Pernahkan anda tiba-tiba mendapatkan telepon dari telemarketing padahal anda tidak pernah merasa menyebarluaskan nomor telepon secara sembarangan? Atau muncul SMS spam menawarkan pinjaman, judi online, dan lain-lain? Jika pernah, selamat anda tidak sendiri.

Bagaimana bisa pihak tertentu mendapatkan informasi seperti itu? Lalu, apabila informasi yang remeh seperti nomor telepon dapat mereka ketahui, tentunya ada kemungkinan data pribadi kita yang lain pun dapat diketahui. Seperti nama, tanggal lahir, alamat email, nomor KTP, hingga nomor telepon.

Kejadian seperti ini telah terjadi sedari dulu. Apalagi kita sudah tak asing lagi dengan memasukkan data pribadi ke website yang memiliki banyak data penggunanya. Contohnya email, media sosial, bank, pemerintahan, dan lain-lain. Data ini lah yang berusaha dibobol oleh pihak tertentu yang salah satu tujuannya mengambil keuntungan. Dengan kata lain pencurian data. Data pribadi ini bisa dijual, ke institusi tertentu atau bisa juga ke dark web.

Contoh kebocoran data pribadi yang sangat merugikan dapat kita lihat pada kasus yang menimpa Ilham Bintang pada 4 Januari 2020 lalu. Simcard miliknya dibobol pihak tertentu sehingga pembobol dapat menguras isi rekening pribadi wartawan senior itu. Coba anda bayangkan jika mengalami kejadian serupa. Simcard anda diklaim orang lain, kemudian orang tersebut menggunakan handphone lain untuk login ke seluruh data digital anda untuk disalahgunakan.

Lalu ketika anda ingin mengurus proses klaim balik terhadap data simcard, rekening, dan lain lain, harus dilakukan secara terpisah. Mengurus simcard harus ke gerai operator. Mengurus rekening harus ke Bank. Mengurus data kependudukan yang diperlukan untuk mengurus simcard dan rekening, harus ke Dukcapil. Belum lagi pengurusannya memerlukan surat hilang yang harus diurus ke Kepolisian.

Oleh karena itu, bersamaan dengan kasus Ilham Bintang yang tampak rumit, Kominfo yang dipimpin politikus NasDem Johnny G Plate memanfaatkannya untuk mendorong Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) dan telah diserahkan Presiden Jokowi ke DPR RI sejak 24 Januari 2020.

Sumber : Kominfo[RUU PDP]

RUU PDP diajukan Pemerintah ke DPR sebagai landasan hukum tentang perlindungan data pribadi di Indonesia. Ia menawarkan konsep satu pintu seperti diurai pada pasal 3 – 14 yang memaparkan data pribadi baik umum maupun spesifik yang mencakup :
1. Data Pribadi Umum
a. Nama Lengkap
b. Jenis Kelamin
c. Kewarganegaraan
d. Agama
e. Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang

2. Data Pribadi Spesifik/Khusus
a. Data dan informasi kesehatan
b. Data biometric
c. Data genetika
d. Kehidupan/orientasi seksual
e. Pandangan politik
f. Catatan kejahatan
g. Data anak
h. Data keuangan pribadi
i. Data lain sesuai ketentuan perundang-undagan

3. Hak Pemilik Data Pribadi
a. Hak memperoleh kejelasan data pribadi
b. Hak melengkapi data pribadi
c. Hak mendapat akses data pribadi
d. Hak mengubah data pribadi
e. Hak mengakhiri dan menghapus data pribadi
f. Hak membatalkan proses atas data pribadi
g. Hak menentukan proses atas data pribadi berdasarkan pseudonym
h. Hak menuntut dan menerima ganti rugi atas pelanggaran data pribadi

Ketika melihat RUU PDP hingga titik ini, maka kita bisa menilai bahwa pemilik data pribadi lebih diuntungkan. Sebab, seseorang memgang sistem satu pintu atas seluruh data pribadi miliknya.

Akan tetapi, ada persoalan genting yang tertuang pada pasal 16 RUU PDP. Pasal itu mengurai secara gamblang bahwasannya  seluruh hak pemilik data pribadi (seperti yang telah diurai sebelumnya), menjadi tidak berlaku untuk kepentingan :

1. Pertahanan dan Keamanan Nasional (Hankam)
2. Proses Penegakan Hukum (Gakkum)
3. Penyelenggaraan Negara
4. Pengawasan sektor keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan
5. Agregat data yang pemrosesannya ditujukan untuk kepentingan statistik dan peneilitian ilmiah

Poin 1 dan 2 tentang hak pribadi tidak berlaku untuk kepentingan Hankam dan Gakkum telah berlaku seperti apa adanya saat ini, tanpa RUU PDP. Oleh karena itu substansi dari RUU PDP adalah liberalisasi alias melonggarkan akses data pribadi yang telah diintegrasi menjadi satu pintu, oleh poin 3, 4, dan 5. Yakni demi kepentingan penyelenggaraan negara, kepentingan sektor keuangan, dan kepentingan agregat data.

Lantas mengapa? apa akibatnya bagi keamanan data pribadi?

