Implementasi UU Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi dalam Keamanan Transfer Data di Era Digital

BAB I 

PENDAHULUAN

Latar Belakang 

Berkembangnya teknologi informasi dengan sangat pesat menjadi salah satu aspek yang cukup berpengaruh di dalam kehidupan sehari-hari manusia. Di era sekarang, kehidupan manusia tidak terlepas dari internet di dalam kesehariannya. Mulai dari sekedar berbelanja, membeli makanan, bahkan memesan ojek pada saat ini dapat dilakukan secara daring. Adanya Covid-19 yang terjadi pada 2019 silam juga menjadi salah satu keadaan yang mempercepat proses digitalisasi di dunia karena pada saat itu semua hal dituntut untuk dapat dilakukan secara daring. Untuk dapat mengoperasikan suatu aplikasi yang dibutuhkan dalam proses digitalisasi ini, muncullah mekanisme transfer data yang dibutuhkan untuk keperluan pendataan aplikasi. Hal ini cukup riskan akan terjadinya penyalahgunaan data pribadi oleh pihak kedua ataupun ketiga. Oleh karena itu, sebagai negara yang berlandaskan hukum, pada tahun 2022 Pemerintah Indonesia mengesahkan suatu peraturan perundang-undangan yang mengatur terkait perlindungan data pribadi, terutama data pribadi milik Masyarakat Indonesia untuk menghindari terjadinya hal-hal yang tidak diinginkan, yaitu Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (selanjutnya ditulis UU PDP).

Menurut Pasal 1 Angka 2 UU PDP dijelaskan bahwa “Perlindungan Data Pribadi adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi.”1 Perlindungan data pribadi pada umumnya juga dianggap sebagai bagian dari perlindungan terhadap konsep hak atas privasi. Arthur Miller mengartikan data privasi merupakan kemampuan individu untuk mengontrol penyebaran informasi tentang individu itu sendiri.2 Kemudian terdapat pendapat lain yang sejalan dengan hal tersebut, yaitu pendapat Alan Westin yang menyatakan bahwa hak atas privasi tidak bersifat mutlak karena kewajiban sosial sama pentingnya dengan privasi yang harus diperhatikan.3

UU PDP hadir dalam rangka melindungi hak-hak Masyarakat Indonesia dan juga sebagai implementasi Undang-Undang Dasar 1945 Pasal 1 ayat (3) yang berbunyi “Negara Indonesia adalah negara hukum.”4 oleh Pemerintah Indonesia. Namun, dengan semakin majunya era digital saat ini, kejahatan di dalam dunia internet juga semakin banyak dan lebih bervariasi, sehingga selain dengan implementasi UU PDP yang lebih tegas oleh pemerintah, peran andil masyarakat untuk lebih berhati-hati dalam melakukan proses transfer data di internet juga dibutuhkan.

Rumusan Masalah

1. Bagaimana regulasi UU PDP mengatur tentang mekanisme transfer data di Indonesia?
2. Bagaimana peran pemerintah dalam menerapkan UU No. 27 Tahun 2022 yang baru berlaku di tahun 2022?

BAB II 

PEMBAHASAN

Analisis 

Transfer data pribadi merupakan suatu proses perpindahan, pengiriman, dan/atau penggandaan data pribadi dari pengelola data pribadi kepada pihak lain baik secara elektronik, maupun nonelektronik. Proses transfer data pribadi dapat terjadi karena beberapa alasan, seperti layanan online yang memerlukan data pribadi yang harus ditransfer ke server perusahaan yang menyediakan layanan tersebut. Transfer data pribadi juga dapat terjadi antar perusahaan, dimana data pribadi ditransfer dari suatu perusahaan ke perusahaan yang lainnya pada saat perusahaan tersebut mempekerjakan pihak ketiga untuk pemrosesan data atau ketika terjadi merger atau akuisisi.

Berdasarkan UU PDP, transfer data pribadi terbagi menjadi dua jenis, yaitu transfer data pribadi dalam wilayah hukum Negara Indonesia dan transfer data pribadi ke luar wilayah hukum Negara Indonesia. Pada transfer data pribadi dalam wilayah hukum Negara Indonesia, pengendali data pribadi dapat mentransfer data pribadi kepada pengendali data pribadi lainnya dalam wilayah hukum Indonesia. Pengendali data pribadi yang mentransfer dan yang menerima transfer wajib melakukan perlindungan data pribadi sesuai dengan ketentuan undang-undang. Sedangkan pada transfer data pribadi ke luar wilayah hukum Negara Indonesia, pengendali data pribadi yang mentransfer dan menerima transfer wajib melakukan sesuai dengan ketentuan yang diatur dalam UU Perlindungan Data Pribadi serta pengendali data pribadi wajib memastikan negara pengendali dan prosesor data pribadi memiliki tingkat perlindungan data pribadi yang setara atau lebih tinggi dari yang diatur dalam UU Perlindungan Data Pribadi.5

