Infografis
Suara.com - Belum lama ini, Koalisi Advokasi RUU Perlindungan Data Pribadi mendesak agar Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) segera disahkan. Salah satu yang diminta koalisi tersebut adalah agar RUU PDP segera diketok palu sebelum masa DPR RI periode 2014-2019 berakhir.
Salah seorang yang turut mendorong pengesahan RUU PDP tersebut adalah Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar. Persoalannya, menurut Wahyudi, data pribadi yang mudah diakses oleh berbagai pihak di Indonesia sekarang ini kerap kali disalahgunakan. Salah satu contoh penyalahgunaan itu adalah seperti yang dilakukan oleh swasta, khususnya perusahaan financial technology (fintech).
Ditemui di sela-sela acara diskusi terkait RUU tersebut, baru-baru ini di Jakarta, Wahyudi sempat memaparkan beberapa poin pandangannya, lengkap dengan contoh-contohnya. Berikut petikan wawancara Suara.com dengan Wahyudi Djafar seputar hal itu:
Mengenai perlindungan data pribadi dan RUU PDP ini, itu sebenarnya bagaimana sih?
Baca Juga: BRTI Tegaskan Jual Beli Data Pribadi di Internet Adalah Pelanggaran Hukum
Ya standar, dari nama, alamat, NIK dan seterusnya, begitu kan. Itu kan seperti mengakses dari sistem database yang dimiliki oleh Kemendagri. Padahal kan berkali-kali ditekankan bahwa data itu hanya bisa diakses oleh pemerintah dalam hal ini Kementerian Dalam Negeri, sebagaimana diatur di ketentuan pasal 58 itu.
Jadi data-data perseorangan itu hanya bisa diakses oleh pemerintah dalam konteks pelayanan publik, penyusunan anggaran perencanaan, dan penegakan hukum serta pencegahan kejahatan. Artinya, yang di luar itu kan kalau mengacu ke UU Adminduk, maka kemudian dia bisa dipidana dengan ancaman 2 tahun atau denda 25 juta rupiah. Bahasanya begitu kan.
Lalu kemudian pertanyaan berikutnya adalah: apakah ini kemudian akan diterapkan dengan delik biasa, artinya dengan fakta-fakta bahwa telah terjadi pembukaan data pribadi seseorang yang berbasis pada tadi, acuan perundang-undangan Adminduk, akan diproses hukum; atau si pihak yang merasa data pribadinya disebarkan itu harus memberikan laporan kepolisian? Itu juga sampai dengan hari ini belum ada ya, atau tidak ada yang melaporkan. Saya belum cek juga, sudah ada yang melaporkan atau belum. Itu sih kalau dalam kasusnya Ulin (Yusron).
Yang lain adalah dalam ketentuan pasal 32 Undang-Undang Informasi dan Transaksi Elektronik, dengan ancaman pidananya diatur dalam pasal 48, itu kan ada 3 kategori pembukaan data gitu kan. Nah, itu juga harus dicek kembali tadi. Lagi-lagi proses hanya bisa diketahui data itu didapatkan dari mana, prosesnya seperti apa, kenapa dia bisa membuka itu kan. Kan itu akan menentukan apa ancaman pidana yang diterapkan; apakah di ayat 1, ayat 2, atau ayat 3 kalau mengacu kepada pasal 32. Karena ancaman pidananya beda-beda antara ayat 1, 2 dan 3, kalau mengacu ke ketentuan pasal 48, gitu kan. Jadi saya menekankan, kalau misalnya si pihak tadi yang dibuka datanya kan ada 3 orang, kalau gak salah ya (ada yang keliru kan?), kalau dia memang merasa dirugikan, dia bisa membuat laporan untuk, apa namanya, menyatakan kepada kepolisian bahwa data saya telah dibuka semena-mena. Karena buktinya ada kan di media sosial. Lalu kemudian, prosesnya akan seperti apa, gitu kan.
Tapi apakah polisi tidak bisa langsung menindak sendiri?
