Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) cepat atau lambat akan disahkan oleh parlemen menjadi produk hukum tetap. Keberadaan beleid itu kian penting karena masyarakat sudah makin terhubung dengan layanan digital.
Dengan kata lain, RUU PDP menjadi satu-satunya harapan bagi masyarakat agar data yang mereka serahkan ke sejumlah platform layanan digital dapat benar-benar dilindungi. Namun aturan perlindungan data pribadi yang lebih ketat punya dampak yang berbeda ke dunia periklanan digital.
Indonesia Digital Association menangkap potensi dampak tersebut. Ketua IDA Dian Gemiano mengakui dampak yang akan dibawa oleh RUU PDP akan besar terhadap periklanan digital. Namun ia meyakini industri periklanan digital tak perlu khawatir asal dapat beradaptasi dengan cepat.
“Aturan-aturan tersebut juga akan melindungi pemilik usaha dari gangguan para pelaku data fraud yang sering merugikan pelaku usaha yang legitimate,” ujar Gemi.
Chairman Asosiasi Big Data dan AI Indonesia Rudi Rusidah menjelaskan, tujuan utama RUU PDP adalah menjaga kedaulatan data masyarakat. Rudi, yang aktif terlibat dalam pembahasan RUU PDP, menilai regulasi itu cukup penting dalam kegiatan periklanan digital untuk meminimalisasi kebocoran data atau penyalahgunaan data. Salah satu caranya adalah dengan menukar data yang bisa diidentifikasi ke pemilik data dengan kode atau nomor-nomor tertentu. Cara tersebut dinamakan pseudonymization.
“Di dalam peraturan itu nanti kalau mau sharing data atau menjual data ke orang lain datanya harus dibikin anonim,” imbuh Rudi.
Industri periklanan digital, baik lokal maupun global, memang sedang menghadapi tantangan besar sepanjang tahun ini. Di Eropa, berlakunya GDPR mengubah banyak hal dalam khususnya cara kerja industri periklanan digital.
Tekanan untuk mengamankan data pribadi di berbagai platform digital pun terus menguat. Kabar terbesar paling anyar datang dari Google yang berencana mematikan secara bertahap third party cookies di peramban Chrome dalam dua tahun ke depan.
Dalam dunia periklanan digital, third party cookies adalah alat yang dapat membantu mereka dalam menelusuri data pengguna antarsitus web yang berbeda. Dengan alat itu pemilik situs dapat melakukan re-marketing atau re-targeting dalam sebuah kampanye.
Data dari StatCounter pada September 2020 menunjukkan pangsa pasar peramban Google Chrome di Indonesia mencapai 77,5%. Hilangnya third party cookies di peramban itu jelas akan memaksa banyak pihak di industri periklanan digital mencari cara baru dalam mengelola dan memonetisasi first party data.
“Penting bagi pelaku industri digital mengerti bagaimana praktik bisnis bisa mematuhi peraturan data pribadi yang ada di industri, meskipun saat ini masih berbentuk RUU,” pungkas Gemi.
Apa yang bisa kita lakukan sebagai pengguna layanan digital ketika data yang kita serahkan justru bocor dan diperjualbelikan di pasar gelap? Di Indonesia, jawabannya hampir tidak ada. Rentetan kasus kebocoran data beberapa waktu terakhir menunjukkan konsumen berada di posisi terlemah dalam siklus ini.
Belum jelas nasib kebocoran data di Tokopedia dan Kredit Plus, kasus serupa terulang lagi. Kali ini Cermati dan RedDoorz yang kena bidik peretas. Sekitar 2,9 juta data di Cermati yang digondol peretas berisi bermacam data mulai dari alamat email, kata sandi, alamat, nomor telepon, pendapatan, bank, nomor pajak, nomor identitas, hingga nama ibu kandung. Set data ini tergolong sensitif dan berharga untuk diperjualbelikan.
Jumlah data yang dicuri dari Reddoorz lebih banyak mencapai 5,8 juta data. Data itu berupa nama, alamat email, nomor telepon, dan detail pemesanan. Peretas menjual gelondongan data itu seharga US$2.000 atau sekitar Rp28 juta.
Selain mengambil langkah pencegahan, apa yang bisa kita lakukan sebagai pengguna jika dirugikan akibat kebocoran data yang sudah terjadi?
Pratama Prasadha, peneliti keamanan siber dari Communication and Information System Security Research Center (CISSRec), mengakui kondisi saat ini memang menyulitkan konsumen platform digital menggugat penyelenggara sistem dan transaksi elektronik (PSTE). Pasalnya memang tidak ada satu pun kewajiban hukum yang bisa dikenakan kepada PSTE atas kelalaian mereka.
“Di Indonesia sulit bagi konsumen untuk melakukan tuntutan hukum atas kebocoran data pribadi yang dikelola PSTE. Adapun konsumen atau masyarakat dalam posisi sangat lemah untuk meminta pertanggungjawaban PSTE,” ujar Pratama.
Pratama menjelaskan, sejatinya ada sanksi yang bisa dikejar konsumen sesuai Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016. Pasal 36 menyebutkan ada sejumlah sanksi administratif bagi mereka yang melanggar ketentuan berupa peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan/atau pengumuman di situs dalam jaringan.
Dilihat dari sudut mana pun, jenis sanksi tersebut terlampau ringan jika dibandingkan risiko yang harus dihadapi oleh pengguna yang datanya sudah tercecer di mana-mana. Pratama menilai tanpa ancaman hukuman yang serius, hampir dipastikan insiden kebocoran data akan terus berulang.
“PSTE tidak ada kewajiban mengamankan dengan sebaik-baiknya karena juga tidak ada ancaman hukuman bila lalai,” imbuh Pratama.
Damar Juniarto dari Southeast Asia Freedom of Expression Network (SAFEnet) menekankan saat ini memang belum ada mekanisme yang bisa ditempuh konsumen baik secara perdata maupun pidana atas kerugian yang mereka derita. Tanpa peraturan yang betul-betul melindungi masyarakat sebagai konsumen dan warga negara, perlindungan data pribadi masih sebatas wacana.
