Pelindungan Data Pribadi di Indonesia : Perspektif Pemberlakuan UU Pelindungan Data Pribadi pada Kebijakan Identitas Kependudukan Digital, ditulis oleh Yopie Indra Pribadi

  • BY YOPIE
  • ON 07 OKTOBER 2024
  • 274 DIBACA
  • ARTIKEL
https://disdukcapil.pontianak.go.id/public/uploads/images/posts/mPosts_1722067395_WhatsApp_Image_2024.10.07_at_14.23.48.jpeg

Revolusi digital dan data pribadi

Sebagai fondasi dari revolusi digital yang terjadi sejak paruh kedua abad ke-20, proses digitalisasi memungkinkan terjadinya inovasi yang lebih luas dan perubahan mendalam pada kehidupan manusia saat ini. Cara hidup, cara berkomunikasi, cara bekerja, cara berinteraksi, cara berdemokrasi bahkan cara manusia beribadah dipengaruhi oleh digitalisasi. Berbeda dengan revolusi pertanian dan revolusi industri yang terjadi sebelumnya, revolusi digital yang terjadi saat ini dapat disebut sebagai salah satu titik zenith dari perkembangan inovasi peradaban manusia. Kecerdasan buatan, mesin pembelajaran dan algoritma yang terus berkembang dalam proses digitalisasi, menjadi bagian integral dan tak terpisahkan dari revolusi digital. Secara keseluruhan, revolusi digital menunjukkan bagaimana teknologi dapat mengubah struktur sosial, ekonomi, dan budaya, serta mempengaruhi cara kita memahami dunia di sekitar kita.

Tetapi revolusi digital di lain sisi juga melahirkan tantangan baru pada aras privasi dan kedaulatan diri seseorang. Semakin banyak data pribadi yang dihimpun dan dimanfaatkan platform digital, semakin banyak pula terjadi kebocoran data tanpa sepengetahuan Subjek Data Pribadi, penggunaan data tanpa izin, serangan phising, kurangnya transparansi dan kontrol, kesalahan dalam pengelolaan data dan eksploitasi data di dark web, pemantauan berlebihan, peretasan akun, deepfake dan penyalahgunaan identitas, dan pengabaian pengaturan privasi. Pertanyaan-pertanyaan bagaimana melindungi kepentingan pemilik data, standar etika mana yang perlu diperhatikan, sudahkan regulasi berjalan dengan baik, bagaimana inovasi terus dikembangkan tanpa merugikan atau membahayakan kepentingan pemilik data adalah sesuatu yang menjadi topik serius.

Di negara Indonesia, revolusi digital perlu dibangun dalam keseimbangan perspektif dalam memahami aspek segi-segi digitalisasi (Soni Subrata dalam Sudibyo, 2021). Keseimbangan itu adalah antara perspektif positivistik-optimistis dalam melihat ekosistem digital dan perspektif kritis yang menyoroti dimensi-dimensi kekuasaan, pengendalian serta dampak digitalisasi. Keseimbangan untuk tetap waspada dan selidik ketika kita sebagai pribadi, masyarakat, dan bangsa telah terintegrasi dalam lanskap digital global. Penulisan kali ini lebih kepada pendekatan kritikal konstruktif untuk membangun keseimbangan yang diperlukan dalam menstimulasi pemikiran kritis secara kontinyu. Tujuannya adalah memberikan peringatan dini kepada masyarakat, pemerintah serta pihak swasta perihal dampak digitalisasi tanpa mengingkari sumbangan atau kontribusi yang telah diberikannya.

Sebagaimana kita tahu bersama, dalam penggunaan platform digital, masyarakat seringkali diminta data pribadi, seperti nama lengkap, nomor identitas kependudukan, alamat, nomor telepon, status, dan sebagainya. Namun sayangnya, data-data ini pula yang sudah terlanjur bocor.  Seberapa yakin kita bahwa nomor induk kependudukan yang kita miliki tidak jatuh ke pihak yang tidak bertanggung jawab?. Apakah pernahkah terinformasikan kepada kita, kalau data kita sudah “berpindah tangan” dan dijual di dark web?. Oleh karenanya, masyarakat perlu diberikan pelindungan data pribadi yang memadai, karena berisiko disalahgunakan oleh pihak yang tidak bertanggung jawab.

