Publik kembali dihebohkan dengan temuan masyarakat tentang kebocoran data yang berisi informasi penting seputar kependudukan. Kali ini data tersebut disinyalir bersumber dari BPJS Kesehatan – termasuk didasarkan pada sampel data yang kini sudah diperjual-belikan di pasar gelap, strukturnya identik dengan basis data kelolaan BPJS Kesehatan, terdiri dari Nama, NIK, No. Kartu, No. Telp, Email, NPWP, Gaji, dll.
Ini bukan kali pertama, sebelumnya pertengahan tahun lalu ramai diperbincangkan jutaan data kependudukan yang berasal dari Daftar Pemilih Tetap Pemilu 2014. Jika merujuk pada klasifikasi data dalam Peraturan Pemerintah, maka data yang bocor tersebut masuk dalam kategori “data elektronik strategis”, level tertinggi yang bahkan peletakan servernya pun tidak boleh di luar Indonesia.
Menanggapi hal ini, BPJS Kesehatan dan pemerintah [dalam hal ini diwakili Kominfo] menyatakan sedang melakukan penelusuran dan pendalaman.
Bahaya penyalahgunaan
Jika kemudahan yang dihadirkan dari layanan digital itu bagai pisau bermata dua, ancaman penyalahgunaan data dapat menjadi salah satu ujung negatifnya. Dampaknya bisa dirasakan secara langsung oleh masyarakat. Misalnya digunakan untuk pemalsuan identitas, melakukan transaksi finansial digital secara ilegal, atau dipelajari guna menemukan pola-pola tertentu untuk tujuan buruk.
Faktanya masih banyak celah di berbagai layanan digital yang saat ini banyak digunakan oleh konsumen Indonesia. Seperti kurang ketatnya sistem verifikasi dari berbagai platform – ada kejadian orang mencetak kartu identitas palsu dengan NIK dan nama yang mungkin benar untuk melewati proses e-KYC dengan swafoto KTP. Untungnya beberapa pengembang kini mulai meningkatkan sekuriti seperti dengan mengimplementasikan tanda tangan digital berbasis biometrik.
Dengan sifatnya yang strategis, jelas data itu harusnya memiliki sistem keamanan dan privasi yang tinggi. Idealnya juga menjadi hak masyarakat untuk mendapatkan perlindungan dari data-data terkait dirinya. Karena sudah terjadi, lantas siapa yang harus bertanggung jawab? Apa langkah represif yang harus dilakukan?
Pertanyaan ini sekarang masih cukup sulit dicari jawabannya. Berangkat dari pengalaman sebelumnya, kami tidak pernah mendengar bagaimana tindak lanjut [sanksi] pemerintah terhadap kebocoran data konsumen yang sempat mencederai beberapa layanan digital dengan pengguna masif di Indonesia, padahal di dalamnya juga terdapat berbagai data penting terkait identitas pengguna. Pasalnya memang tidak ada satu pun kewajiban hukum yang bisa dikenakan karena regulasinya belum ada.
Apa kabar UU PDP?
Kabarnya, masih belum juga selesai. Rancangan beleid yang masuk dalam Program Legislasi Nasional Prioritas 2021 sempat dikatakan rampung sebelum lebaran tahun ini, nyatanya masih belum juga selesai.
Berdasarkan draf per Desember 2019, regulasi tersebut memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Dari analisis kami berbincang dengan narasumber, kala itu memang masih banyak potensi celah yang masih mengancam hak privasi data pribadi – dengan harapan draf tersebut kini telah disempurnakan. Padahal jika disahkan banyak hak konsumen yang akan difasilitasi lewat aturan, misalnya pengguna boleh meminta perusahaan pengelola data untuk menghapus datanya dan tidak menggunakan lagi [termasuk untuk kepentingan komersial].
Termasuk denda dengan nominal sangat besar yang konon akan dijadikan kewajiban hukum kepada penyelenggara sistem elektronik apabila terbukti data konsumennya bocor. Diharapkan langkah ini memaksa pengembang untuk menaruh perhatian lebih kepada strategi dan langkah preventif dalam mengamankan data-data penting mereka.
Lalu dengan rentetan kasus yang terus terjadi, masihkah regulator ingin menunda-nunda pengesahan Undang-Undang Perlindungan Data Pribadi? Dua ratus juta lebih data kependudukan di pasar gelap harusnya menjadi sebuah tamparan keras bagi pihak-pihak terkait.
Masyarakat hanya bisa pasrah?
Sayangnya di kondisi tertentu: IYA. Apa yang bisa kita lakukan untuk memberikan perlindungan lebih kepada data BPJS Kesehatan. Bahkan, untuk aplikasi yang dikembangkan perusahaan digital, langkah-langkah yang mungkin bisa diambil baru seputar rutin mengganti kata sandi, mengaktifkan autentikasi dua faktor, atau memperhatikan kredibilitas layanan. Belum ada mekanisme formal yang dijalankan untuk permintaan penghapusan data atau sejenisnya.
Keadaan ini benar-benar menjadikan urgensi penegakan UU PDP makin krusial. Perlindungan hukum akan menjadi payung penting yang memberikan kenyamanan kepada masyarakat atas data-data yang mereka miliki. Karena data satu orang pun memiliki nilai yang sangat mahal dan harus dilindungi hak-hak privasinya.
Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) cepat atau lambat akan disahkan oleh parlemen menjadi produk hukum tetap. Keberadaan beleid itu kian penting karena masyarakat sudah makin terhubung dengan layanan digital.
Dengan kata lain, RUU PDP menjadi satu-satunya harapan bagi masyarakat agar data yang mereka serahkan ke sejumlah platform layanan digital dapat benar-benar dilindungi. Namun aturan perlindungan data pribadi yang lebih ketat punya dampak yang berbeda ke dunia periklanan digital.
Indonesia Digital Association menangkap potensi dampak tersebut. Ketua IDA Dian Gemiano mengakui dampak yang akan dibawa oleh RUU PDP akan besar terhadap periklanan digital. Namun ia meyakini industri periklanan digital tak perlu khawatir asal dapat beradaptasi dengan cepat.
“Aturan-aturan tersebut juga akan melindungi pemilik usaha dari gangguan para pelaku data fraud yang sering merugikan pelaku usaha yang legitimate,” ujar Gemi.
Chairman Asosiasi Big Data dan AI Indonesia Rudi Rusidah menjelaskan, tujuan utama RUU PDP adalah menjaga kedaulatan data masyarakat. Rudi, yang aktif terlibat dalam pembahasan RUU PDP, menilai regulasi itu cukup penting dalam kegiatan periklanan digital untuk meminimalisasi kebocoran data atau penyalahgunaan data. Salah satu caranya adalah dengan menukar data yang bisa diidentifikasi ke pemilik data dengan kode atau nomor-nomor tertentu. Cara tersebut dinamakan pseudonymization.