Sudah banyak orang mendambakan RUU PDP segera disahkan menjadi peraturan resmi. Bertahun-tahun DPR selalu meminggirkan beleid ini untuk segera disahkan. Padahal keadaan di lapangan menunjukkan RUU PDP makin dibutuhkan untuk melindungi masyarakat yang kian terekspos terhadap layanan digital.
Salah satu yang disebut bisa mencegah maraknya kebocoran data adalah sistem denda yang akan dikenakan kepada PSTE. Proses penyusunan RUU PDP kerap disebut berkiblat pada GDPR (General Data Protection Regulation) milik Uni Eropa. Pemberian sanksi denda yang berat adalah salah satu karakter GDPR. Tak jarang aturan itu bisa menjerat suatu entitas yang bersalah dengan denda puluhan hingga ratusan juta euro.
Yang jadi persoalan dalam pembahasan RUU PDP selama ini belum ada kepastian apakah sistem denda dan sanksi administratif jadi fokus utama atau sistem pidana yang akan dipilih. Namun anggota Komisi I DPR RI Charles Honoris mengatakan beleid tersebut akan meninggalkan sanksi pidana untuk menghindari tumpang tindih dengan peraturan lain.
“Dalam berbagai perdebatan, ya, dan masukan yang kami terima dari beberapa stakeholder alangkah baiknya apabila aturan sanksi pidana yang sudah diatur dalam UU lain tidak lagi diatur di UU PDP,” ujar Charles seperti dikutip dari Kompas.
Contoh denda jumbo itu seperti Inggris yang menuntut Marriot membayar denda 99 juta poundsterling atau sekitar Rp1,8 triliun karena gagal melindungi data konsumen mereka yang bocor. Belum lama Inggris juga menuntut British Airways membayar denda 183 juta poundsterling atas kelalaian mereka. Pada akhirnya kedua perusahaan tadi diampuni dengan denda lebih rendah karena menghadapi kesulitan finansial akibat pandemi.
Selama pemberlakuan sanksi denda tersebut belum ada di Indonesia, banyak pihak ragu ada perubahan berarti dalam lanskap keamanan digital. Tanpa ancaman serius terhadap PSTE, insiden kebocoran data adalah sebuah keniscayaan. Lebih parah lagi hal tersebut bisa berakibat buruk terhadap kepercayaan konsumen.
Namun masyarakat sepertinya patut bersabar lebih untuk RUU PDP. Pasalnya kecil kemungkinan DPR dapat meloloskan RUU PDP di tahun ini dengan masa sidang yang tak lama lagi.
“Harapan saya di 2020 ini kita sudah bisa memiliki UU PDP. Tapi mengingat sisa masa sidang tinggal 1 bulan lagi sepertinya agak sulit direalisasikan,” ucap Charles dalam webinar dengan Lembaga Studi dan Advokasi Masyarakat (ELSAM).
Hingga saat ini tidak ada satu pun kasus kebocoran data yang diusut tuntas. Insiden Bukalapak, Tokopedia, Kredit Plus, Cermati, dan Reddoorz masih tak ada kejelasan siapa yang harus bertanggung jawab. Pertanyaan juga perlu dialamatkan ke Kemenkominfo, Otoritas Jasa Keuangan (OJK), dan Badan Siber dan Sandi Negara (BSSN) yang bertugas mengawasi dan mencari pertanggungjawaban PTSE terhadap konsumen.
The government officially submitted the draft of Personal Data Protection Act (PDP Bill) to the Indonesian Parliament. This draft will be discussed immediately after the completion of the Omnibus Law Act.
Based on the draft as of December 2019, the PDP Bill contains 72 articles and 15 chapters governing the definition of personal data, types, ownerships, processing, exceptions, controllers and processors, transmissions, authorized institutions that regulate personal data, and resolution. In addition, it regulates international partnerships and sanctions imposed for misuse of personal data.
While waiting for the regulation to be ratified, whose authority is in the People’s Representative Council (DPR), we need to know more about how to interpret in daily life. What is the impact before and after the regulation for the public?
Understanding the types of data based on the PDP Act draft
The PDP Bill defines personal data as any data about a person, whether identified and can be identified separately or combined with other information, directly or indirectly, electronic and non-electronic systems.
Types of personal data are divided into two, the general and specific data. The general category includes data that can be accessed through public services or listed in official identity. For example, your full name, gender, nationality, religion, and personal data must be combined to make it possible to identify someone.
Meanwhile, specific data is data that is sensitive to the safety and comfort of the life of the owner of personal data, namely health data and information, biometric data, genetic data, sexual orientation, political views, crime records, child data, personal financial data, and/or other data in accordance with statutory provisions. In order to get these data, approval from the owner is necessary.
What should be appreciated and fixed
SAFEnet’s Executive Director, Damar Juniarto said, the PDP Bill refers to one of the fundamentals of the 1945 Constitution article 28 paragraph G stated the philosophical basis of personal data protection, the guarantee of citizens’ self-protection.
Therefore, there are three things must be stated the PDP Bill. The right to personal, family, honor, dignity and property protection; the right to security; and the right of protection against the threat of fear to do or not do something.
The assessment he made for the PDP Bill contents was a progressive step in ensuring the certainty of the citizens’ self-protection. “SAFEnet welcomes the presence of the PDP Bill which will soon be discussed at the Commission I of the DPR RI,” Damar said in a written statement.
This bill, he continued, succeeded in formulating the concept of upholding data sovereignty; outline a longer draft of April 2019 in specific personal data; provide recognition of important basic rights in the principle of the right to privacy such as the need for citizen consent in data collection, the right to correction, and the right to withdraw data; emphasized on the time limit while residents withdraw the data; and sanction violations.
On the other hand, the part that needs improvement is the dimming of important issues that have been a public concern, such as profiling issue, illegal tapping by state institutions and corporations, alleged buying and selling of personal data by state institutions and discriminating sanctions against individuals and corporations that committed violation.