Beberapa kasus kebocoran data yang pernah terjadi di Indonesia yaitu pada BPJS Kesehatan, Komisi Pemilihan Umum, BRI Life, Tokopedia, Data Carousell, MyPertamina, PeduliLindungi, Lazada,  Pusat Data Nasional Sementara, dan Ditjen Pajak.  Dalam Budiman (2024) dijelaskan bahwa berdasarkan data Badan Siber Sandi Negara (BSSN), menunjukkan sepanjang tahun 2023 terjadi anomali 403 juta trafik yang mengarah keserangan siber ke Indonesia. Tahun 2024, ada 527 insiden keamanan siber sejak periode 1 Januari-30 Juni 2024. Dari 527 insiden keamanan siber tersebut, 49,1 persen di antaranya atau 259 insiden telah direspon, sementara 50,9 persen sisanya atau 268 insiden belum ditindaklanjuti. Oleh karenanya penguatan ekosistem digital di Indonesia adalah sebuah kewajiban.

UU PDP, IKD dan beberapa penelitian Identitas Digital

Perlindungan Data Pribadi merupakan bagian integral dari hak asasi manusia. Oleh karena itu, regulasi terkait Data Pribadi merupakan wujud dari pengakuan serta upaya melindungi hak-hak mendasar setiap individu. Pemberlakuan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang efektif berlaku pada 17 Oktober 2024 ini, adalah tonggak sejarah bagi bangsa Indonesia dalam pemenuhan hak konstitusional Subjek Data Pribadi. Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi. Penerapan UU PDP sekaligus juga menjadi salah satu dasar regulasi yang patut diperhatikan, sejalan dengan penerapan kebijakan pemerintah terkait Identitas Kependudukan Digital (IKD).

Sebagai sebuah inisiatif Identitas Digital, IKD memiliki payung hukum yaitu Peraturan Menteri Dalam Negeri (Permendagri) Nomor 72 Tahun 2022 tentang Standar dan Spesifikasi Perangkat Keras, Perangkat Lunak, dan Blangko Kartu Tanda Penduduk Elektronik serta Penyelenggaraan Identitas Kependudukan Digital. Pasal 13 ayat (2), menyebutkan IKD adalah informasi elektronik yang digunakan untuk merepresentasikan dokumen kependudukan dan data balikan dalam aplikasi digital melalui gawai yang menampilkan data pribadi berupa Kartu Tanda Penduduk (KTP) dan Kartu Keluarga (KK) sebagai identitas yang bersangkutan. Beberapa negara yang telah menerapkan Identitas Digital bagi warganya adalah Estonia, India dan Belanda.

Beberapa penelitian telah menunjukkan bahwa kesadaran, persepsi, dan penerimaan publik terhadap inisiatif identitas digital dapat sangat bervariasi, tergantung pada faktor-faktor kontekstual seperti tingkat kepercayaan terhadap pemerintah, manfaat dan risiko yang dirasakan, serta karakteristik demografis (Zulkifli, Faiz, et.al, 2023, Andersen, Mads Schaarup, 2021, Arunwatanamongkol, Pensri, et, al,  2021). Penelitian di Estonia (Tammpuu, Piia, and Anu Masso, 2019) menemukan bahwa manfaat yang dirasakan seperti peningkatan keamanan, efisiensi layanan publik, serta pengurangan birokrasi, menjadi alasan utama masyarakat mendukung sistem Identitas digital. Tingkat kepercayaan yang tinggi terhadap infrastruktur digital nasional juga memainkan peran penting. Sebuah penelitian di Belanda (Udwan, Ghadeer, Koen Leurs, and Amanda Alencar, 2020) menunjukkan bahwa tingkat kepercayaan terhadap pemerintah merupakan faktor kunci dalam penerimaan publik terhadap sistem identitas digital. Masyarakat yang memiliki kepercayaan lebih tinggi kepada pemerintah lebih cenderung menerima sistem identitas digital ini. Penelitian ini juga menyoroti bahwa persepsi keamanan data dan perlindungan privasi menjadi pertimbangan penting dalam adopsi identitas digital.