“Di dalam peraturan itu nanti kalau mau sharing data atau menjual data ke orang lain datanya harus dibikin anonim,” imbuh Rudi.
Industri periklanan digital, baik lokal maupun global, memang sedang menghadapi tantangan besar sepanjang tahun ini. Di Eropa, berlakunya GDPR mengubah banyak hal dalam khususnya cara kerja industri periklanan digital.
Tekanan untuk mengamankan data pribadi di berbagai platform digital pun terus menguat. Kabar terbesar paling anyar datang dari Google yang berencana mematikan secara bertahap third party cookies di peramban Chrome dalam dua tahun ke depan.
Dalam dunia periklanan digital, third party cookies adalah alat yang dapat membantu mereka dalam menelusuri data pengguna antarsitus web yang berbeda. Dengan alat itu pemilik situs dapat melakukan re-marketing atau re-targeting dalam sebuah kampanye.
Data dari StatCounter pada September 2020 menunjukkan pangsa pasar peramban Google Chrome di Indonesia mencapai 77,5%. Hilangnya third party cookies di peramban itu jelas akan memaksa banyak pihak di industri periklanan digital mencari cara baru dalam mengelola dan memonetisasi first party data.
“Penting bagi pelaku industri digital mengerti bagaimana praktik bisnis bisa mematuhi peraturan data pribadi yang ada di industri, meskipun saat ini masih berbentuk RUU,” pungkas Gemi.
Apa yang bisa kita lakukan sebagai pengguna layanan digital ketika data yang kita serahkan justru bocor dan diperjualbelikan di pasar gelap? Di Indonesia, jawabannya hampir tidak ada. Rentetan kasus kebocoran data beberapa waktu terakhir menunjukkan konsumen berada di posisi terlemah dalam siklus ini.
Belum jelas nasib kebocoran data di Tokopedia dan Kredit Plus, kasus serupa terulang lagi. Kali ini Cermati dan RedDoorz yang kena bidik peretas. Sekitar 2,9 juta data di Cermati yang digondol peretas berisi bermacam data mulai dari alamat email, kata sandi, alamat, nomor telepon, pendapatan, bank, nomor pajak, nomor identitas, hingga nama ibu kandung. Set data ini tergolong sensitif dan berharga untuk diperjualbelikan.
Jumlah data yang dicuri dari Reddoorz lebih banyak mencapai 5,8 juta data. Data itu berupa nama, alamat email, nomor telepon, dan detail pemesanan. Peretas menjual gelondongan data itu seharga US$2.000 atau sekitar Rp28 juta.
Selain mengambil langkah pencegahan, apa yang bisa kita lakukan sebagai pengguna jika dirugikan akibat kebocoran data yang sudah terjadi?
Pratama Prasadha, peneliti keamanan siber dari Communication and Information System Security Research Center (CISSRec), mengakui kondisi saat ini memang menyulitkan konsumen platform digital menggugat penyelenggara sistem dan transaksi elektronik (PSTE). Pasalnya memang tidak ada satu pun kewajiban hukum yang bisa dikenakan kepada PSTE atas kelalaian mereka.
“Di Indonesia sulit bagi konsumen untuk melakukan tuntutan hukum atas kebocoran data pribadi yang dikelola PSTE. Adapun konsumen atau masyarakat dalam posisi sangat lemah untuk meminta pertanggungjawaban PSTE,” ujar Pratama.
Pratama menjelaskan, sejatinya ada sanksi yang bisa dikejar konsumen sesuai Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016. Pasal 36 menyebutkan ada sejumlah sanksi administratif bagi mereka yang melanggar ketentuan berupa peringatan lisan, peringatan tertulis, penghentian sementara kegiatan, dan/atau pengumuman di situs dalam jaringan.
Dilihat dari sudut mana pun, jenis sanksi tersebut terlampau ringan jika dibandingkan risiko yang harus dihadapi oleh pengguna yang datanya sudah tercecer di mana-mana. Pratama menilai tanpa ancaman hukuman yang serius, hampir dipastikan insiden kebocoran data akan terus berulang.
“PSTE tidak ada kewajiban mengamankan dengan sebaik-baiknya karena juga tidak ada ancaman hukuman bila lalai,” imbuh Pratama.
Damar Juniarto dari Southeast Asia Freedom of Expression Network (SAFEnet) menekankan saat ini memang belum ada mekanisme yang bisa ditempuh konsumen baik secara perdata maupun pidana atas kerugian yang mereka derita. Tanpa peraturan yang betul-betul melindungi masyarakat sebagai konsumen dan warga negara, perlindungan data pribadi masih sebatas wacana.
Sudah banyak orang mendambakan RUU PDP segera disahkan menjadi peraturan resmi. Bertahun-tahun DPR selalu meminggirkan beleid ini untuk segera disahkan. Padahal keadaan di lapangan menunjukkan RUU PDP makin dibutuhkan untuk melindungi masyarakat yang kian terekspos terhadap layanan digital.
Salah satu yang disebut bisa mencegah maraknya kebocoran data adalah sistem denda yang akan dikenakan kepada PSTE. Proses penyusunan RUU PDP kerap disebut berkiblat pada GDPR (General Data Protection Regulation) milik Uni Eropa. Pemberian sanksi denda yang berat adalah salah satu karakter GDPR. Tak jarang aturan itu bisa menjerat suatu entitas yang bersalah dengan denda puluhan hingga ratusan juta euro.
Yang jadi persoalan dalam pembahasan RUU PDP selama ini belum ada kepastian apakah sistem denda dan sanksi administratif jadi fokus utama atau sistem pidana yang akan dipilih. Namun anggota Komisi I DPR RI Charles Honoris mengatakan beleid tersebut akan meninggalkan sanksi pidana untuk menghindari tumpang tindih dengan peraturan lain.
“Dalam berbagai perdebatan, ya, dan masukan yang kami terima dari beberapa stakeholder alangkah baiknya apabila aturan sanksi pidana yang sudah diatur dalam UU lain tidak lagi diatur di UU PDP,” ujar Charles seperti dikutip dari Kompas.
Contoh denda jumbo itu seperti Inggris yang menuntut Marriot membayar denda 99 juta poundsterling atau sekitar Rp1,8 triliun karena gagal melindungi data konsumen mereka yang bocor. Belum lama Inggris juga menuntut British Airways membayar denda 183 juta poundsterling atas kelalaian mereka. Pada akhirnya kedua perusahaan tadi diampuni dengan denda lebih rendah karena menghadapi kesulitan finansial akibat pandemi.
