01/2020 tanggal 24 Januari 2020.

Situasi itu janggal karena rapat tersebut merupakan awal Pembicaraan Tingkat I. Sesuai Undang-Undang Nomor 17 Tahun 2014 Pasal 170 ayat 2 huruf d, "Presiden memberikan penjelasan dan fraksi memberikan pandangan jika rancangan undang-undang berasal dari Presiden." Oleh karena RUU PDP berasal dari Presiden, dan Presiden pun telah menugaskan ketiga menteri untuk mewakilinya, maka ketiga menteri seharusnya hadir dan memberikan penjelasan sesuai tugas pokok, fungsi, dan kewenangan kementerian masing-masing.

Terlebih, setelah Menkominfo membacakan keterangan pemerintah, saya yang memantau langsung rapat juga tidak melihat ada pejabat lain dari kedua kementerian tersebut untuk menambahkan penjelasan pemerintah. Padahal, materi RUU PDP mencakup materi yang dikandung undang-undang lain dan dilaksanakan oleh kementerian lain, utamanya Kemendagri, seperti UU UU Administrasi Kependudukan (Adminduk) dan UU Pemilu.

Tanpa harmonisasi politik hukum dan kebijakan eksekutif di pemerintahan maupun rumusan undang-undang, implementasi pelindungan data pribadi dapat terhambat. Nilai strategis RUU PDP sudah terlihat dari judulnya Pelindungan, bukan Perlindungan. Menurut Badan Pengembangan dan Pembinaan Bahasa Indonesia, perlindungan berarti tempat berlindung, sedangkan pelindungan berarti perihal melindungi yang menunjukkan ada pihak-pihak yang aktif melindungi, salah satunya pemerintah.

Masalahnya, setakat ini sebagian data pribadi penduduk Indonesia sudah diselenggarakan dan dikelola oleh Kemendagri sesuai UU Nomor 23 Tahun 2006 yang kemudian diubah dengan UU Nomor 24 Tahun 2013 tentang Adminduk. Penanggung jawab pengelolaan dan pelindungan data pribadi adalah Mendagri (Pasal 1 Angka 5) dan memberikan hak akses data pribadi kepada petugas provinsi dan petugas instansi pelaksana (Pasal 86). Padahal, dalam Pasal 1 Angka 9, serta Pasal 58 ayat 1 dan 2 RUU PDP pelaksanaan pelindungan data pribadi di tangan Menkominfo.

Masalah yang lebih signifikan adalah perbedaan rumusan jenis data pribadi yang harus dilindungi. Menurut UU Adminduk Pasal 84 hasil perubahan, data pribadi yang harus dilindungi adalah keterangan tentang cacat fisik dan/atau mental, sidik jari, iris mata, tanda tangan, dan elemen data lainnya yang merupakan aib seseorang. Sebelumnya mencakup nomor kartu keluarga (KK), nomor induk kependudukan (NIK), tanggal/bulan/tahun lahir, keterangan tentang cacat fisik dan/ atau mental, NIK ibu kandung, NIK ayah, dan beberapa isi catatan peristiwa penting.

Bandingkan dengan rumusan RUU PDP Pasal 3. Data pribadi dibedakan menjadi data yang bersifat umum dan spesifik. Data pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Dalam penjelasan disebutkan, data pribadi kombinasi antara lain nomor telepon seluler. Selanjutnya, data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, kehidupan/ orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi (tabungan, deposito, data kartu kredit dan lain-lain), dan data lainnya sesuai dengan ketentuan perundang-undangan.

Secara tersirat, rumusan UU Adminduk dan RUU PDP mengeluarkan data NIK dan nomor KK dari daftar data pribadi pribadi yang harus dilindungi. Padahal, dengan mengetahui NIK dan nomor KK, data lengkap penduduk dapat diketahui. Hal itu karena saat perekaman data penduduk, banyak sekali data penduduk yang dikumpulkan Kemendagri dan jajaran pemda, termasuk petugas kelurahan serta Dinas Kependudukan dan Catatan Sipil (Dukcapil). Misalnya, alamat, nomor telepon seluler, iris mata, sidik sepuluh jari lengkap, foto wajah, pendidikan, nama ayah dan ibu, nomor paspor dan sebagainya.

Kemendagri dan jajaran pemda dapat berkilah mereka mampu melindungi berbagai data tersebut, misalnya melalui penapisan data yang dapat diakses setelah mengetahui NIK dan nomor KK. Namun, penggunaan perusahaan rekanan, termasuk asing, dalam pengolahan dan penyimpanan data tersebut, yang sebagian terjadi di masa lalu, menciptakan risiko kebocoran data pribadi penduduk. Risiko serupa juga muncul saat registrasi nomor seluler penduduk yang dijalankan perusahaan penyedia layanan seluler. Hingga kini banyak kasus kejahatan dengan memanfaatkan data pribadi penduduk, termasuk pembobolan simpanan seorang tokoh media terkenal belum lama ini.

Keterlibatan Kemendagri dan institusi eksekutif lain juga penting saat menyandingkan RUU PDP dengan UU Nomor 7 Tahun 2017 tentang Pemilu. Data pribadi penduduk berisiko bocor karena Daftar Pemilih Sementara, Daftar Pemilih Sementara Hasil Perbaikan, dan Daftar Pemilih Tetap diumumkan terbuka kepada masyarakat dan peserta pemilu (partai politik, calon anggota DPD, pasangan calon presiden-wapres). Daftar tersebut paling sedikit memuat NIK, nama, tanggal lahir, jenis kelamin, dan alamat (Pasal 202-207 UU Pemilu). Situasinya mirip dalam pelaksanaan pilkada tahun ini berdasarkan UU Pilkada.

Risiko serupa juga muncul saat pengumpulan dukungan untuk bakal calon Anggota DPD karena harus mengumpulkan fotokopi KTP (Pasal 260). Jumlahnya seribu hingga 5.000 KTP sesuai jumlah penduduk untuk dapat ditetapkan sebagai Calon Anggota DPD. Padahal, dalam KTP terdapat beberapa data pribadi yang harus dilindungi menurut rumusan RUU PDP.

Merujuk pada RUU PDP soal definisi pengendali dan pemroses data pribadi, KPU dan jajarannya dapat disebut pengendali dan pemroses sekaligus. Namun, bakal calon anggota DPD, apalagi tim suksesnya, bukan keduanya. Mereka ikut menyimpan data penduduk, padahal tidak semuanya lolos jadi calon.

Kompleksitas pengelolaan data pribadi bahkan sudah muncul sejak proses pendaftaran partai politik sebagai peserta pemilu. Misalnya, partai harus mendaftarkan minimal seribu anggotanya dengan data serupa (Pasal 177). Ini berarti daftar berisi data pribadi penduduk berkali-kali diumumkan terbuka dan dibagikan ke berbagai pihak.
Oleh karena itu, pemerintah dan DPR harus membahas RUU PDP dengan sebaik-baiknya, dan melibatkan semua kementerian/ lembaga atau komisi yang terpengaruh dengan pelindungan data pribadi.

Bila semua institusi penyelenggara negara/daerah sudah beres dalam pelindungan data pribadi, pemerintah dan DPR dapat menyerap aspirasi dunia swasta, seperti pemberian akses kepada pemilik data pribadi, termasuk rekam jejak pemrosesan, maksimal 3x24 jam yang dinilai terlalu singkat, atau monetisasi data yang kredibel dan tidak merugikan pemilik data/masyarakat.

Fahmi Alfansi P Pane alumnus Universitas Pertahanan Indonesia, tenaga ahli DPR

(mmu/mmu)