“Profiling can only be stopped whether residents raise objections as contained in article 10. Frankly, in SAFEnet’s view, this is not enough. Profiling must be included in specific personal data because it is an important protection against the threat of oneself and protection of the right to do or not do something.”
Illegal tapping, defined as an effort to acquire personal data by planting spyware on smartphone devices, collecting data through an unknown cloud, or applying AI in the form of facial recognition technology.
Discrimination of legal sanctions threatens an injustice feeling of the community for the right to privacy. The ITE Law, which was issued over 10 years ago, has problems with the number of convicted citizens and criminal proceedings during unfair law enforcement and justice.
“Reflection on the implementation of digital law needs to be taken into consideration in determining appropriate legal sanctions for those who commit personal data violations.”
He thought in general, the PDP Bill narrowed the right to privacy to the extent of protecting personal data. Therefore, what should be the scope of this law is reduced to the issue of personal data. Whereas today, data is closely related to the lives of the human owners and when abused will endanger the lives of these people due to the possibility of crime.
“There is a right to security attached to it [PDP bill]. Therefore, it might sound like the PDP bill emphasized personal data definition as merely a commodity. Whereas personal data is not just a commodity, it concerns the virtual human dignity, the PDP Bill must protect the human being involved, not only the data.”
Once passed..
Once the regulation passed, the greatest power you have for companies that collect your data and liability is to request for data removal. On the other side, the greatest right – or perhaps the most competed – is the ability to stop companies from selling your data to other parties, such as advertisers.
Selling data has been the most irritating issue for consumers. The condition does not apply when you consciously enter a photo in your Facebook account or enter your home address in the e-commerce application. Unlike the case, if they cash it, therefore, other companies you’ve never visited create a profile without your knowledge or approval.
The word “sell” does not mean literally in the form of money. When the company gains something or other benefits from your data for others, it can be categorized as selling. Exceptions only apply when the company sends data to “service providers” if the e-commerce site shares your credit card number and processes payments to complete the sale.
Data selling is a very sensitive issue for technology companies, especially giants like Google and Facebook, and the time when the Cambridge Analytica scandal hit Facebook. Data is the new oil.
The PDP bill also applies to office buildings that often request visitor data and photograph faces. This regulation accommodates data collectors to declare their purpose as retrieving data and guarantee its safety. As often the issues of data leak anywhere and anytime.
Of the companies surveyed, some are running the business in Indonesia, which considers this report more or less correlated. As it was mentioned from 24 famous global technology and telco, Microsoft ranked the first, followed by Google and Verizon Media. Next, from telco are Telefonica, Vodafone, and AT&T.
There are 35 indicators for the 24 companies that were evaluated, examined the matter of commitments, policies, and practices that affect freedom of expression and privacy, including corporate governance and accountability mechanisms. This index score represents the extent to which companies meet minimum standards. There are several companies that score above 50 (on a scale of 100).
Overall, there has been some progress, although some issues remain since the Index was released in 2015. Does everyone still lacking basic information about who is controlling their ability to connect, talk online, or access information, or who has the ability to access their personal information in any circumstance.
The government in some countries is quite responsive by issuing various supporting regulations. Whereas the company action to take decisive steps in respecting user rights has not been well conveyed. As a result, most companies still fail to reveal important aspects of how they handle and secure personal data.
“Despite new regulations in the European Union and other countries, most global internet users still lack basic facts about who can access their personal information under what circumstances, and how to control their collection and use. Some companies have been found to disclose more than is required by law,” as stated in the 2019 RDR Index report.
What kind of data collected and how to stop it
Facebook and other technology companies are basically trying to create a data bank, by taking as much user information in one’s profile. The goal is none other, looking for inspiration for what products are and will be needed by consumers, to have it on target when it’s launched.
Fintech applications are more or less similar. Why can they withdraw funds quickly? because there is digital data made accessible by users to be analyzed by smart machines. Before the FSA intervened, they could access various data such as photo galleries, contact lists, SMS, calendars, cameras, microphones, and others that were actually less relevant to the application function.
Usually, there will be pop-up notifications for various access requests that are unknown or explained after downloading. Unfortunately, if one of the access requests is intentionally denied – applicable to the majority of apps – there will be flaws appeared that interfere with the user experience. Eventually, it forces the user to allow all requested access.
Due to the rise of illegal fintech players and victims, user’s smartphone data access is now limited to only cameras, locations, and microphones. All three are permitted by regulators for legal fintech players.
The way to find out what data is requested by the application is quite easy and available for check. On Google Play, try to check at the bottom of the “About this app” section, there is detailed information related to the application. There will be “App permissions,” and choose to “See more.” There will be a clear statement of access to any information requested by the application.
In general, companies will state privacy policies on their sites at the very bottom. It consists of data they take from users, the purpose of use, and its commitment to protecting user privacy from third parties.
Unfortunately, due to the insignificant location, it often passed the user’s sight. The long arrangement with a small size font only creates more reason for users to not take a look and enjoy reading it. Even though the information conveyed is very important.
Gojek
In the Privacy Policy section, they explain the details of data collected directly from users or their mobile devices, every time they use the application or visit a website, and information collected from third parties.
All the information is listed on the Gojek site. Some of these include name, address, date of birth, occupation, telephone number, fax, e-mail, bank account, credit card details, gender, official identification number, biometric information.
In one of its clauses, Gojek opens the opportunity to withdraw data with reasonable notice in writing. The consequence that users receive is that the account is terminated and cannot use applications or services for the future.
Tokopedia
Tokopedia is no different. They collect data submitted independently by users, unlimited data when filling out surveys on behalf of the company, interacting with other users with message features, product discussions, reviews, ratings, detailed transaction data. Continues, real location data such as IP address, Wi-Fi location, geo-location, cookie data, pixel tags, device data used to access the site, and other data obtained from other sources.
On further exploration, users are not given the freedom to remove data. Tokopedia will store information as long as the user account remains active and can carry out removal in accordance with applicable legal regulations.