Selama pemberlakuan sanksi denda tersebut belum ada di Indonesia, banyak pihak ragu ada perubahan berarti dalam lanskap keamanan digital. Tanpa ancaman serius terhadap PSTE, insiden kebocoran data adalah sebuah keniscayaan. Lebih parah lagi hal tersebut bisa berakibat buruk terhadap kepercayaan konsumen.
Namun masyarakat sepertinya patut bersabar lebih untuk RUU PDP. Pasalnya kecil kemungkinan DPR dapat meloloskan RUU PDP di tahun ini dengan masa sidang yang tak lama lagi.
“Harapan saya di 2020 ini kita sudah bisa memiliki UU PDP. Tapi mengingat sisa masa sidang tinggal 1 bulan lagi sepertinya agak sulit direalisasikan,” ucap Charles dalam webinar dengan Lembaga Studi dan Advokasi Masyarakat (ELSAM).
Hingga saat ini tidak ada satu pun kasus kebocoran data yang diusut tuntas. Insiden Bukalapak, Tokopedia, Kredit Plus, Cermati, dan Reddoorz masih tak ada kejelasan siapa yang harus bertanggung jawab. Pertanyaan juga perlu dialamatkan ke Kemenkominfo, Otoritas Jasa Keuangan (OJK), dan Badan Siber dan Sandi Negara (BSSN) yang bertugas mengawasi dan mencari pertanggungjawaban PTSE terhadap konsumen.
Beberapa tahun terakhir setidaknya ada satu kejadian peretasan cukup besar yang muncul hampir setiap tahun. Beberapa hari yang lalu ada Tokopedia dan Bhinneka. Tahun lalu ada Bukalapak. Ada juga celah yang ditemukan di Gojek yang mengekspos data para penggunanya beberapa tahun silam.
Kejadian-kejadian tersebut tentu membuat banyak orang bertanya ada apa dengan keamanan perusahaan internet di Indonesia. Rentetan insiden ini pun menjadi sebuah momen yang tepat bagi para platform digital di Tanah Air untuk melihat kembali apa yang sudah mereka lakukan dalam mengamankan data penggunanya.
Insiden Tokopedia
Sebuah email dari Tokopedia atas nama Founder & CEO William Tanuwijaya mendarat di kotek surel pengguna Tokopedia pada 12 Mei 2020 atau sekitar 10 hari ketika pembobolan data di Tokopedia terkuak ke publik. Surat itu kurang lebih berisi ucapan William untuk meyakinkan para pengguna bahwa mereka sudah mengambil langkah-langkah yang diperlukan untuk mengatasi kasus pencurian data itu.
Surat dari William tersebut tak mengherankan karena tingkat kegawatan yang terjadi memang sebesar itu. Data dari sekitar 91 juta pengguna dijual secara ilegal oleh peretas yang mencurinya. Data itu terdiri nama lengkap, alamat email, nomor telepon, tanggal lahir, hingga kata sandi yang beruntung masih terlindungi (hashed).
“Kami memahami bahwa kejadian ini telah menimbulkan ketidaknyamanan pada seluruh pengguna. Maka dari itu, kami ingin mengucapkan terima kasih yang sebesar-besarnya kepada seluruh pengguna Tokopedia atas dukungan Anda yang tiada henti kepada kami di tengah tantangan kali ini,” pungkas William dalam surat itu.
Rentang waktu dari terkuaknya pencurian data sampai surat William memakan waktu 10 hari. Mereka mengerahkan tim internal dan eksternal serta menggandeng Badan Siber dan Sandi Negara (BSSN) untuk menginvestigasi kasus ini. Namun hingga sekarang belum terdengar ada kabar lanjutan tentang investigasi tersebut ke telinga pengguna.
Melacak Sebab
Sebuah kemungkinan penyebab dari kasus Tokopedia muncul ke permukaan dari mulut Teguh Aprianto, pendiri dan ketua umum Ethical Hacker Indonesia. Dalam wawancaranya dengan Nathaniel Rayestu di Asumsi Bersuara beberapa hari lalu, Teguh menyebut program bug bounty yang tidak dilakukan secara sungguh-sungguh oleh Tokopedia sebagai penyebab pembobolan data di sana.
Program bug bounty adalah semacam sayembara yang mengundang para peneliti keamanan berlomba-lomba mencari dan menemukan bug di situs web, software, atau aplikasi. Sebagian besar perusahaan internet besar di Indonesia punya program ini.
Hanya saja dalam kasus Tokopedia, Teguh mengatakan perusahaan e-commerce itu tak setia dengan program bug bounty yang mereka buat. Hal itu terjadi karena ketika ada laporan penemuan bug yang dikirim, pihak Tokopedia menyebut tim internal mereka sudah menemukannya lebih dulu.
“Misal hari ini gue lapor ke Tokopedia, nanti beberapa hari kemudian ada balasan dari Tokopedia isinya ‘kami sudah menemukan dari internal kita’. Kalau sudah ditemukan oleh internal, masa sudah berbulan-bulan enggak diatasi. Dan ini berulang kali kejadian. Mekanisme yang mereka lakukan ini tidak jelas, tidak ada tranparansinya,” ucap Teguh.
Teguh menyebut kasus pencurian data di Tokopedia sudah terjadi sekali sebelumnya. Sejak kejadian pertama itu, ia dan komunitas bug hunter sudah memperkirakan ada bom waktu yang berpotensi berdampak serupa. Penyebab di kasus Tokopedia itu disebut tak berbeda dengan kasus Bukalapak yang mencuat tahun lalu.
“Tokopedia dan Bukalapak itu dua company yang menjalankan program bug bounty. Tapi problemnya company ini sudah di-blacklist oleh peneliti atau bug hunter karena laporan yang masuk enggak ditangani secara profesional,” imbuhnya.
Kami menghubungi Tokopedia dan Bukalapak untuk menggali lebih jauh soal penyebab kebocoran data yang menimpa mereka. Hasilnya, Tokopedia menolak berkomentar. Sementara itu Bukalapak mengaku tak tahu ada pihak yang memasukkan mereka ke daftar hitam untuk urusan bug bounty.
“Kami tidak mengetahui tentang adanya blacklist pada program bug bounty komersial manapun. Kami memiliki program bug bounty dengan tingkat partisipasi luar biasa yang membantu kami meningkatkan keamanan platform,” tulis Head of Corporate Communication Bukalapak Intan Wibisono kepada DailySocial.
Kami berbicara lebih lanjut dengan Girindro Pringgo Digdo, CEO CyberArmyID, sebuah perusahaan keamanan siber yang menghubungkan bug hunter dengan perusahaan atau organisasi yang membutuhkan. Dari pengalamannya, Girindro mengatakan memang ada dilema yang kerap dihadapi oleh bug hunter dalam program bug bounty.