Penelitian di Korea Selatan (Rim, HeeJung, 2023) menemukan bahwa manfaat yang dirasakan seperti kemudahan dalam akses layanan dan peningkatan efisiensi berperan penting dalam penerimaan masyarakat terhadap identitas digital. Kepercayaan terhadap pemerintah juga sangat berpengaruh. Namun, ada kekhawatiran di kalangan masyarakat terkait risiko kebocoran data yang dapat menghambat penerimaan. Penelitian di Amerika Serikat (Duffy, Keith, Pasha Goudovitch, and Pavel Fedorov, 2016) menunjukkan bahwa pengalaman negatif seperti pencurian identitas atau penyalahgunaan data pribadi sebelumnya membuat masyarakat lebih skeptis terhadap solusi identitas digital yang diusulkan oleh pemerintah. Meskipun demikian, peningkatan keamanan dan efisiensi layanan publik tetap dipandang sebagai manfaat penting. 

Sebuah studi di Kanada (Boysen, Andre, 2021) menemukan bahwa meskipun masyarakat menyadari manfaat dari identitas digital, seperti pengurangan birokrasi dan efisiensi pelayanan, kekhawatiran terkait kebocoran data dan pencurian identitas masih menjadi hambatan utama dalam penerimaan identitas digital.  Studi di Norwegia (Brandtzaeg, Petter Bae, and María-Ángeles Chaparro-Domínguez, 2020) mengungkapkan bahwa demografi memengaruhi penerimaan masyarakat terhadap identitas digital. Generasi muda lebih terbuka terhadap penggunaan identitas digital, sementara generasi yang lebih tua cenderung lebih skeptis. Hal ini menunjukkan adanya kebutuhan untuk menyesuaikan strategi sosialisasi sesuai dengan kelompok umur. 

Penelitian di Inggris (Harbinja, Edina, 2017) menunjukkan bahwa tingkat pendidikan sangat memengaruhi penerimaan masyarakat terhadap identitas digital. Orang-orang dengan pendidikan lebih tinggi cenderung lebih mendukung sistem ini. Selain itu, kepercayaan terhadap infrastruktur teknologi dan perlindungan privasi menjadi faktor penting yang mempengaruhi keputusan masyarakat. Di  Malaysia, Zulkifli, Faiz, et,al (2024) mengembangkan kerangka kerja terkait penelitian tentang Identitas Digital dengan menggunakan kerangka kerja yang terdiri dari kesadaran publik, persepsi dan penerimaan, serta persepsi tentang kegunaan, kemudahan penggunaan, pengalaman pengguna, pengaruh sosial, dan kondisi pendukung.

IKD tidak serta merta menggantikan Kartu Tanda Penduduk elektronik (KTP-el), namun keduanya saling melengkapi. Peralihan KTP ke IKD sesungguhnya merupakan penerapan dari pemrosesan data pribadi sebagaimana diatur dalam Pasal 16 ayat (1) UU PDP. Tindakan pemprosesan data pribadi meliputi pemerolehan dan pengumpulan, pengolahan dan penganalisisan, penyimpanan, perbaikan dan pembaruan, penampilan, pengumuman, transfer, penyebarluasan atau pengungkapan, dan/atau penghapusan atau pemusnahan. 

Pasal 16 ayat (2) UU PDP menjelaskan pengumpulan data Pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan, dilakukan sesuai dengan tujuannya, menjamin hak Subjek Data Pribadi, dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan, dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan Data Pribadi, dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan Pelindungan Data Pribadi, dan Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan dan dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.

Pemerintah atau Pemerintah Daerah sebagai pengendali data IKD terkait dengan hak masyarakat sebagai Subjek Data Pribadi, pada proses transisi KTP menjadi IKD.  Adalah hak bagi sebagai subjek data pribadi untuk mendapatkan informasi mengenai kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi (Pasal 5). Dan yang paling penting adalah  masyarakat berhak mengetahui standar keamanan data pribadi yang telah diberikan, terutama aman dari kebocoran data pribadi, mengingat kondisi dimana nomor induk kependudukan sebagai satu elemen penting data pribadi seseorang sudah banyak tersebar. Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pasal 46 ayat (1a) UU PDP menjelaskan bahwa Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada Subjek Data Pribadi. Pemberitahuan tertulis sebagaimana dimaksud minimal memuat Data Pribadi yang terungkap, kapan dan bagaimana Data Pribadi terungkap dan upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.