Kemajuan teknologi memungkinkan informasi pribadi seseorang diakses, diproses, dikumpulkan, dan dimanipulasi dengan cepat dan murah. Kemudian, dalam hal perkembangan teknologi informasi, informasi mengenai nama, email, dan nomor telepon merupakan data pribadi yang berharga. Hal tersebut disebut dengan digital dossier atau berkas digital yang merupakan kumpulan dari data pribadi seseorang dengan teknologi internet yang dikelola oleh suatu pihak baik swasta maupun nonswasta yang beresiko untuk terjadinya pelanggaran data pribadi mengenai transfer data yang telah dilakukan. Di dalam Undang-Undang Dasar 1945 Pasal 28G dijelaskan juga bahwa “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”6

Rancangan mengenai Undang-Undang Perlindungan Data Pribadi ini pada mulanya sudah diinisiasikan sejak tahun 2016 yang di dalamnya terdapat 72 pasal RUU. Rancangan Undang-Undang Perlindungan Data Pribadi (selanjutnya ditulis RUU PDP), dibentuk oleh Kementerian Komunikasi dan Informatika (selanjutnya ditulis Kemenkominfo) yang memayungi ketentuan perundang-undangan yang berkaitan dengan data pribadi di berbagai sektor. RUU PDP sudah menjadi prioritas di tahun 2019 untuk segera dibahas yang kemudian pada bulan Oktober 2019 RUU ini telah sampai pada tahap harmonisasi dan finalisasi antar kementerian atau lembaga. Kemudian, pada tahun 2020 RUU PDP dikirimkan kepada DPR dan mengalami dua proses, yaitu pendahuluan dan pembicaraan tingkat I.

Proses pendahuluan ini dilakukan pada periode Januari hingga Februari 2020. Pembahasan mengenai RUU PDP terus berlakan dan dijalankan oleh Tim Panja Pemerintah yang dipimpin oleh Direktur Jenderal Aplikasi Informatika Kemkominfo yang ditemani perwakilan pejabat kementerian/lembaga terkait. Komisi I DPR RI juga melakukan konsinyasi pembahasan RUU PDP. Tahapan-tahapan mengenai RUU PDP ini menghasilkan keputusan pada 20 September 2020, yaitu adanya Pembahasan Tingkat II yang mengesahkan RUU menjadi UU PDP dengan jumlah keseluruhan 16 bab dan 76 pasal. UU PDP muncul di era digitalisasi masyarakat Indonesia agar masyarakat luas memiliki kedaulatan data, seperti pengelolaan–penggunaan data oleh industri dan lembaga negara untuk perlindungan dan keamanan masyarakat.

UU PDP berperan penting dalam penerapan keamanan data di Indonesia hal ini seperti yang dimaksud dalam Pasal 12 ayat (1) UU PDP “Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.” Maka dari itu, UU PDP menjelaskan beberapa regulasi yang diatur oleh pemerintah sebagai langkah preventif dari adanya penyimpangan transfer data pribadi.

Seperti yang telah dijelaskan secara umum di atas, UU PDP secara khusus membahas mengenai transfer data pribadi pada bab VII, yaitu pasal 55 dan 56. Pada bab ini, disebutkan bahwa transfer data pribadi dapat digolongkan menjadi dua, yaitu transfer data pribadi dalam wilayah hukum Negara Indonesia dan transfer data pribadi ke luar wilayah hukum Negara Indonesia. Pada pasal 55 UU PDP, mengatur tentang transfer data pribadi yang dilakukan di dalam wilayah hukum Indonesia dan dijelaskan bahwa pengendali data pribadi dapat melakukan transfer data pribadi kepada pengendali data pribadi lainnya di dalam wilayah hukum Negara Republik Indonesia7 dan pengendali data pribadi yang melakukan transfer data pribadi dan menerima transfer data pribadi wajib melakukan perlindungan data pribadi8.

Kemudian, Pasal 56 UU PDP menjelaskan bahwa pengendali data pribadi dapat melakukan data pribadi atau prosesor data pribadi yang berada di luar wilayah hukum Negara Indonesia sesuai dengan UU PDP, selanjutnya sebagaimana dijelaskan pada ayat (2) pengendali data juga wajib untuk memastikan negara tempat kedudukan pengendali atau prosesor data memiliki regulasi atau sistem perlindungan data pribadi yang setara atau lebih tinggi dari UU PDP. Apabila ketentuan pada ayat (2) ini tidak dapat dipenuhi maka sebagaimana pada ayat (3) pengendali data pribadi wajib memastikan terdapat regulasi mengenai perlindungan data pribadi yang memadai dan bersifat mengikat.9 Selanjutnya, apabila ketentuan pada ayat (3) ini tidak dapat dipenuhi pengendali data pribadi maka pengendali data pribadi wajib mendapatkan persetujuan dari subjek data pribadi sebelum dilakukannya transfer data pribadi kepada prosesor data pribadi yang menerima transfer data pribadi. Ketentuan-ketentuan tersebut berlaku sebagai ketentuan yang bersifat alternatif yang berarti boleh salah satu ketentuan saja yang dipenuhi.

