Privacy atau kalau diterjemahkan secara sederhana “kebebasan pribadi”,  erat sekali dengan isu bagaimana data pribadi kita mendapatkan perlidungan yang cukup sehingga tidak ada lagi penyalahgunaan data pribadi kita. Tentunya cukup sering kita mendapatkan telepon dari telemarketing yang menawarkan pinjaman tanpa agunan, penawaran kartu kredit dan juga penawaran penutupan asuransi. Sepanjang kita tidak bermasalah dengan hal tersebut, pada dasarnya  tidak akan menjadi suatu isu hukum, tapi bagaimana kalau kita merasa terganggu?

Sampai dengan tulisan ini dibuat tidak terdapat ketentuan dalam hukum Indonesia yang secara khusus mengatur mengenai perlindungan data pribadi. Hal ini cukup berbeda dengan di negara lain, Australia misalnya, yang punya ketentuan terkait perlindungan data pribadi dalam Spam Act-nya. Meskipun demikian, paling tidak terdapat ketentuan perundang-undangan di Indonesia yang dapat kita gunakan untuk pempertahankan data pribadi kita.

Pasal 26  Undang-undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UUITE)

Dalam Pasal 26 UUITE diatur mengenai perlindungan data pribadi sebagai berikut:

(1)        Kecuali ditentukan lain oleh Peraturan Perundang-­undangan, penggunaan, setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.

(2)        Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ini.

Pada bagian penjelasan Pasal 26 UUITE tersebut dijelaskan lebih lanjut apa yang dimaksud dengan perlindungan data pribadi dalam kaitannya pemanfaatan teknologi informasi. Dijelaskan bahwa data pribadi adalah salah satu bagian dari hak pribadi (privacy rights) yang mengandung pengertian merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan, hak untuk dapat berkomunikasi dengan orang lain tanpa tindakan pemata-matai dan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.

Tidak dijelaskan dalam Pasal 26 UUITE ini apa yang menjadi bagian dari data pribadi? Menurut saya, seharusnya yang dimaksud dengan data pribadi adalah seluruh informasi yang bersifat perseorangan dan sifatnya menjadi subjektif. Sebagai contoh, mungkin bagi sebagian orang, berbagi informasi mengenai tanggal lahir adalah hal yang biasa, sementara bagi orang lainnya, informasi tanggal lahir sama pentingnya dengan informasi nomor kartu kredit. Perbedaan-perbedaan kebutuhan akan perlindungan data pribadi ini lah yang membuat saya berpendapat bahwa definisi data pribadi harus dibuat seluas mungkin dan bersifat subjektif.

Lalu bagaimana apabila data pribadi kita dilanggar oleh orang lain? Dalam Pasal 26 ayat (2) UUITE dijelaskan bahwa bagi orang yang merasa hak atas perlindungan data pribadinya dilanggar, ia dapat mengajukan gugatan atas kerugian yang ditimbulkan. Melihat uraian unsur dalam pasal ini, perlindungan data pribadi lebih diarahkan ke ranah hukum perdata dengan akhir penyelesaian adalah perolehan suatu bentuk ganti rugi yang dapat bersifat materil (dapat berupa kompensasi uang) maupun juga imateril (dapat berupa permintaan permohonan maaf di surat kabar). Sepanjang pengetahuan saya, belum ada kasus yang menggunakan Pasal 26 UUITE ini sebagai dasar gugatan perdata, sehingga bagaimana implementasi di lapangan juga belum dapat kita ketahui.

Pasal 32 Undang-undang No. 39 Tahun 1999 tentang Hak Asasi Manusia (UU HAM)

Berbicara dalam konteks yang lebih luas, dalam Pasal 32 UU HAM juga terdapat aturan yang dapat digunakan sebagai dasar perlindungan atas data pribadi kita.

Kemerdekaan dan rahasia dalam hubungan surat-menyurat termasuk hubungan
komunikasi melalui sarana elektronika tidak boleh diganggu, kecuali atas perintah hakim
atau kakuasaan lain yang sah sesuai dengan ketentuan peraturan perundang-undangan.

Berdasarkan ketentuan di atas, meskipun tidak secara tegas dinyatakan adanya perlindungan atas data pribadi, paling tidak terlihat adanya perlindungan terhadap informasi/komunikasi yang kita lakukan dengan pihak lainnya yang pada dasarnya juga merupakan perlindungan atas data-data pribadi (ingat bahwa definisi data pribadi seharusnya diartikan luas dan subjektif). Sayangnya dalam UU HAM saya tidak menemukan adanya ketentuan sanksi yang diberikan bagi orang yang melanggar hak tersebebut.

Pasal 1365 KUH Perdata dan Pasal 322 ayat (1) KUH Pidana

Dalam konteks yang lebih luas lagi, perlindungan terhadap data pribadi juga dapat kita temui dalam ketentuan perundang-undangan kita yaitu dalam Pasal 1365 KUH Perdata dan Pasal 322 ayat (1) KUH Pidana.

Pasal 1365 KUH Perdata sebenarnya merupakan pasal umum yang digunakan sebagai dasar pengajuan gugatan dengan alasan adanya perbuatan melawan hukum di mana pihak yang mengalami kerugian akibat perubahan melawan hukum tersebut dapat meminta ganti rugi kepada pihak yang merugikannya.

Tiap perbuatan melanggar hukum, yang membawa kerugian kepada orang lain, mewajibkan orang yang karena salahnya menerbitkan kerugian itu, mengganti kerugian tersebut.