Bukalapak
Meanwhile, Bukalapak opens the submission of data removal by attaching valid proof of identity and the reason for the request for removal. Bukalapak is to grant the request if it meets the requirements requested by the company.
Following these three applications can give a clear picture that the existence of this PDP bill is so important to give users full control of their data. Indeed, companies have an obligation to protect users if there is potential for fraud, but don’t data owners have more control over it?
Reflecting on global technology companies, some of them provide features that function to close data access utilized by third parties. Facebook and Google have released it, even though the intensity is still doubtful, but now users are given control to restrict access to their data.
Google (including YouTube)
Google’s main revenue is advertising. Last year’s advertising revenue from YouTube reached $15 billion, more than the combined advertising revenue from three private TV stations in the U.S., namely ABC, NBC, and Fox. Google claims to operate its ad network internally. However, if you want to stop Google from sharing data with its own division, there is a tool for it. This option is called “Ad personalization.” Simply slide the button to turn off the personalization.
Facebook
Whether this company does or doesn’t sell user data, this social media platform gives third parties access to a number of user information. For example, date of birth and email address. Spotify allows you to register as a user if you register through Facebook.
In order to close the access, you just have to go to the Facebook page. Then go to Settings > Apps and Websites. You will find which third parties can access Facebook data, just click which one will be disconnected.
Twitter
Twitter provides options for all users who want to leave custom personalized ads. You do this by going to the Settings and privacy page > Privacy and safety > Personalization and data and the slide button left to turn it off.
Spotify
The music streaming application claims to not so sure whether the way they share data is counted as sales when it refers to regulations in California. However, they provide a tool for users who want to stop Spotify from advertisers by turning off the “Tailored ads” toggle in the Privacy settings page. This tool allows Spotify to use any data from your Facebook account for target ads.
– Original article is in Indonesian, translated by Kristin Siagian
Pemerintah resmi menyerahkan draf rancangan Undang Undang Perlindungan Data Pribadi (PDP) kepada DPR RI. RUU ini akan segera dibahas setelah selesai pembahasan RUU Omnibus Law.
Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Sembari menunggu beleid disahkan, yang kewenangannya ada di DPR, perlu tahu lebih dalam bagaimana menerjemahkannya dalam keseharian. Apa dampak sebelum dan sesudahnya buat masyarakat awam?
Memahami tipe data menurut draf RUU PDP
Draf RUU PDP mendefinisikan data pribadi adalah setiap data tentang seseorang, baik yang teridentifikasi dan dapat diidentifikasi tersendiri atau dikombinasikan dengan informasi lainnya, secara langsung maupun tidak langsung sistem elektronik dan non elektronik.
Jenis data pribadi terbagi dua, yakni data yang bersifat umum dan spesifik. Masuk kategori umum apabila diakses melalui pelayanan publik atau tercantum dalam identitas resmi. Misalnya, nama lengkap, jenis kelamin, kewarganegaraan, agama, dan data pribadi yang harus dikombinasikan sehingga memungkinkan untuk mengidentifikasi seseorang.
Sementara itu, data spesifik adalah data yang bersifat sensitif terhadap keamanan dan kenyamanan kehidupan pemilik data pribadi, yaitu data dan informasi kesehatan, data biometrik, data genetika, orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai ketentuan perundang-undangan. Untuk mendapatkan data-data tersebut perlu persetujuan dari pemiliknya.
Yang perlu diapresiasi dan perlu diperbaiki
Menurut Direktur Eksekutif SAFEnet Damar Juniarto, RUU PDP mengacu dalam salah satu dasarnya UUD 1945 pasal 28 ayat G yang memuat dasar filosofis dari muara perlindungan data pribadi, yaitu terjaminnya perlindungan diri warga negara.
Oleh karenanya, ada tiga hal yang harus ada dalam RUU PDP. Hak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda; hak atas rasa aman; dan hak atas perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu.
Penilaian yang ia berikan buat isi RUU PDP ini adalah langkah progresif dalam menjamin kepastian atas perlindungan diri warga negara. “SAFEnet menyambut baik kehadiran RUU PDP yang akan segera dibahas di Komisi I DPR RI,” ujar Damar dalam keterangan tertulis.
RUU ini, sambungnya, berhasil merumuskan konsep penegakan kedaulatan data; menguraikan daftar lebih panjang dari rancangan April 2019 dalam data pribadi bersifat spesifik; memberikan pengakuan atas hak-hak dasar penting dalam prinsip hak atas privasi seperti perlunya persetujuan warga dalam pengambilan data, hak mengoreksi, dan hak menarik data; mempertegas berapa lama waktu yang harus dilakukan ketika warga menarik datanya; dan memberi sanksi atas pelanggaran.
Di sisi lain, bagian yang perlu diperbaiki, yakni meredupnya isu penting yang selama ini menjadi kecemasan publik, seperti soal profiling, penyadapan illegal oleh lembaga negara dan korporasi, dugaan jual beli data pribadi oleh Lembaga negara, dan diskrimasi sanksi terhadap perseorangan dan korporasi yang melakukan pelanggaran.
“Profiling hanya bisa dihentikan bila ada warga yang mengajukan keberatan seperti termuat dalam pasal 10. Terus terang dalam pandangan SAFEnet ini tidak cukup. Profiling harus termasuk dalam data pribadi bersifat spesifik karena itu perlindungan penting dari upaya pengancaman diri seseorang dan perlindungan hak untuk berbuat atau tidak berbuat sesuatu.”
Penyadapan illegal, maksudnya adalah upaya menarik data pribadi dengan menanam spyware di perangkat smartphone, mengumpulkan data lewat cloud yang tidak diketahui keberadaannya, atau penerapan AI dalam bentuk teknologi facial recognition.
Diskriminasi sanksi hukum yang berbeda, mengancam timbulnya rasa keadilan yang diharapkan oleh masyarakat atas hak privasi. UU ITE yang telah disahkan sejak lebih dari 10 tahun lalu, punya persoalan terkait jumlah warga yang dipidana dan proses pidana saat penegakan hukum dan peradilan yang tidak adil.