Dilema yang dimaksud Girindro, senada dengan narasi Teguh sebelumnya, hasil kerja bug hunter sudah diklaim ditemukan internal perusahaan lebih dulu. Girindro menegaskan hal itu sudah sering terjadi. Perkara temuannya adalah duplikasi atau tidak, menurut Girindro, hal itu keputusan sang bug hunter.
“Kalau bug hunter tidak puas atas temuan yang disebut duplikat terus, menurut saya lebih baik main di tempat lain saja. Enggak usah ikut di tempat itu lagi,” jelas Girindro.
Kendati demikian Girindro mengakui, berdasarkan pengalamannya, cukup banyak aplikasi milik perusahaan lokal yang punya banyak celah sehingga rentan dieksploitasi. Hal itu, menurut Girindro, cukup menjadi alasan bagi semua entitas di Indonesia mempersiapkan aspek sumber daya manusia, prosedur kebijakan, dan teknologi untuk mengamankan data pengguna mereka.
“Kalau bicara keamanan, apalagi yang asetnya sudah tinggi, keamanan itu harusnya sudah bukan beban, melainkan prioritas bisnis,” ungkapnya.
Sekali lagi, kita butuh UU PDP
Jika ada satu hal yang perlu dilakukan pemerintah dan wakil rakyat di parlemen dalam menyikapi rentetan kasus pembobolan data di perusahaan internet kita adalah mempercepat pengesahanRUU Perlindungan Data Pribadi sebagai undang-undang.
Setiap kali ada kasus pencurian data itu, pengguna yang sudah dirugikan seolah punya kuasa untuk menuntut keamanan data yang mereka amanatkan kepada penyedia layanan digital.
Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Ketika beleid itu sah menjadi UU, kuasa masyarakat sebagai konsumen dan warga negara atas data mereka akan lebih kuat dari sebelumnya.
“Refleksi atas pelaksanaan hukum digital perlu menjadi pertimbangan dalam menentukan sanksi hukum yang tepat bagi mereka yang melakukan pelanggaran data pribadi,” tukas Direktur Eksekutif SAFEnet Damar Juniarto beberapa waktu lalu.
Sementara itu, Teguh menambahkan memang ada aspek edukasi publik yang harus berjalan beriringan dengan proses legislasi RUU PDP. Namun ia menegaskan dalam situasi saat ini RUU PDP lebih dibutuhkan.
“Kalau dibanding dua-duanya, menurut gue lebih butuh UU PDP karena awareness publik itu butuh waktu lebih lama,” pungkas Teguh.
The government officially submitted the draft of Personal Data Protection Act (PDP Bill) to the Indonesian Parliament. This draft will be discussed immediately after the completion of the Omnibus Law Act.
Based on the draft as of December 2019, the PDP Bill contains 72 articles and 15 chapters governing the definition of personal data, types, ownerships, processing, exceptions, controllers and processors, transmissions, authorized institutions that regulate personal data, and resolution. In addition, it regulates international partnerships and sanctions imposed for misuse of personal data.
While waiting for the regulation to be ratified, whose authority is in the People’s Representative Council (DPR), we need to know more about how to interpret in daily life. What is the impact before and after the regulation for the public?
Understanding the types of data based on the PDP Act draft
Source: Pixabay
The PDP Bill defines personal data as any data about a person, whether identified and can be identified separately or combined with other information, directly or indirectly, electronic and non-electronic systems.
Types of personal data are divided into two, the general and specific data. The general category includes data that can be accessed through public services or listed in official identity. For example, your full name, gender, nationality, religion, and personal data must be combined to make it possible to identify someone.
Meanwhile, specific data is data that is sensitive to the safety and comfort of the life of the owner of personal data, namely health data and information, biometric data, genetic data, sexual orientation, political views, crime records, child data, personal financial data, and/or other data in accordance with statutory provisions. In order to get these data, approval from the owner is necessary.
What should be appreciated and fixed
SAFEnet’s Executive Director, Damar Juniarto said, the PDP Bill refers to one of the fundamentals of the 1945 Constitution article 28 paragraph G stated the philosophical basis of personal data protection, the guarantee of citizens’ self-protection.
Therefore, there are three things must be stated the PDP Bill. The right to personal, family, honor, dignity and property protection; the right to security; and the right of protection against the threat of fear to do or not do something.
The assessment he made for the PDP Bill contents was a progressive step in ensuring the certainty of the citizens’ self-protection. “SAFEnet welcomes the presence of the PDP Bill which will soon be discussed at the Commission I of the DPR RI,” Damar said in a written statement.
Source: Pixabay
This bill, he continued, succeeded in formulating the concept of upholding data sovereignty; outline a longer draft of April 2019 in specific personal data; provide recognition of important basic rights in the principle of the right to privacy such as the need for citizen consent in data collection, the right to correction, and the right to withdraw data; emphasized on the time limit while residents withdraw the data; and sanction violations.
On the other hand, the part that needs improvement is the dimming of important issues that have been a public concern, such as profiling issue, illegal tapping by state institutions and corporations, alleged buying and selling of personal data by state institutions and discriminating sanctions against individuals and corporations that committed violation.
“Profiling can only be stopped whether residents raise objections as contained in article 10. Frankly, in SAFEnet’s view, this is not enough. Profiling must be included in specific personal data because it is an important protection against the threat of oneself and protection of the right to do or not do something.”
Illegal tapping, defined as an effort to acquire personal data by planting spyware on smartphone devices, collecting data through an unknown cloud, or applying AI in the form of facial recognition technology.
Discrimination of legal sanctions threatens an injustice feeling of the community for the right to privacy. The ITE Law, which was issued over 10 years ago, has problems with the number of convicted citizens and criminal proceedings during unfair law enforcement and justice.
“Reflection on the implementation of digital law needs to be taken into consideration in determining appropriate legal sanctions for those who commit personal data violations.”
He thought in general, the PDP Bill narrowed the right to privacy to the extent of protecting personal data. Therefore, what should be the scope of this law is reduced to the issue of personal data. Whereas today, data is closely related to the lives of the human owners and when abused will endanger the lives of these people due to the possibility of crime.
“There is a right to security attached to it [PDP bill]. Therefore, it might sound like the PDP bill emphasized personal data definition as merely a commodity. Whereas personal data is not just a commodity, it concerns the virtual human dignity, the PDP Bill must protect the human being involved, not only the data.”
Once passed..
Source: Pixabay
Once the regulation passed, the greatest power you have for companies that collect your data and liability is to request for data removal. On the other side, the greatest right – or perhaps the most competed – is the ability to stop companies from selling your data to other parties, such as advertisers.