Prakteknya, pengertian “perbuatan melawan hukum” ini sering kali diartikan secara luas di mana tidak hanya dianggap melawan hukum yang dimuat dalam suatu ketentuan perundang-undangan, tetapi juga termasuk pelanggaran terhadap ketertiban umum dan kesusilaan di mana lagi-lagi keduanya sangat bisa diartikan secara luas dan subjektif. Pelanggaran atas ketertiban umum dan kesusilaan lah yang membuka peluang dapat dijadikan basis perlindungan data pribadi karena terkadang apa yang menjadi data/informasi pribadi kita secara kesusilaan adalah sesuatu yang harus dijaga dan dilindungi. Contoh: informasi mengenai status istri kedua atau status anak luar kawin dalam konteks kesusilaan adalah informasi yang cukup sakral untuk diumbar ke masyarakat umum 🙂

Kalau uraian tentang Pasal 1365 KUH Perdata merupakan konteks keperdataan, dalam Pasal 322 ayat (1) KUH Pidana kita akan melihat bagaimana konteks perlindungan data pribadi dalam ranah hukum pidana.

Barang siapa dengan sengaja membuka rahasia yang wajib disimpannya karena jabatan atau pencariannya, baik yang sekarang maupun yang dahulu, diancam dengan pidana penjara paling lama sembilan bulan atau pidana denda paling banyak sembilan ribu rupiah.

Ada unsur penting dalam Pasal 322 ayat (1) KUH Pidana ini yang menjadikan pasal ini tidak dapat dipergunakan secara umum dalam isu perlindungan data pribadi, yaitu unsur “..wajib disimpannya karena jabatan atau pencariannya (pekerjaannya)“.  Artinya sanksi pidana dalam pasal ini hanya dapat diterapkan apabila data pribadi kita dibocorkan/disebarluaskan oleh pihak yang karena pekerjaannya seharusnya menjaga rahasia kita. Contoh: seorang dokter yang menyebarkan informasi penyakit pasiennya atau psikolog yang cuap-cuap soal curhatan kita.

Kepedulian atas Perlindungan Data Pribadi

Ketika hukum sudah memberikan perlindungan yang cukup atas data pribadi kita, pertanyaannya adalah seberapa peduli kita terhadap perlindungan data pribadi? Terkadang kita hanya peduli atas perlindungan data pribadi kita pada saat data pribadi tersebut telah tersebar dan dimanfaatkan pihak-pihak lain yang akhirnya merugikan kita.  Seperti yang berulang kali saya sampaikan di atas bahwa cakupan dari data pribadi itu begitu luas karena menyangkut aspek kehidupan kita sebagai entitas manusia dan juga sifatnya sangat subjektif, maka perlindungan data pribadi juga harus dilakukan oleh diri kita sendiri.

Perkembangan media sosial seperti facebook, twitter, google+, path dan lainnya menurut saya membuat tingkat kepedulian kita atas perlindungan data pribadi menjadi semakin menurun. Lazim sepertinya kita melihat dalam sosial media tersebut seseorang begitu mengumbar informasi pribadinya, seperti tanggal lahir, lokasi ia saat ini, foto-foto pribadi dan lainnya.

Pembiaran penyebaran informasi ini sangat amat mempermudah pihak-pihak yang ingin berbuat jahat kepada diri kita memanfaatkan informasi-informasi tersebut untuk mempermudah niatnya. Sebagai contoh: ada orang yang curhat kalau dia lagi sendirian di rumah dan orang tuanya tidak ada karena lagi di luar negeri atau ada orang yang memotret KTP/Passport/Visa kemudian di sharing di media sosial. Menurut saya ini contoh tindakan yang gegabah dan dapat berakibat buruk bagi kita sendiri. Contoh yang lebih seram lagi dilihat dalam kasus pemerkosaan dalam berita berikut “Ini Kronologi Remaja Korban Pemerkosaan Teman Facebook“. Silahkan anda nilai sendiri apakah ada kaitannya antara penyebaran informasi pribadi dengan kasus pidana tersebut.

Lalu, apa yang bisa kita lakukan? Menurut saya langkah paling tepat adalah memahami informasi apa yang kita miliki yang sebaiknya tidak diungkapkan/disebarluaskan kepada publik. Uji cobanya cukup senderhana…apabila anda ingin membagi informasi A, silahkan anda pikirkan apa yang bisa orang lain manfaatkan dari informasi A tersebut?

Selain penyalahgunaan aspek data pribadi dalam ranah sosial seperti di atas, penyalahgunaan data pribadi juga umumnya kita temui dalam ranah informasi teknologi di mana adanya pihak ketiga yang menggunakan teknik “social engineering” yang memanfaatkan data/informasi pribadi kita untuk menembus perimeter keamanan suatu sistem yang kemudian memungkinkan pihak tersebut mengeksploitasi sistem kita. Contoh nyata terkait permasalahan ini bisa dilihat di tautan ini dan ini. Sebagai tambahan, sering kali juga saya mendengar teman bercerita kalau akun facebook/twitter-nya kena “hack”. Analisis saya sering kali memperlihatkan fakta bahwa selain orang-orang itu suka login di sembarang tempat yang memungkinkan adanya sniffer atau security question dari password mereka berhasil dijawab oleh penyerang yang melakukan social engineering memanfaatkan data/informasi teman tersebut.

Dengan banyaknya korban dan kebosanan diri kita karena telepon telemarketing kartu kredit, asuransi, pinjaman tanpa agunan dan lainnya, apakah kita masih tidak peduli atas perlindungan data pribadi?

Berikut video dan foto yang cukup menarik terkait dengan perlindungan data pribadi.