Koordinator Riset Imparsial Ardi Manto Adiputra mengadakan diskusi daring yang menarik bertajuk RUU Perlindungan Data Pribadi: Antara Kebebasan dan Keamanan pada 28 Agustus 2020 lalu. Ia menyebutkan RUU PDP berpotensi menimbulkan penyalahgunaan data pribadi warga oleh lembaga negara. Sebab, data warga negara yang bersifat tetap atau agregat dapat diakses oleh perusahaan-perusahaan tak hanya dari dalam negeri, tapi juga dari luar negeri. Dengan kata lain, data pribadi satu pintu RUU PDP dapat dislaahgunakan untuk kepentingan ekonomi.

Penyalahgunaan data pribadi juga dapat dilakukan demi kepentingan politik. Ardi khawatir, ketika data pribadi ini diserahkan semuanya pada negara, misalnya Kominfo, akan menyebabkan penyalahgunaannya semakin besar. Kita harus ingat, lembaga negara atau institusi memiliki agresi politik.

Sumber : Kompas [Kritik RUU PDP, Imparsial: Ada Potensi Penyalahgunaan Data Pribadi oleh Negara]

Berdasarkan paparan dari Imparsial tersebut, maka kita dapat mengambil contoh kemungkinan penyalahgunaan data pribadi secara legal.

Contoh pertama yakni kepentingan ekonomi. Andaikan sebuah Payment Gateway ingin mengembangkan pasar dan konsumennya. Payment Gateway tersebut membutuhkan data pribadi calon konsumen baru. Secara kebetulan, Payment Gateway ini memiliki kerja sama strategis dengan Telkomsel, Kementerian BUMN, atau Bank BUMN. Dengan adanya relasi strategis antara korporasi swasta dan BUMN, maka pihak Payment Gateway dapat mengakses secara bebas data pribadi calon konsumennya atas nama kepentingan sektor keuangan dan kepentingan agregat data.

Contoh kedua, yakni penyalahgunaan RUU PDP demi kepentingan politik. Tidak perlu jauh-jauh, kita ambil contoh saja dari Menkominfo Johnny G Plate yang berasal dari NasDem. NasDem diproyeksikan menjadi partai besar di 2024 sebagai dampak berakhirnya kepemimpinan Jokowi. Sepeninggal Jokowi, PDIP diperkirakan kesulitan regenerasi. Oleh karena itu, ada basis pemilih milenial dan pemilih strategis Jokowi yang dapat direbut NasDem. Partai pimpinan Surya Paloh ini bisa saja memanfaatkan posisi Menkominfo Plate dan Program Riset ilmiah pemerintah untuk pemilu, demi mengumpulkan data pribadi kader-kader PDIP pro Jokowi. Data tersebut dapat digunakan untuk memilih kader strategis yang harus dibajak (baik terkait relasi keluarga, uang, dan sebagainya yang disediakan oleh sistem data pribadi satu pintu RUU PDP).

Ada pula contoh kepentingan politik yang paling kasar adalah apabila hak data pribadi dilanggar demi kepentingan pemerintah untuk membungkam pihak yang beroposisi dengan pemerintah. Dengan adanya RUU PDP, pemerintah bisa mengetahui pihak mana yang beroposisi serta relasinya.

Berdasarkan paparan di atas, kita pun dapat ambil kesimpulan. Jangankan menjamin hak pemilik data pribadi, RUU PDP justru menyebabkan liberalisasi alias pelonggaran dan komersialisasi data pribadi rakyat ke sektor politik dan swasta dengan dalih kepentingan penyelenggaraan negara, keuangan, dan agregat data oleh pemerintah.

RUU PDP hanya cara legal untuk mengembalikan monopoli politik dan swasta yang memiliki kedekatan dengan pemerintah.

Kita harus ingat, tanpa RUU PDP sekalipun, sistem satu pintu data pribadi terintegrasi dapat diwujudkan dengan tetap mempertahankan bahwa hak pemilik data pribadi tidak berlaku hanya atas nama Hankam dan Gakkum.

Bukannya menciptakan pengawasan ketat pada penggunaan data pribadi yang dioperasikan demi kepentingan Hankam dan Gakkum, RUU PDP justru menambah pintu bagi siapa saja yang boleh mengakses dan membatalkan hak pemilik data pribadi demi kepentingan pemerintah, keuangan, dan aggregator.

RUU PDP tak akan menciptakan lembaga pengawasan penggunaan data pribadi satu pintu yang dapat mengawasi monitoring data pribadi warga oleh Hankam dan Gakkum. Ia hanya akan menciptakan jumlah tangan yang dapat mengakses dan membatalkan hak pemilik data pribadi.

RUU PDP hanya akan memperlemah hak pemilik data pribadi dalam mengendalikan kepemilikannya.


Oleh karena itu, apabila RUU PDP ingin mengintegrasikan data pribadi dan memberikan hak lebih kepada pemilik data pribadi, maka pasal 16 harus menghapus ayat 3, 4, dan 5. Selanjutnya, RUU PDP cukup menambahkan perlunya lembaga pengawasan penggunaan data pribadi apabila data itu diperlukan demi kepentingan Hankam dan Gakkum.