“Refleksi atas pelaksanaan hukum digital perlu menjadi pertimbangan dalam menentukan sanksi hukum yang tepat bagi mereka yang melakukan pelanggaran data pribadi.”
Dia memandang, secara umum RUU PDP menyempitkan hak privasi menjadi sebatas perlindungan data pribadi saja. Sehingga apa yang seharusnya bisa menjadi ruang lingkup UU ini mengecil pada persoalan data pribadi. Padahal di zaman sekarang, data erat kaitannya dengan hidup manusia pemiliknya dan bila disalahgunakan akan membahayakan hidup orang tersebut karena rentan mengalami kejahatan.
“Ada hak atas rasa aman yang melekat padanya [RUU PDP]. Oleh karenanya, terasa kental dalam RUU PDP bagaimana pemaknaan data pribadi dianggap hanya sekadar komoditas. Padahal data pribadi bukanlah sekadar komoditas, melainkan menyangkut martabat manusia yang virtual tersebut, yang harus dilindungi dalam RUU PDP ini adalah manusianya, bukan sekadar datanya.”
Apabila disahkan..
Apabila beleid ini disahkan, ada kemampuan terbesar yang bisa Anda lakukan terhadap perusahaan yang mengumpulkan data Anda dan kewajiban buat mereka jika Anda meminta untuk menghapusnya. Di balik itu, hak terbesar –atau mungkin paling diperebutkan– yakni kemampuan untuk menghentikan perusahaan untuk menjual data Anda ke pihak lain, seperti pengiklan.
Menjual data adalah hal yang paling menjengkelkan bagi konsumen. Kondisi ini tidak berlaku ketika Anda secara sadar memasukkan foto di akun Facebook, atau memasukkan alamat rumah di aplikasi e-commerce. Beda halnya, jika mereka menguangkannya, sehingga perusahaan lain yang belum pernah Anda kunjungi membuat profil tanpa sepengetahuan atau persetujuan Anda.
Kata “menjual” secara harfiah bukan berarti harus melulu dalam bentuk uang. Jika perusahaan mendapatkan sesuatu atau manfaat lain dari data Anda untuk orang lain. Ini bisa dikategorikan sebagai penjualan. Pengecualian hanya berlaku ketika perusahaan mengirim data ke “penyedia layanan” jika situs e-commerce membagikan nomor kartu kredit Anda dan memroses pembayaran untuk menyelesaikan penjualan.
Isu menjual data begitu sensitif di mata para perusahaan teknologi, apalagi titan seperti Google dan Facebook, terutama saat skandal Cambridge Analytica menghantam Facebook. Data is the new oil.
RUU PDP juga berlaku untuk gedung perkantoran yang kerap meminta data pengunjung dan memfoto wajah. Beleid ini mengakomodasi pengambil data untuk mendeklarasi apa tujuan mereka mengambil data dan menjamin untuk melindunginya. Sebab sering ada kekhawatiran data bisa bocor di mana saja dan kapan saja.
Kepedulian perusahaan global terhadap keamanan data
Laporan yang dibuat Ranking Digital Rights pada tahun lalu bertajuk The 2019 Ranking Digital Rights Corporate Accountability Index, menjadi dasar pengantar untuk membekali kita semua, seberapa peduli perusahaan teknologi global terhadap keamanan data para penggunanya.
Dari sekian perusahaan yang disurvei, ada beberapa hadir di Indonesia, sehingga lebih kurang laporan ini punya korelasi. Disebutkan dari 24 perusahaan teknologi dan telekomunikasi global tersohor, Microsoft menempati posisi pertama, disusul Google dan Verizon Media. Lalu, dari perusahaan telekomunikasi adalah Telefonica, Vodafone, dan AT&T.
Dari 35 indikator untuk 24 perusahaan yang dievaluasi, memeriksa soal komitmen, kebijakan, dan praktik yang memengaruhi kebebasan berekspresi dan privasi, termasuk tata kelola perusahaan dan mekanisme akuntabilitas. Skor indeks ini mewakili sejauh mana perusahaan memenuhi standar minimum. Ada beberapa perusahaan yang mendapat skor di atas 50 (dari skala 100).
Secara keseluruhan ada beberapa kemajuan, meski tetap menyisakan masalah sejak Indeks ini dirilis pada 2015. Adalah semua orang masih kekurangan informasi dasar tentang siapa yang mengendalikan kemampuan mereka untuk terhubung, berbicara online, atau mengakses informasi, atau yang memiliki kemampuan untuk mengakses informasi pribadi mereka dalam keadaan apa.
Tindakan dari pemerintah di sejumlah negara cukup responsif dengan menerbitkan berbagai regulasi pendukung. Langkah sebaliknya dari perusahaan untuk mengambil langkah tegas belum tersampaikan dengan baik dalam menghormati hak-hak pengguna. Alhasil sebagian besar perusahaan masih gagal mengungkapkan aspek-aspek penting bagaimana mereka menangani dan mengamankan data pribadi.
“Meskipun ada peraturan baru di Uni Eropa dan negara lainnya, sebagian besar pengguna internet di dunia masih kekurangan fakta dasar tentang siapa yang dapat mengakses informasi pribadi mereka dalam keadaan apa, dan bagaimana mengontrol pengumpulan dan penggunaannya. Beberapa perusahaan ditemukan mengungkapkan lebih dari yang dipersyaratkan oleh hokum,” tulis laporan RDR Index 2019.
Data apa saja yang dikumpulkan dan cara menghentikan
Facebook dan perusahaan teknologi lainnya pada dasarnya berupaya untuk membuat bank data, dengan mengambil informasi sebanyak-banyaknya pengguna untuk bisa melihat profil seseorang. Tujuannya tak lain, mencari inspirasi produk apa yang sedang dan bakal dibutuhkan konsumen, agar saat diluncurkan nanti tepat sasaran.