Selling data has been the most irritating issue for consumers. The condition does not apply when you consciously enter a photo in your Facebook account or enter your home address in the e-commerce application. Unlike the case, if they cash it, therefore, other companies you’ve never visited create a profile without your knowledge or approval.
The word “sell” does not mean literally in the form of money. When the company gains something or other benefits from your data for others, it can be categorized as selling. Exceptions only apply when the company sends data to “service providers” if the e-commerce site shares your credit card number and processes payments to complete the sale.
Data selling is a very sensitive issue for technology companies, especially giants like Google and Facebook, and the time when the Cambridge Analytica scandal hit Facebook. Data is the new oil.
The PDP bill also applies to office buildings that often request visitor data and photograph faces. This regulation accommodates data collectors to declare their purpose as retrieving data and guarantee its safety. As often the issues of data leak anywhere and anytime.
Of the companies surveyed, some are running the business in Indonesia, which considers this report more or less correlated. As it was mentioned from 24 famous global technology and telco, Microsoft ranked the first, followed by Google and Verizon Media. Next, from telco are Telefonica, Vodafone, and AT&T.
There are 35 indicators for the 24 companies that were evaluated, examined the matter of commitments, policies, and practices that affect freedom of expression and privacy, including corporate governance and accountability mechanisms. This index score represents the extent to which companies meet minimum standards. There are several companies that score above 50 (on a scale of 100).
Overall, there has been some progress, although some issues remain since the Index was released in 2015. Does everyone still lacking basic information about who is controlling their ability to connect, talk online, or access information, or who has the ability to access their personal information in any circumstance.
The government in some countries is quite responsive by issuing various supporting regulations. Whereas the company action to take decisive steps in respecting user rights has not been well conveyed. As a result, most companies still fail to reveal important aspects of how they handle and secure personal data.
“Despite new regulations in the European Union and other countries, most global internet users still lack basic facts about who can access their personal information under what circumstances, and how to control their collection and use. Some companies have been found to disclose more than is required by law,” as stated in the 2019 RDR Index report.
What kind of data collected and how to stop it
Facebook and other technology companies are basically trying to create a data bank, by taking as much user information in one’s profile. The goal is none other, looking for inspiration for what products are and will be needed by consumers, to have it on target when it’s launched.
Fintech applications are more or less similar. Why can they withdraw funds quickly? because there is digital data made accessible by users to be analyzed by smart machines. Before the FSA intervened, they could access various data such as photo galleries, contact lists, SMS, calendars, cameras, microphones, and others that were actually less relevant to the application function.
Source: Pixabay
Usually, there will be pop-up notifications for various access requests that are unknown or explained after downloading. Unfortunately, if one of the access requests is intentionally denied – applicable to the majority of apps – there will be flaws appeared that interfere with the user experience. Eventually, it forces the user to allow all requested access.
Due to the rise of illegal fintech players and victims, user’s smartphone data access is now limited to only cameras, locations, and microphones. All three are permitted by regulators for legal fintech players.
The way to find out what data is requested by the application is quite easy and available for check. On Google Play, try to check at the bottom of the “About this app” section, there is detailed information related to the application. There will be “App permissions,” and choose to “See more.” There will be a clear statement of access to any information requested by the application.
In general, companies will state privacy policies on their sites at the very bottom. It consists of data they take from users, the purpose of use, and its commitment to protecting user privacy from third parties.
Unfortunately, due to the insignificant location, it often passed the user’s sight. The long arrangement with a small size font only creates more reason for users to not take a look and enjoy reading it. Even though the information conveyed is very important.
Gojek
In the Privacy Policy section, they explain the details of data collected directly from users or their mobile devices, every time they use the application or visit a website, and information collected from third parties.
All the information is listed on the Gojek site. Some of these include name, address, date of birth, occupation, telephone number, fax, e-mail, bank account, credit card details, gender, official identification number, biometric information.
In one of its clauses, Gojek opens the opportunity to withdraw data with reasonable notice in writing. The consequence that users receive is that the account is terminated and cannot use applications or services for the future.
Tokopedia
Tokopedia is no different. They collect data submitted independently by users, unlimited data when filling out surveys on behalf of the company, interacting with other users with message features, product discussions, reviews, ratings, detailed transaction data. Continues, real location data such as IP address, Wi-Fi location, geo-location, cookie data, pixel tags, device data used to access the site, and other data obtained from other sources.
On further exploration, users are not given the freedom to remove data. Tokopedia will store information as long as the user account remains active and can carry out removal in accordance with applicable legal regulations.
Source: Pixabay
Bukalapak
Meanwhile, Bukalapak opens the submission of data removal by attaching valid proof of identity and the reason for the request for removal. Bukalapak is to grant the request if it meets the requirements requested by the company.
Following these three applications can give a clear picture that the existence of this PDP bill is so important to give users full control of their data. Indeed, companies have an obligation to protect users if there is potential for fraud, but don’t data owners have more control over it?
Reflecting on global technology companies, some of them provide features that function to close data access utilized by third parties. Facebook and Google have released it, even though the intensity is still doubtful, but now users are given control to restrict access to their data.
Google (including YouTube)
Google’s main revenue is advertising. Last year’s advertising revenue from YouTube reached $15 billion, more than the combined advertising revenue from three private TV stations in the U.S., namely ABC, NBC, and Fox. Google claims to operate its ad network internally. However, if you want to stop Google from sharing data with its own division, there is a tool for it. This option is called “Ad personalization.” Simply slide the button to turn off the personalization.
Facebook
Whether this company does or doesn’t sell user data, this social media platform gives third parties access to a number of user information. For example, date of birth and email address. Spotify allows you to register as a user if you register through Facebook.
In order to close the access, you just have to go to the Facebook page. Then go to Settings > Apps and Websites. You will find which third parties can access Facebook data, just click which one will be disconnected.
Twitter
Twitter provides options for all users who want to leave custom personalized ads. You do this by going to the Settings and privacy page > Privacy and safety > Personalization and data and the slide button left to turn it off.
Spotify
The music streaming application claims to not so sure whether the way they share data is counted as sales when it refers to regulations in California. However, they provide a tool for users who want to stop Spotify from advertisers by turning off the “Tailored ads” toggle in the Privacy settings page. This tool allows Spotify to use any data from your Facebook account for target ads.
– Original article is in Indonesian, translated by Kristin Siagian
Pemerintah resmi menyerahkan draf rancangan Undang Undang Perlindungan Data Pribadi (PDP) kepada DPR RI. RUU ini akan segera dibahas setelah selesai pembahasan RUU Omnibus Law.
Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.
Sembari menunggu beleid disahkan, yang kewenangannya ada di DPR, perlu tahu lebih dalam bagaimana menerjemahkannya dalam keseharian. Apa dampak sebelum dan sesudahnya buat masyarakat awam?