Pasal 53-54 mengatur terkait pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi. Pejabat atau petugas pelaksana fungsi perlindungan data pribadi atau yang secara populer disebut sebagai Data Protection Officer (DPO) memiliki 4 (empat) tugas yaitu menginformasikan dan memberikan saran kepada Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam Undang-Undang, memantau dan memastikan kepatuhan terhadap Undang-Undang dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi, memberikan saran mengenai penilaian dampak Pelindungan Data Pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi, serta berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan Data Pribadi.

DPO adalah penting, baik bagi masyarakat sebagai pemilik data pribadi atau bagi entitas yang menggunakan atau memproses data pribadi seperti perusahaan atau pemerintahan. Bagi masyarakat, kehadiran DPO menjadi jaminan bahwa seluruh kegiatan yang menggunakan data pribadi miliknya berlangsung secara aman dan sesuai dengan ketentuan peraturan perundang-undangan yang berlaku. Sementara itu bagi para entitas yang menggunakan dan memproses data pribadi, DPO membantu mereka untuk memahami kewajiban yang dibebankan kepada mereka sebagai pengendali dan prosesor data pribadi sehingga risiko pelanggaran dan penyalahgunaan dapat dihindari.

Pasal 58 ayat (ayat 1, 2, 3) menjelaskan Pemerintah berperan dalam mewujudkan penyelenggaraan Pelindungan Data Pribadi sesuai dengan ketentuan Undang-Undang dan dilaksanakan oleh lembaga yang ditetapkan oleh Presiden. Lembaga ini melaksanakan perumusan dan penetapan kebijakan dan strategi Pelindungan Data Pribadi yang menjadi panduan bagi, Subjek Data Pribadi, Pengendali Data Pribadi, dan Prosesor Data Pribadi, pengawasan terhadap penyelenggaraan Pelindungan Data Pribadi, penegakan hukum administratif terhadap pelanggaran Undang-Undang ini dan fasilitasi penyelesaian sengketa di luar pengadilan.

Penutup

Masalah perlindungan Data Pribadi muncul akibat kekhawatiran akan terjadinya pelanggaran yang dapat menimpa individu maupun badan hukum. Pelanggaran ini berpotensi menyebabkan kerugian baik secara materiel maupun nonmateriel. UU PDP memiliki aspek-aspek positif yang meletakkan standar pelindungan data di Indonesia dengan standar internasional, memberikan hak-hak jelas kepada subjek data dan menciptakan kerangka kerja yang komprehensif untuk pelindungan data pribadi.  Di sisi lain, IKD hadir dengan tujuan untuk mengikuti penerapan teknologi informasi dan komunikasi mengenai digitalisasi kependudukan, meningkatkan pemanfaatan digitalisasi kependudukan bagi penduduk,  mempermudah dan mempercepat transaksi pelayanan publik atau privat dalam bentuk digital, dan mengamankan kepemilikan Identitas Kependudukan Digital melalui sistem autentikasi guna mencegah pemalsuan dan kebocoran data.

Terdapat beberapa hal yang menjadi perhatian selanjutnya yaitu:

Pertama, hingga saat ini, lembaga terkait yang diamanatkan dalam UU PDP belum terbentuk. Salah satu peran utama lembaga tersebut adalah melakukan mediasi jika terjadi pelanggaran hak subjek data pribadi dalam pengelolaan IKD.  

Kedua, belum adanya Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi atau yang disebut DPO yang ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya. Disdukcapil Provinsi/Kabupaten/Kota perlu memiliki orang-orang yang mempunyai sertifikasi DPO (certified data protection officer). DPO memiliki sertifikasi tersendiri sebagai langkah untuk menciptakan standar bagi profesi DPO. Hal ini dilakukan agar fungsi dan tugas DPO terlaksana dengan tepat sesuai tujuan peraturan perundang-undangan. Tidak adanya standarisasi dikhawatirkan dapat menghambat pelaksanaan perlindungan data pribadi. Data Kemenkominfo pada tahun 2021 berdasarkan Hasil Kajian Grand Design Pembentukan Ekosistem DPO, dibutuhkan setidaknya 140.917 DPO untuk memenuhi kebutuhan di Indonesia.