Bagi aplikasi fintech pun kurang lebih mirip. Kenapa mereka bisa mencairkan dana dengan cepat? karena ada data digital yang aksesnya dibuka oleh pengguna untuk dianalisis oleh mesin pintar. Sebelum OJK turun tangan, mereka bisa mengakses berbagai data seperti galeri foto, daftar kontak, SMS, kalender, kamera, mikrofon, dan lainnya yang sebenarnya kurang relevan dengan fungsi aplikasi itu sendiri.
Setelah mengunduh, biasanya akan muncul pop up notifikasi berbagai permintaan akses yang tanpa diketahui atau dijelaskan mengapa mereka meminta akses tersebut. Celakanya, jika ada salah satu permintaan akses tersebut sengaja ditolak –berlaku untuk mayoritas aplikasi–muncul kecacatan fitur yang menganggu pengalaman pengguna. Akhirnya memaksa pengguna untuk memberikan semua akses yang diminta.
Karena muncul pemain fintech illegal dan korban yang berjatuhan, akhirnya pemberian akses data smartphone pengguna kini dibatasi hanya kamera, lokasi, dan mikrofon. Ketiganya adalah akses yang diperbolehkan oleh regulator buat para buat pemain fintech yang legal.
Cara mengetahui data apa saja yang diminta oleh aplikasi sebenarnya cukup mudah dan bisa dicek sendiri. Di Google Play, di dalam bagian “About this app” coba cek di bagian terbawah ada informasi detail terkait aplikasi tersebut. Akan ada tulisan “App permissions,” lalu pilih “See more.” Di sana akan terpapar jelas akses informasi apa saja yang diminta oleh aplikasi.
Umumnya juga, perusahaan mencantumkan dalam situsnya di bagian paling bawah mengenai kebijakan privasi. Berisi data-data apa saja yang mereka ambil dari pengguna, lalu menjelaskan tujuan penggunaan, dan komitmennya menjaga privasi pengguna dari pihak ketiga.
Sialnya karena diletakkan paling bawah, tidak menjadi sorotan pengguna. Susunannya yang panjang dengan ukuran yang kecil, menambah alasan buat pengguna untuk semakin tidak tertarik untuk membaca sampai selesai. Padahal informasi yang disampaikan begitu penting isinya.
Gojek
Di bagian Kebijakan Privasi mereka menjelaskan rincian data-data yang dikumpulkan langsung dari pengguna atau perangkat selulernya, setiap kali menggunakan aplikasi atau mengunjungi situs web, dan informasi yang dikumpulkan dari pihak ketiga.
Seluruh detail informasi data dicantumkan dalam situs Gojek. Beberapa di antaranya nama, alamat, tanggal lahir, pekerjaan, nomor telepon, faks, e-mail, rekening bank, detail kartu kredit, jenis kelamin, nomor identifikasi resmi, informasi biometrik.
Dalam salah satu klausulnya, Gojek membuka kesempatan untuk menarik data dengan pemberitahuan wajar secara tertulis. Konsekuensi yang diterima pengguna adalah akun dihentikan dan tidak bisa menggunakan aplikasi atau layanan untuk masa depan.
Tokopedia
Tokopedia juga tidak jauh berbeda. Mereka mengumpulkan data-data yang diserahkan secara mandiri oleh pengguna, tidak terbatas data saat mengisi survei atas nama perusahaan, melakukan interaksi dengan pengguna lainnya dengan fitur pesan, diskusi produk, ulasan, rating, data transaksi yang detail. Berlanjut, data lokasi riil seperti alamat IP, lokasi Wi-Fi, geo location, data cookies, pixel tags, data perangkat yang digunakan untuk mengakses situs, dan data lainnya yang diperoleh dari sumber lain.
Saat ditelusuri lebih jauh, pengguna tidak diberi kebebasan untuk untuk menghapus data. Tokopedia akan menyimpan informasi selama akun pengguna tetap aktif dan dapat melakukan penghapusan sesuai dengan ketentuan peraturan hukum yang berlaku.
Bukalapak
Sementara itu, Bukalapak membuka pengajuan penghapusan data dengan melampirkan bukti diri yang sah dan alasan permintaan penghapusan. Bukalapak akan mengabulkan permintaan tersebut jika memenuhi ketentuan yang diminta perusahaan.
Mencontoh dari tiga aplikasi ini saja bisa memberi gambaran jelas bahwa keberadaan RUU PDP ini begitu penting untuk mengembalikan pengguna kontrol penuh terhadap data mereka. Memang, perusahaan punya kewajiban untuk melindungi pengguna apabila ada potensi penipuan, tapi bukankah pemilik data punya kontrol lebih untuk itu?.
Berkaca pada perusahaan teknologi global, beberapa dari mereka menyediakan fitur yang berfungsi untuk menutup akses data dimanfaatkan oleh pihak ketiga. Facebook dan Google sudah merilisnya, meskipun masih disangsikan intensinya, tapi kini pengguna diberi kontrol untuk membatasi akses data mereka.
Google (termasuk YouTube)
Revenue utama Google adalah iklan. Pendapatan iklan dari YouTube pada tahun lalu mencapai $15 miliar, lebih dari pendapatan iklan gabungan dari tiga stasiun TV swasta di A.S, yakni ABC, NBC, dan Fox. Google mengklaim mengoperasikan jaringan iklannya secara internal. Namun, jika Anda ingin menghentikan Google berbagi data dengan divisinya sendiri, ada tool yang siapkan. Opsi ini disebut “Ad personalization.” Cukup geser slide agar personalisasi tersebut dimatikan.
Facebook
Entah perusahaan ini benar atau tidak menjual data pengguna, platform media sosial ini memberi akses kepada pihak ketiga untuk mengakses sejumlah informasi pengguna. Misalnya, tanggal lahir dan alamat email. Spotify memungkinkan Anda untuk mendaftar sebagai penggunanya, jika mendaftar melalui Facebook.