Memahami tipe data menurut draf RUU PDP
Sumber : Pixabay
Draf RUU PDP mendefinisikan data pribadi adalah setiap data tentang seseorang, baik yang teridentifikasi dan dapat diidentifikasi tersendiri atau dikombinasikan dengan informasi lainnya, secara langsung maupun tidak langsung sistem elektronik dan non elektronik.
Jenis data pribadi terbagi dua, yakni data yang bersifat umum dan spesifik. Masuk kategori umum apabila diakses melalui pelayanan publik atau tercantum dalam identitas resmi. Misalnya, nama lengkap, jenis kelamin, kewarganegaraan, agama, dan data pribadi yang harus dikombinasikan sehingga memungkinkan untuk mengidentifikasi seseorang.
Sementara itu, data spesifik adalah data yang bersifat sensitif terhadap keamanan dan kenyamanan kehidupan pemilik data pribadi, yaitu data dan informasi kesehatan, data biometrik, data genetika, orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai ketentuan perundang-undangan. Untuk mendapatkan data-data tersebut perlu persetujuan dari pemiliknya.
Yang perlu diapresiasi dan perlu diperbaiki
Menurut Direktur Eksekutif SAFEnet Damar Juniarto, RUU PDP mengacu dalam salah satu dasarnya UUD 1945 pasal 28 ayat G yang memuat dasar filosofis dari muara perlindungan data pribadi, yaitu terjaminnya perlindungan diri warga negara.
Oleh karenanya, ada tiga hal yang harus ada dalam RUU PDP. Hak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda; hak atas rasa aman; dan hak atas perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu.
Penilaian yang ia berikan buat isi RUU PDP ini adalah langkah progresif dalam menjamin kepastian atas perlindungan diri warga negara. “SAFEnet menyambut baik kehadiran RUU PDP yang akan segera dibahas di Komisi I DPR RI,” ujar Damar dalam keterangan tertulis.
Sumber : Pixabay
RUU ini, sambungnya, berhasil merumuskan konsep penegakan kedaulatan data; menguraikan daftar lebih panjang dari rancangan April 2019 dalam data pribadi bersifat spesifik; memberikan pengakuan atas hak-hak dasar penting dalam prinsip hak atas privasi seperti perlunya persetujuan warga dalam pengambilan data, hak mengoreksi, dan hak menarik data; mempertegas berapa lama waktu yang harus dilakukan ketika warga menarik datanya; dan memberi sanksi atas pelanggaran.
Di sisi lain, bagian yang perlu diperbaiki, yakni meredupnya isu penting yang selama ini menjadi kecemasan publik, seperti soal profiling, penyadapan illegal oleh lembaga negara dan korporasi, dugaan jual beli data pribadi oleh Lembaga negara, dan diskrimasi sanksi terhadap perseorangan dan korporasi yang melakukan pelanggaran.
“Profiling hanya bisa dihentikan bila ada warga yang mengajukan keberatan seperti termuat dalam pasal 10. Terus terang dalam pandangan SAFEnet ini tidak cukup. Profiling harus termasuk dalam data pribadi bersifat spesifik karena itu perlindungan penting dari upaya pengancaman diri seseorang dan perlindungan hak untuk berbuat atau tidak berbuat sesuatu.”
Penyadapan illegal, maksudnya adalah upaya menarik data pribadi dengan menanam spyware di perangkat smartphone, mengumpulkan data lewat cloud yang tidak diketahui keberadaannya, atau penerapan AI dalam bentuk teknologi facial recognition.
Diskriminasi sanksi hukum yang berbeda, mengancam timbulnya rasa keadilan yang diharapkan oleh masyarakat atas hak privasi. UU ITE yang telah disahkan sejak lebih dari 10 tahun lalu, punya persoalan terkait jumlah warga yang dipidana dan proses pidana saat penegakan hukum dan peradilan yang tidak adil.
“Refleksi atas pelaksanaan hukum digital perlu menjadi pertimbangan dalam menentukan sanksi hukum yang tepat bagi mereka yang melakukan pelanggaran data pribadi.”
Dia memandang, secara umum RUU PDP menyempitkan hak privasi menjadi sebatas perlindungan data pribadi saja. Sehingga apa yang seharusnya bisa menjadi ruang lingkup UU ini mengecil pada persoalan data pribadi. Padahal di zaman sekarang, data erat kaitannya dengan hidup manusia pemiliknya dan bila disalahgunakan akan membahayakan hidup orang tersebut karena rentan mengalami kejahatan.
“Ada hak atas rasa aman yang melekat padanya [RUU PDP]. Oleh karenanya, terasa kental dalam RUU PDP bagaimana pemaknaan data pribadi dianggap hanya sekadar komoditas. Padahal data pribadi bukanlah sekadar komoditas, melainkan menyangkut martabat manusia yang virtual tersebut, yang harus dilindungi dalam RUU PDP ini adalah manusianya, bukan sekadar datanya.”
Apabila disahkan..
Sumber : Pixabay
Apabila beleid ini disahkan, ada kemampuan terbesar yang bisa Anda lakukan terhadap perusahaan yang mengumpulkan data Anda dan kewajiban buat mereka jika Anda meminta untuk menghapusnya. Di balik itu, hak terbesar –atau mungkin paling diperebutkan– yakni kemampuan untuk menghentikan perusahaan untuk menjual data Anda ke pihak lain, seperti pengiklan.
Menjual data adalah hal yang paling menjengkelkan bagi konsumen. Kondisi ini tidak berlaku ketika Anda secara sadar memasukkan foto di akun Facebook, atau memasukkan alamat rumah di aplikasi e-commerce. Beda halnya, jika mereka menguangkannya, sehingga perusahaan lain yang belum pernah Anda kunjungi membuat profil tanpa sepengetahuan atau persetujuan Anda.
Kata “menjual” secara harfiah bukan berarti harus melulu dalam bentuk uang. Jika perusahaan mendapatkan sesuatu atau manfaat lain dari data Anda untuk orang lain. Ini bisa dikategorikan sebagai penjualan. Pengecualian hanya berlaku ketika perusahaan mengirim data ke “penyedia layanan” jika situs e-commerce membagikan nomor kartu kredit Anda dan memroses pembayaran untuk menyelesaikan penjualan.
Isu menjual data begitu sensitif di mata para perusahaan teknologi, apalagi titan seperti Google dan Facebook, terutama saat skandal Cambridge Analytica menghantam Facebook. Data is the new oil.