Sejatinya, UU PDP disusun dan disahkan sebagai salah satu upaya pemerintah dan aparat penegak hukum untuk menunaikan kewajiban dalam menegakkan hukum di Indonesia sebagai bentuk tindakan melindungi Masyarakat Indonesia, terutama dalam hal hak atas privasi tiap-tiap individu dalam proses transfer data yang dilakukan oleh Masyarakat Indonesia seperti yang telah dijelaskan dalam pasal 55 dan pasal 56 UU PDP. Namun, dalam pelaksanaannya, tentu saja ada atau akan ada pihak-pihak yang memanfaatkan situasi untuk menyalahgunakan data pribadi hasil dari transfer data seseorang. Maka dari itu, terdapat sanksi administratif yang akan dikenakan terhadap pelanggaran yang disebabkan oleh seseorang apabila melakukan hal-hal yang bertentangan dengan apa yang diatur oleh UU PDP. Sanksi administratif yang dimaksud tertuang dalam pasal 57 ayat (2) UU PDP. Di dalam pasal tersebut, disebutkan bahwa terdapat empat bentuk sanksi yang dapat dijatuhkan kepada para pelanggar, yaitu10

1. peringatan tertulis;
2. penghentian sementara kegiatan pemrosesan Data Pribadi;
3. penghapusan atau pemusnahan Data Pribadi; dan/atau
4. denda administratif.

Kemudian, dalam pasal yang sama pada ayat (3) dijelaskan bahwa sanksi berupa denda administratif pada huruf d akan dijatuhkan kepada pelanggar paling tinggi dua persen dari pendapatan tahunan pelanggar.

Selain sanksi administratif, UU PDP juga mengatur dan menjelaskan mengenai sanksi pidana yang dijelaskan di dalam pasal 6711 bahwa “setiap orang dan/atau badan dilarang:

(1) Dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).

(2) Dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).

(3) Dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000,00 (lima miliar rupiah).

(4) …”

Sanksi administratif dan sanksi pidana yang diatur di dalam UU PDP ini merupakan salah satu bentuk keterlibatan pemerintah dan aparat penegak hukum dalam melindungi hak atas privasi masyarakatnya, terutama dalam proses transfer data di internet. Sehingga diharapkan bahwa apabila masyarakat memiliki keluhan yang melibatkan data pribadinya dalam proses transfer data, masyarakat memiliki hak penuh untuk melaporkan pelanggaran tersebut kepada pihak yang berwenang. Selain itu, adanya sanksi-sanksi yang dijatuhkan kepada pelanggar UU PDP baik sanksi administratif, maupun sanksi pidana adalah sebagai bentuk peran pemerintah dan aparat penegak hukum untuk dengan tegas menjamin hak-hak Masyarakat Indonesia dalam menerapkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi ini.

BAB III 

PENUTUP

Kesimpulan 

Sesuai pasal-pasal dan penjelasan di atas, maka UU PDP telah menjelaskan mengenai mekanisme dari transfer data baik dari dalam maupun luar negeri serta diatur pula sanksi administratif dan sanksi pidana sebagai penerapan dari banyaknya kasus penyimpangan mengenai transfer data pribadi di Indonesia. UU PDP menjelaskan bahwa mekanisme dari transfer data pribadi di Indonesia telah diatur sedemikian rupa untuk menghindari adanya kerugian yang diakibatkan oleh kebocoran transfer data pribadi. Pada UU PDP tidak disebutkan dengan rinci tentang apa saja jenis‐jenis data pribadi yang ada di dalam kualifikasi yang spesifik ataupun sensitif, di dalam UU PDP tersebut hanya dijelaskan dan ditetapkan sesuai dengan peraturan perundang‐undangan yang ada. Penerapan mengenai UU PDP ini akan menganut asas yurisdiksi ekstrateritorial, yaitu sebuah Undang‐Undang akam berlaku bagi setiap Orang, Badan Publik, Pelaku Usaha, dan organisasi/institusi yang melakukan perbuatan hukum sebagaimana diatur dalam Undang‐Undang ini, baik yang berada di wilayah hukum Indonesia maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di wilayah hukum Indonesia dan/atau di luar wilayah hukum Indonesia dan merugikan kepentingan Indonesia”.12

