Masifnya segala hal yang saat ini berbentuk online – seperti transaksi dan kebutuhan informasi – juga menimbulkan peningkatan kerentanan dari sisi keamanan. Pada April 2020, data jutaan pengguna Tokopedia bocor. Pada Juni 2020, data pasien COVID-19 juga bocor. Pada pekan ini, terdapat laporan bahwa data pribadi Denny Siregar – penulis dan penggiat media sosial – juga bocor.
Kebocoran data bukanlah perihal yang enteng. Keamanan data dianggap serius dan banyak tokoh hingga parpol mendorong pemerintah untuk mengambil langkah tegas seperti agar segera mengesahkan RUU Perlindungan Data Pribadi (PDP). RUU ini sudah lama digagas sejak 2012, dengan harapan kasus kebocoran data tidak terulang.
Pengaturan dan Poin Penting RUU
Secara garis besar, RUU mengatur beberapa hal, yakni: Definisi Data Pribadi; Macam Data Pribadi; Pihak yang Bersangkutan; Kewajiban Data Controller, Data Processor, dan Hak Data Owner; dan Sanksi. Berikut sedikit gambarannya.
Mudahnya, dalam Pasal 1 angka 1, Data Pribadi adalah setiap data tentang seseorang yang teridentifikasi dan/atau dapat diidentifikasi baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non-elektronik.
Macam Data Pribadi
Pasal 3 ayat (2) menyebut Data Umum mencakup nama lengkap; jenis kelamin; kewarganegaraan; agama; dan/atau Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Pasal 3 ayat (3) menyebut Data Sensitif mencakup data dan informasi kesehatan; data biometrik; data genetika; kehidupan/orientasi seksual; pandangan politik; dll. Kesensitifan data ini dikarenakan seseorang dapat diidentifikasi hal-hal sensitif seumur hidupnya (seperti riwayat kesehatan), sehingga dapat kerap menjadi sumber permasalahan stigmatisasi, diskriminasi, dan eksklusivisme.
Pihak dalam RUU PDP
Terdapat tiga pihak penting yang dijelaskan dalam Pasal 1, yakni:
- Data Owner, atau pemilik data pribadi tersebut;
- Data Controller, atau pihak yang memiliki control atau pengendalian atas data milik Data Owner guna memroses data tersebut
- Data Processor, atau pihak yang memroses data milik Data Owner.
Dalam hal pelaksanaan fungsi perlindungan data pribadi, terdapat pihak yang disebut sebagai Pejabat atau Petugas yang ketentuannya dalam pelaksanaan fungsi perlindungan data pribadi diatur dalam Pasal 45 dan 46.
Kewajiban Data Controller, Data Processor, dan Hak Data Owner
Pasal 4 hingga Pasal 16 yang mengatur hak Data Owner seperti dalam Pasal 4, Data Owner memiliki hak untuk meminta informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi, dll.
Kewajiban Controller terdapat dalam Pasal 24 hingga 42. Bentuk kewajibannya seperti memberi informasi tentang legalitas, tujuan, dll. untuk mendapat persetujuan pemrosesan data, dll.