RUU PDP juga berlaku untuk gedung perkantoran yang kerap meminta data pengunjung dan memfoto wajah. Beleid ini mengakomodasi pengambil data untuk mendeklarasi apa tujuan mereka mengambil data dan menjamin untuk melindunginya. Sebab sering ada kekhawatiran data bisa bocor di mana saja dan kapan saja.
Kepedulian perusahaan global terhadap keamanan data
Laporan yang dibuat Ranking Digital Rights pada tahun lalu bertajuk The 2019 Ranking Digital Rights Corporate Accountability Index, menjadi dasar pengantar untuk membekali kita semua, seberapa peduli perusahaan teknologi global terhadap keamanan data para penggunanya.
Dari sekian perusahaan yang disurvei, ada beberapa hadir di Indonesia, sehingga lebih kurang laporan ini punya korelasi. Disebutkan dari 24 perusahaan teknologi dan telekomunikasi global tersohor, Microsoft menempati posisi pertama, disusul Google dan Verizon Media. Lalu, dari perusahaan telekomunikasi adalah Telefonica, Vodafone, dan AT&T.
Dari 35 indikator untuk 24 perusahaan yang dievaluasi, memeriksa soal komitmen, kebijakan, dan praktik yang memengaruhi kebebasan berekspresi dan privasi, termasuk tata kelola perusahaan dan mekanisme akuntabilitas. Skor indeks ini mewakili sejauh mana perusahaan memenuhi standar minimum. Ada beberapa perusahaan yang mendapat skor di atas 50 (dari skala 100).
Secara keseluruhan ada beberapa kemajuan, meski tetap menyisakan masalah sejak Indeks ini dirilis pada 2015. Adalah semua orang masih kekurangan informasi dasar tentang siapa yang mengendalikan kemampuan mereka untuk terhubung, berbicara online, atau mengakses informasi, atau yang memiliki kemampuan untuk mengakses informasi pribadi mereka dalam keadaan apa.
Tindakan dari pemerintah di sejumlah negara cukup responsif dengan menerbitkan berbagai regulasi pendukung. Langkah sebaliknya dari perusahaan untuk mengambil langkah tegas belum tersampaikan dengan baik dalam menghormati hak-hak pengguna. Alhasil sebagian besar perusahaan masih gagal mengungkapkan aspek-aspek penting bagaimana mereka menangani dan mengamankan data pribadi.
“Meskipun ada peraturan baru di Uni Eropa dan negara lainnya, sebagian besar pengguna internet di dunia masih kekurangan fakta dasar tentang siapa yang dapat mengakses informasi pribadi mereka dalam keadaan apa, dan bagaimana mengontrol pengumpulan dan penggunaannya. Beberapa perusahaan ditemukan mengungkapkan lebih dari yang dipersyaratkan oleh hokum,” tulis laporan RDR Index 2019.
Data apa saja yang dikumpulkan dan cara menghentikan
Facebook dan perusahaan teknologi lainnya pada dasarnya berupaya untuk membuat bank data, dengan mengambil informasi sebanyak-banyaknya pengguna untuk bisa melihat profil seseorang. Tujuannya tak lain, mencari inspirasi produk apa yang sedang dan bakal dibutuhkan konsumen, agar saat diluncurkan nanti tepat sasaran.
Bagi aplikasi fintech pun kurang lebih mirip. Kenapa mereka bisa mencairkan dana dengan cepat? karena ada data digital yang aksesnya dibuka oleh pengguna untuk dianalisis oleh mesin pintar. Sebelum OJK turun tangan, mereka bisa mengakses berbagai data seperti galeri foto, daftar kontak, SMS, kalender, kamera, mikrofon, dan lainnya yang sebenarnya kurang relevan dengan fungsi aplikasi itu sendiri.
Sumber : Pixabay
Setelah mengunduh, biasanya akan muncul pop up notifikasi berbagai permintaan akses yang tanpa diketahui atau dijelaskan mengapa mereka meminta akses tersebut. Celakanya, jika ada salah satu permintaan akses tersebut sengaja ditolak –berlaku untuk mayoritas aplikasi–muncul kecacatan fitur yang menganggu pengalaman pengguna. Akhirnya memaksa pengguna untuk memberikan semua akses yang diminta.
Karena muncul pemain fintech illegal dan korban yang berjatuhan, akhirnya pemberian akses data smartphone pengguna kini dibatasi hanya kamera, lokasi, dan mikrofon. Ketiganya adalah akses yang diperbolehkan oleh regulator buat para buat pemain fintech yang legal.
Cara mengetahui data apa saja yang diminta oleh aplikasi sebenarnya cukup mudah dan bisa dicek sendiri. Di Google Play, di dalam bagian “About this app” coba cek di bagian terbawah ada informasi detail terkait aplikasi tersebut. Akan ada tulisan “App permissions,” lalu pilih “See more.” Di sana akan terpapar jelas akses informasi apa saja yang diminta oleh aplikasi.
Umumnya juga, perusahaan mencantumkan dalam situsnya di bagian paling bawah mengenai kebijakan privasi. Berisi data-data apa saja yang mereka ambil dari pengguna, lalu menjelaskan tujuan penggunaan, dan komitmennya menjaga privasi pengguna dari pihak ketiga.
Sialnya karena diletakkan paling bawah, tidak menjadi sorotan pengguna. Susunannya yang panjang dengan ukuran yang kecil, menambah alasan buat pengguna untuk semakin tidak tertarik untuk membaca sampai selesai. Padahal informasi yang disampaikan begitu penting isinya.
Gojek
Di bagian Kebijakan Privasi mereka menjelaskan rincian data-data yang dikumpulkan langsung dari pengguna atau perangkat selulernya, setiap kali menggunakan aplikasi atau mengunjungi situs web, dan informasi yang dikumpulkan dari pihak ketiga.
Seluruh detail informasi data dicantumkan dalam situs Gojek. Beberapa di antaranya nama, alamat, tanggal lahir, pekerjaan, nomor telepon, faks, e-mail, rekening bank, detail kartu kredit, jenis kelamin, nomor identifikasi resmi, informasi biometrik.
Dalam salah satu klausulnya, Gojek membuka kesempatan untuk menarik data dengan pemberitahuan wajar secara tertulis. Konsekuensi yang diterima pengguna adalah akun dihentikan dan tidak bisa menggunakan aplikasi atau layanan untuk masa depan.
Tokopedia
Tokopedia juga tidak jauh berbeda. Mereka mengumpulkan data-data yang diserahkan secara mandiri oleh pengguna, tidak terbatas data saat mengisi survei atas nama perusahaan, melakukan interaksi dengan pengguna lainnya dengan fitur pesan, diskusi produk, ulasan, rating, data transaksi yang detail. Berlanjut, data lokasi riil seperti alamat IP, lokasi Wi-Fi, geo location, data cookies, pixel tags, data perangkat yang digunakan untuk mengakses situs, dan data lainnya yang diperoleh dari sumber lain.