Namun, masih menjadi tugas yang perlu diselesaikan oleh pemerintah untuk mengimplementasikan UU PDP di tengah masyarakat mengingat bahwa sedari dulu kasus mengenai perlindungan data masih tergolong lemah di mata hukum. Hal ini dapat disebabkan karena beberapa faktor seperti, lemahnya edukasi masyarakat mengenai data-data pribadi apa saja yang boleh disebarkan, kebijakan privasi konsumen yang membutuhkan data pribadi yang tidak jelas, dan adanya pihak ketiga dari transfer data pribadi. Maka dari itu, UU PDP masih memiliki hal-hal yang perlu diperhatikan lebih dalam sehingga mekanisme mengenai transfer data pribadi dapat diterapkan secara jelas dan tegas oleh pemerin dan/atau lembaga yang berwenang.

1. Saran 

Melihat pada kenyataan bahwa masih banyak kasus mengenai transfer data pribadi di Indonesia yang belum secara tegas ditindaklanjuti serta minimnya peran pemerintah dan/atau lembaga untuk mengimplementasikan UU PDP. UU PDP perlu beberapa hal yang harus diatur lebih rinci lagi di dalamnya, seperti yang terdapat pada pasal 55 dan pasal 56 tentang golongan dari transfer data pribadi, masih perlu beberapa penjelasan lagi mengenai sistem perlindungan data pribadi antar pihak yang bersifat mengikat dan bagaimana peran dari persetujuan subjek data pribadi yang dilakukan oleh pengendali data pribadi. Sanksi yang diatur dalam UU PDP pasal 57 dan 67 juga masih belum rinci dan tegas. Hal ini, dapat dilihat dari ketentuan yang terdapat pada pasal 56 ayat (2) sampai dengan ayat (4) dikenai sanksi administratif, meskipun cakupan transfer data yang dilakukan pada pasal 56 adalah wilayah di luar negeri sehingga masih perlu adanya sanksi yang lebih tegas dari sanksi administratif apabila terdapat penyimpangan dan pelanggaran yang ada di dalam pasal 56 UU PDP. Maka dari itu, kami, selaku penulis menyarankan untuk pemerintah dan/atau lembaga terkait lebih mengkaji lebih dalam lagi mengenai ketentuan yang ada di dalam UU PDP dan juga adanya tindakan lebih tegas oleh pemerintah untuk menegakkan kasus hukum di bidang perlindungan transfer data di Indonesia. Hal ini mengingat bahwa perlindungan data pribadi dari setiap subjek hukum sangat erat kaitannya dengan segala kegiatan sehari-hari baik yang bersifat sederhana maupun yang bersifat lebih kompleks.

DAFTAR PUSTAKA 

Buku 

Arthur R. Miller, The Assault on Privacy: Computers, Data Banks, and Dossiers, University of Michigan Press, Ann Arbor, 1971.

Alan F. Westin, Privacy and Freedom, Athenaeum, London 1967.

Jurnal dan Artikel 

Djafar W, “Hukum Perlindungan Data Pribadi di Indonesia: Lanskap, Urgensi, dan Kebutuhan Pembaruan”, Fakultas Hukum Universitas Gadjah Mada, Yogyakarta, 2019.

Peraturan Perundang-Undangan 

Undang-Undang Dasar Negara Republik Indonesia Tahun 1945. Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi.

PENULIS 

Naurah Fathi Maharani 

Naurah Fathi Maharani atau yang akrab disapa Naurah, merupakan seorang mahasiswa semester 5 di Fakultas Hukum Universitas Padjadjaran yang lahir di Bandar Lampung, 1 April 2004. Saat ini ia berfokus dalam mempelajari ranah Hukum Teknologi, Informasi, Komunikasi, dan Kekayaan Intelektual, serta aktif mengikuti beberapa organisasi yang ada di Fakultas Hukum Universitas Padjadjaran.

Dinda Almalika Pramesti 

Dinda Almalika Pramesti atau yang akrab disapa Dinda, merupakan seorang mahasiswa semester 5 di Fakultas Hukum Universitas Padjadjaran yang lahir di Bandar Lampung, 26 Mei 2004. Saat ini ia berfokus dalam mempelajari ranah Hukum Ekonomi, serta aktif mengikuti beberapa organisasi yang ada di Fakultas Hukum Universitas Padjadjaran.

Nadya Rizky Rahmanda 

Nadya Rizky Rahmanda atau yang akrab disapa Nadya, merupakan seorang mahasiswa semester 5 di Fakultas Hukum Universitas Padjadjaran yang lahir di Palembang, 8 Desember 2004. Saat ini ia berfokus dalam mempelajari ranah Hukum Lingkungan, Tata Ruang, dan Agraria, serta aktif mengikuti beberapa organisasi yang ada di Fakultas Hukum Universitas Padjadjaran.