Untuk menutup akses tersebut, Anda cukup masuk ke laman Facebook. Lalu masuk ke Settings > Apps and Websites. Di dalam situ, Anda akan melihat pihak ketiga mana saja yang bisa mengakses data Facebook, cukup klik mana saja yang akan diputus.
Twitter
Twitter menyediakan opsi buat semua pengguna yang ingin keluar dari iklan yang sudah dipersonalisasi berdasarkan kebiasaan. Caranya dengan masuk ke laman Settings and privacy > Privacy and safety > Personalization and data dan slide tombolnya kekiri untuk mematikannya.
Spotify
Aplikasi streaming musik ini mengaku tidak begitu yakin apakah cara berbagi data yang mereka lakukan apakah dihitung sebagai penjualan, jika mengacu pada regulasi di California. Akan tetapi, mereka menyediakan tool untuk pengguna yang ingin menghentikan Spotify dari pengiklan dengan mematikan toggle “Tailored ads” di dalam laman pengaturan Privasi. Tool ini memungkinkan Spotify untuk menggunakan data apapun dari akun Facebook Anda untuk menargetkan iklan kepada Anda.
Penyalahgunaan data pribadi merupakan keniscayaan dalam arus informasi yang begitu cepat seperti sekarang. Celahnya ada di mana-mana. Sekali tak antisipasi, dampaknya bisa merembet ke mana saja.
Data pribadi merupakan jenis data yang meliputi identitas kependudukan seperti nama lengkap, NIK, tanggal lahir, hingga tempat tinggal. Pasal 6 ayat 3 RUU Perlindungan Data Pribadi menyebut apa yang dimaksud data pribadi mencakup keyakinan, data kesehatan, biometrik, genetika, kehidupan seksualitas, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, keterangan tentang kecacatan fisik dan mental. Meski masih belum disahkan, definisi tersebut memberi gambaran jelas tentang spektrum data pribadi.
Dalam era digital seperti sekarang, data adalah segalanya. Saat seseorang menikmati suatu layanan digital secara gratis, disadari atau tidak, dapat dipastikan mereka membayarnya dengan data.
Cara termudah mengetahui suatu perusahaan digital mengambil data sebagai “ongkos” layanannya adalah dengan mengintip izin aplikasi mereka. Ambil contoh Facebook. Di Google Play terlihat Facebook meminta hampir 40 jenis akses ke ponsel yang hendak mengunduhnya, mulai dari akses mengambil gambar dan video, merekam audio, lokasi akurat, hingga memanggil nomor telepon yang ada di kontak.
Nilai dari Data
Sebelumnya harus dipahami bahwa ada tiga jenis data kita yang dapat dipanen oleh pihak lain dari yakni: data sukarela diberikan, data yang diamati, dan data yang disimpulkan. Seperti namanya, data sukarela adalah data yang diberikan secara sukarela ke platform online, seperti yang kita lakukan saat registrasi ke suatu layanan. Sementara data hasil observasi adalah data yang diambil dari aktivitas online seseorang seperti riwayat peramban serta lokasi GPS. Terakhir, data yang disimpulkan merupakan gabungan dua jenis data sebelumnya.
Ketiga jenis data itu tentu berharga, terutama untuk perusahaan digital yang membutuhkan banyak sekali pasokan data untuk memoles produknya. Laporan The Atlantic menyebutkan data dari satu akun profil seseorang setara US$0,005. Sementara Google dan Facebook dilaporkan dapat memeras keuntungan masing-masing US$5 dan US$20 dari data tiap penggunannya.
Di Indonesia, data pribadi belum dianggap hal penting oleh masyarakat luas. Ini menjadi masalah ketika layanan digital sudah mengepung hampir semua sendi lapisan hidup masyarakat.
Literasi digital ini yang kemudian dimanfaatkan oleh beberapa pihak yang mencuri dan menyalahgunakan data pribadi yang bukan miliknya. Kasus yang ditemukan Hendra Hendrawan (23) dalam sebuah grup Facebook bernama Dream Market Official merupakan contoh bagaimana rentannya data pribadi disalahgunakan.
Hendra menemukan grup itu bebas memperjualbelikan jutaan data pribadi orang-orang dalam NIK dan KK pada 26 Juli lalu. Investigasi Kompas mendapati data pribadi yang diperjualbelikan di kalangan tenaga pemasaran kartu kredit merentang dari Rp300 hingga Rp50.000 per data. Data itu memuat sejumlah informasi dari nama lengkap, alamat, nomor telepon, nama ibu kandung, hingga kemampuan finansial seseorang. Ia lantas melaporkan kejadian ini ke publik dan mendapat respons dari Kementerian Dalam Negeri.
Pada kasus yang berbeda, ada banyak warga yang datanya diambil dan disalahgunakan. LBH Jakarta terakhir mengumumkan ada 5.000 lebih pengaduan terkait penyalahgunaan data pribadi. Kasus yang mereka tangani salah satunya berasal dari pinjaman uang online. Contoh imbas terburuk dari penyalahgunaan data ini adalah pelecehan seksual hingga perundungan.
Koordinator Regional SAFEnet (Southeast Asia Freedom of Expression Network) Damar Juniarto kepada DailySocial menjelaskan, banyaknya kasus penyalahgunaan data pribadi tak lepas dari tingkat literasi digital masyarakat yang masih rendah.
Damar mengatakan, terlepas dari motivasi para pelaku, masyarakat masih kesulitan membedakan mana data yang bisa disebar ke publik dan mana yang tidak. Bahkan hingga saat ini, cukup dengan menelusuri mesin pencari, seseorang bisa menemukan data pribadi seperti NIK dan KK.
Kesulitan serupa juga muncul ketika mengunduh suatu aplikasi tanpa menengok izin akses yang mereka berikan ke pihak aplikasi. Masalahnya, sebanyak dan semengganggu apa pun suatu aplikasi meminta akses ke data penggunanya, permintaan itu bersifat legal jika pengguna menyetujui permintaan saat memasang aplikasi tersebut.