Ketiga, mengingat perkembangan teknologi yang cepat dan integrasi dengan sistem pemerintahan berbasis elektronik yang menjadi prioritas, penguatan dan pengembangan teknikal aplikasi IKD adalah SUATU kewajiban, di tengah realita kebocoran data  yang sudah terjadi (terutama NIK) dan selalu mengintai. 

Keempat, pentingnya menjaga faktor kepercayaan masyarakat melalui pemenuhan hak-hak yang dimiliki oleh Subjek data Pribadi yang termuat di dalam UU PDP yang teraplikasi dalam IKD. 

Beberapa rujukan

Andersen, Mads Schaarup. "Towards the Design of a Privacy-preserving Attribute Based Credentials-based Digital ID in Denmark–Usefulness, Barriers, and Recommendations." In Proceedings of the 16th International Conference on Availability, Reliability and Security, pp. 1-8. 2021

Arunwatanamongkol, Pensri, Natawut Nupairoj, and Uthai Tanlamai. "Innovative Delegation Application in Thai National Digital Identity Platform." International Journal of Interactive Mobile Technologies 15, no. 14 (2021).

Boysen, Andre. "Decentralized, self-sovereign, consortium: The future of digital identity in canada." Frontiers in Blockchain (2021): 11.

Brandtzaeg, Petter Bae, and María-Ángeles Chaparro-Domínguez. "From youthful experimentation to professional identity: Understanding identity transitions in social media." Young 28, no. 2 (2020): 157-174.

Budiman, Ahmad, Pemberlakuan UU Pelindungan Data Pribadi Pada Kebijakan Identitas Kependudukan Digital, Isu Sepekan Pusat Analisis Keparlemenan Badan Keahlian Setjen DPR RI, 2024

Duffy, Keith, Pasha Goudovitch, and Pavel Fedorov. "The application of digital identity in the United States." (2016).

Hasian, Grace Patricia, Sertifikasi Data Protection Officer di Indonesia, 2022, https://www.hukumonline.com/berita/a/sertifikasi-data-protection-officer-di-indonesia-lt638ff9b9d7f68/?page=1 

Harbinja, Edina. "Digital inheritance in the United Kingdom." J. Eur. Consumer & Mkt. L. 6 (2017): 253.

Peraturan Menteri Dalam Negeri Nomor 72 Tahun 2022 tentang Standar dan Spesifikasi Perangkat Keras, Perangkat Lunak, dan Blangko Kartu Tanda Penduduk Elektronik serta Penyelenggaraan Identitas Kependudukan Digital.

Rim, HeeJung. "Decentralized identity (DID): new technology adoption and diffusion in South Korea." Transforming Government: People, Process and Policy 17, no. 2 (2023): 251-270.

Sudibyo, Agung, Jagat Digital Pembebasan dan Penguasaan, Jakarta KPG (Kepustakaan Populer Gramedia), cetakan kedua, April 2021

Tammpuu, Piia, and Anu Masso. "Transnational digital identity as an instrument for global digital citizenship: The case of Estonia’s E-residency." Information Systems Frontiers 21 (2019): 621-634.

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi

Udwan, Ghadeer, Koen Leurs, and Amanda Alencar. "Digital resilience tactics of Syrian refugees in the Netherlands: Social media for social support, health, and identity." Social Media+ Society 6, no. 2 (2020): 2056305120915587.

Zulkifli, Faiz, Zainal Abidin, Rozaimah, Mohamed Ariff, Mohamed Imran, Ahmad, Nahdatul Akma, Arshad, Noreen Izza, Ependi, Usman, and Razak, Mohamad Sharmizi. "National digital identity: current landscape, emerging technologies and future directions." International Journal of Academic Research in Business and Social Sciences 13, no. 3 (2023): 1225-1242

Zulkifli, Faiz, Rozaimah Zainal Abidin,, Mohamed Imran Mohamed Ariff, Nahdatul Akma Ahmad, Noreen Izza Arshad, Usman Ependi, Mohamad Sharmizi Ab Razak,  Understanding the Role of Digital Identity: A Conceptual Framework and Proposed Methodology for Measuring Malaysia's National Digital Identity Initiative, Journal of Advanced Research in Applied Sciences and Engineering Technology, 2024