Saat ditelusuri lebih jauh, pengguna tidak diberi kebebasan untuk untuk menghapus data. Tokopedia akan menyimpan informasi selama akun pengguna tetap aktif dan dapat melakukan penghapusan sesuai dengan ketentuan peraturan hukum yang berlaku.
Sumber : Pixabay
Bukalapak
Sementara itu, Bukalapak membuka pengajuan penghapusan data dengan melampirkan bukti diri yang sah dan alasan permintaan penghapusan. Bukalapak akan mengabulkan permintaan tersebut jika memenuhi ketentuan yang diminta perusahaan.
Mencontoh dari tiga aplikasi ini saja bisa memberi gambaran jelas bahwa keberadaan RUU PDP ini begitu penting untuk mengembalikan pengguna kontrol penuh terhadap data mereka. Memang, perusahaan punya kewajiban untuk melindungi pengguna apabila ada potensi penipuan, tapi bukankah pemilik data punya kontrol lebih untuk itu?.
Berkaca pada perusahaan teknologi global, beberapa dari mereka menyediakan fitur yang berfungsi untuk menutup akses data dimanfaatkan oleh pihak ketiga. Facebook dan Google sudah merilisnya, meskipun masih disangsikan intensinya, tapi kini pengguna diberi kontrol untuk membatasi akses data mereka.
Google (termasuk YouTube)
Revenue utama Google adalah iklan. Pendapatan iklan dari YouTube pada tahun lalu mencapai $15 miliar, lebih dari pendapatan iklan gabungan dari tiga stasiun TV swasta di A.S, yakni ABC, NBC, dan Fox. Google mengklaim mengoperasikan jaringan iklannya secara internal. Namun, jika Anda ingin menghentikan Google berbagi data dengan divisinya sendiri, ada tool yang siapkan. Opsi ini disebut “Ad personalization.” Cukup geser slide agar personalisasi tersebut dimatikan.
Facebook
Entah perusahaan ini benar atau tidak menjual data pengguna, platform media sosial ini memberi akses kepada pihak ketiga untuk mengakses sejumlah informasi pengguna. Misalnya, tanggal lahir dan alamat email. Spotify memungkinkan Anda untuk mendaftar sebagai penggunanya, jika mendaftar melalui Facebook.
Untuk menutup akses tersebut, Anda cukup masuk ke laman Facebook. Lalu masuk ke Settings > Apps and Websites. Di dalam situ, Anda akan melihat pihak ketiga mana saja yang bisa mengakses data Facebook, cukup klik mana saja yang akan diputus.
Twitter
Twitter menyediakan opsi buat semua pengguna yang ingin keluar dari iklan yang sudah dipersonalisasi berdasarkan kebiasaan. Caranya dengan masuk ke laman Settings and privacy > Privacy and safety > Personalization and data dan slide tombolnya kekiri untuk mematikannya.
Spotify
Aplikasi streaming musik ini mengaku tidak begitu yakin apakah cara berbagi data yang mereka lakukan apakah dihitung sebagai penjualan, jika mengacu pada regulasi di California. Akan tetapi, mereka menyediakan tool untuk pengguna yang ingin menghentikan Spotify dari pengiklan dengan mematikan toggle “Tailored ads” di dalam laman pengaturan Privasi. Tool ini memungkinkan Spotify untuk menggunakan data apapun dari akun Facebook Anda untuk menargetkan iklan kepada Anda.
Menteri Komunikasi dan Informatika Johnny G. Plate mengatakan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) akan dibawa ke DPR paling lambat sebelum akhir Desember 2019. Dia menargetkan RUU tersebut dapat dibahas mulai tahun 2020 sehingga beleid bisa segera disahkan.
Johnny menerangkan pemerintah telah lama mempersiapkan undang-undang ini. Sejumlah pasal krusial juga telah mendapat banyak pembahasan dan revisi, sehingga harmonisasi dari 18 kementerian dan lembaga lainnya dan sama-sama sudah dimengerti.
“Naskah sudah hampir siap untuk diajukan melalui amanat Presiden ke Dewan Perwakilan Rakyat (DPR),” ujarnya dalam keterangan resmi.
Penyusunan RUU PDP menggunakan acuan global, termasuk di dalamnya konvensi General Data Protection and Regulation (GDPR) Uni Eropa. Di situ dijelaskan perlindungan data tidak hanya sebatas perlindungan individu, namun juga kedaulatan data sebuah negara.
Mengutip dari Tirto, sebelumnya Johnny menargetkan kalau RUU ini bisa segera dibahas mulai Januari 2020 dan jika berjalan mulus, maka beleid ini dapat disahkan pada Oktober 2020. Ia meminta DPR memasukkan RUU tersebut ke Prolegnas 2020 dan Prolegnas 2020-2024.
“Saya minta yang terhormat Komisi I agar UU menjadi prioritas diselesaikan dalam waktu cepat,” ujarnya saat Rapat Dengar Pendapat dengan Komisi I DPR RI.
Draf RUU disebutkan sudah diajukan ke Sekretariat Negara, sempat dikembalikan ke Kemenkominfo atas permintaan Kejaksaan Agung dan Kementerian Dalam Negeri. Kedua instansi ini meminta ada pertimbangan kembali atas delapan poin dalam RUU.
Kedelapan poin itu mencakupi hak memiliki data pribadi, permintaan data pribadi, definisi korporasi, hak untuk mengajukan keberatan, prinsip perlindungan data pribadi, dan pengecualian alat pemroses atau pengolah data visual.
Poin lainnya, mengenai pengecualian kewajiban pengendalian perlindungan data pribadi dan usulan perlunya pertimbangan RUU ini mengatur alat bukti yang sah, termasuk alat elektronik.
“Setelah rapat dengan Menteri (Johnny), hal-hal yang sudah diminta oleh Kemendagri dan Kejagung sudah diputuskan. Tinggal redaksionalnya saja, sudah oke,” ucap Pelaksana Tugas Kepala Biro Humas Kemenkominfo Ferdinandus Setu, mengutip dari Katadata.
RUU PDP sebenarnya sudah dibahas sejak 2012. Berisi soal definisi, jenis, hak kepemilikan, pemrosesan, pengiriman, dan lembaga berwenang yang mengatur data pribadi hingga sanksi.
Direktur Aptika Kemenkominfo Samuel Abrijani Pangerapan menjelaskan kendala yang dihadapi saat membahas RUU adalah banyaknya regulasi terkait data pribadi. “Ada 32 regulasi sehingga tidak mudah menyatukannya. Definisinya kami samakan dulu, yang tadi tercecer,” ucapnya.