“Misal saat memasang aplikasi, kita wajib mempertimbangkan saat apps minta permission. Saat minta permission untuk akses kamera misalnya, harus dipikir itu perlu atau tidak,” ujar Damar.
Damar menyarankan pengguna media sosial tidak memperlihatkan data-data yang bersifat sensitif baik di bio maupun profil mereka.
Namun potensi penyalahgunaan data tak hanya berasal dari aktivitas online seseorang. Tak sedikit aktivitas offline dapat berakibat pada penyebaran data pribadi kita.
Contoh paling mudah adalah fotokopi KTP yang tercecer. Kerawanan yang sama juga ada ketika permintaan meninggalkan KTP dan nomor telepon ketika hendak memasuki suatu gedung.
“Kalau untuk masuk akses gedung harus wajib kasih KTP enggak masalah. Yang jadi persoalan kalau dia minta data lebih dari itu seperti nomor telepon. Padahal kan enggak ada hubungannya. Itu bisa disiasati dengan mengganti tiga nomor terakhir,” saran Damar.
Menolak Data Digunakan
Ketika data pribadi sudah tersebar ke banyak tangan, tak banyak yang bisa dilakukan. Namun dalam konteks telepon telemarketing yang kerap mengganggu, pengguna bisa meminta. Ini memungkinkan karena ada aturan hukum yang mendukungnya.
Aturan pertama adalah Peraturan Otoritas Jasa Keuangan (POJK) Nomor 1/POJK.7/2013. Aturan itu melarang telepon atau SMS penawaran produk dari bank, lembaga keuangan lain, dan telemarketing freelance yang memakai telepon seluler. Masyarakat dapat mengadu ke OJK di nomor telepon (021) 5006555 jika mendapat telepon atau SMS penawaran produk.
Pasal 17 Undang-undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik juga melarang secara tidak langsung marketing. Beleid itu menyatakan informasi pribadi, termasuk nomor telepon, sebagai informasi yang bersifat rahasia. Terakhir, negara sendiri sudah mengakui privasi dalam Pasal 5 ayat (1), Pasal 20, Pasal 28 G ayat (1), Pasal 28 H ayat (4), dan Pasal 28 J UUD 1945.
Pentingnya UU Perlindungan Data Pribadi
Kendati sudah ada beberapa aturan yang mengatur mengenai data, Damar menilai publik tetap membutuhkan aturan khusus yang fokus menangani data yakni UU Perlindungan Data Pribadi (PDP).
Keberadaan UU PDP, menurut Damar, akan memayungi aturan mengenai data yang tersebar di berbagai sektor. Pada akhirnya beleid ini akan memudahkan negara dan masyarakat dalam menangani kasus penyalahgunaan data yang kerap kali dilakukan secara terpisah dan memakan waktu karena butuh koordinasi antarsektor.
“Kalau UU PDP ini muncul, dia akan jadi omnibus law yang memayungi semuanya menjadi lebih kuat,” pungkas Damar.
Sayangnya kebutuhan akan UU PDP ini masih terganjal dalam proses legislasi. Setelah beberapa tahun berbentuk draf, Rancangan UU PDP berhasil masuk daftar prioritas program legislasi nasional di DPR. Namun hingga sekarang ketika masa kerja DPR berakhir, rancangan itu tak kunjung disahkan.
Pemerintah tampaknya menempatkan isu keamanan data pelanggan menjadi salah satu kebijakan yang berkaitan dengan startup. Hal ini terlihat dari komentar Menteri Komunikasi dan Informatika (Menkominfo) Rudiantara yang dikutip dari beberapa media. Ia menyatakan bahwa pemerintah akan segera menerbitkan aturan mengenai perlindungan data pelanggan secepatnya. Disinyalir aturan ini akan keluar dalam bentuk Peraturan Menteri (Permen) dan akan terbit pada tahun ini.
Rencananya isu-isu yang akan dibahas dan tertuang dalam peraturan tersebut meliputi aturan perlindungan data pribadi seperti penyelesaian sengketa dan kewajiban dari pengendali data pribadi. Sesuatu yang memang sangat dibutuhkan Indonesia saat ini.
“Tahun ini pasti, kita lindungi masyarakat dulu yang bisa lakukan pakai Permen, ya Permen dulu, kalau UU kita prolegnas dulu, lama lagi,” papar Rudiantara.
Aturan-aturan perlindungan data dan konsumen memang sudah berjalan di berbagai sektor, namun untuk sektor startup yang mana data digital sudah banyak berisi data-data pribadi seperti nomor telepon, alamat rumah, ukuran baju, dan data-data lainnya bisa dengan mudah dibagikan dengan penyedia layanan. Meski setiap penyedia layanan dalam hal ini startup sudah menjelaskan kebijakan mereka banyak pengguna yang masih acuh tak acuh untuk membacanya.
Ketua Yayasan Lembaga Konsumen Indonesia Tulus Abadi seperti dikutip dari Media Indonesia menyebutkan langkah DPR yang baru-baru ini meloloskan Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi merupakan langkah yang tepat. Menurutnya saat ini konsumen perlu dilindungi dari pihak-pihak yang sering menyalah gunakan data pribadi konsumen.
“UU itu sangat penting dan urgen di tengah era digitalisasi ini. Di sisi lain, terbukti bahwa para pelaku usaha itu sering menyalahgunakan data pribadi nasabah atau konsumen tanpa seizin nasabah untuk kepentingan bisnis mereka,” kata Tulus.
Selain masalah penyalahgunaan data, kebocoran data pribadi dari sistem yang dimiliki oleh startup juga menjadi hal yang selayaknya disorot. Mungkin saat ini pemerintah tengah fokus pada perlindungan data pribadi tapi sebaiknya peraturan juga mengatur mengenai kejahatan digital yang semakin marak akhir-akhir ini. Terlebih untuk isu-isu carding dan pencurian data kartu kredit. Sebuah isu yang tentunya merugikan konsumen sekaligus merugikan ekosistem dan kepercayaan yang sudah dibangun dalam beberapa tahun belakangan.