Baca Juga: Anggara: Hukum Kita Saat Ini Tak Bisa Pidanakan "Pemodal" Ujaran Kebencian
Nah, itu yang kemudian sering kali debatable. Karena kepolisian itu untuk beberapa delik harusnya berdasarkan delik aduan; dan ada juga yang menggunakan LP tipe A tadi itu kan. Nah, ini kan lagi-lagi kepolisian melihat urgensinya bagaimana, apakah memang perlu ada pemrosesan atau tidak. Itu kan dengan situasi yang seperti sekarang. Jadi meskipun dalam konteks penegakan hukum sekali pun, masih mengacu UU Adminduk ya, pembukaan data pribadi itu kan tidak bisa dilakukan secara semena-mena.
Artinya, misalnya tadi, si tersangka itu yang sekarang diproses itu, yang mengancam dan seterusnya itu, meskipun dia tidak diproses hukum sekali pun, data pribadinya tidak boleh dibuka dengan semena-mena, gitu kan. Ini seperti yang saya contohkan dulu dalam kasus Ratna Sarumpaet. Memang dia tersangka untuk satu kasus kejahatan, tapi tidak bisa juga kemudian dibuka dengan semena-mena NIK-nya, email-nya, nomornya rekeningnya dan seterusnya ke publik. Karena seharusnya data-data pribadi itu hanya digunakan untuk konsumsi penegakan hukum. Artinya, (hanya) internal penegak hukum yang bisa membuka itu untuk kepentingan penegakan hukumnya.
Ini kan Kemendagri selaku pemilik data yang (disebut) mengalami kebocoran. Bisa nggak Kemendagri sendiri yang lapor?
Yang pertama harus dilakukan sebelum melaporkan adalah mungkin untuk melakukan audit internal. Kan mereka seharusnya punya serangkaian SOP untuk menentukan. Kalau memang iya itu data bersumber dari sistem database Kemendagri, lalu kemudian siapa yang membuka itu, dan kenapa itu bisa terbuka. Sehingga kemudian publik juga tahu, bahwa misalnya bukan, ya, tinggal dinyatakan kalau ini bukan data Kemendagri. Kalau iya, ya, kemudian baru bisa ditindaklanjuti, misalnya (membuat) laporan ke kepolisian.
Seharusnya ya, dengan posisi mereka sebagai pengendali data yang paling tinggi terkait dengan sistem database e-KTP, akan lebih baik kalau proses itu juga dilakukan oleh Kemendagri, seperti respon sebelumnya ada blanko-blanko e-KTP yang tercecer di mana-mana dan seterusnya, seharusnya dia bisa melakukan proses investigasi internal itu kan. Di mana proses bobolnya tadi itu kan? Seperti apa, kenapa bocor, dan seterusnya.
Bagaimana dengan kasus penyebar video (ujaran kebencian) "penggal kepala" Jokowi?
Nah, pertama kan, kemarin yang penetapan tersangka yang melakukan ujaran itu kan emang masih debatable ya. Apa dia kena ketentuan pasal yang mana gitu, karena kan, apakah kemudian polisi menggunakan ketentuan pasal makar ya. Saya sendiri kemudian dari pandangan saya, tidak cukup ya, untuk kemudian unsur-unsurnya dikenakan ketentuan pasal makar. Nah, yang paling mungkin adalah misalnya ancaman kekerasan, atau misalnya... yang diancam dia itu kan Presiden sebagai sebuah lembaga kepresidenan, atau Presiden sebagai individu.
Kalau Presiden sebagai individu, kemudian tadi yang bisa diterapkan adalah ketentuan terkait dengan ancaman kekerasan terhadap individu, atau ada kata-kata yang masuk kualifikasi menghina. Itu kemudian menggunakan ketentuan yang sifatnya penghinaan individu. Pasalnya, pasal-pasal 310-311 itu kan. Tapi kemudian itu bukan makar.
Atau (apakah) dia sebagai lembaga kepresidenan, maka kemudian yang diterapkan adalah ketentuan penghinaan terhadap penguasa umum ya. Yang sering kali digunakan itu (pasal) 107 dan seterusnya, yang ancamannya itu tidak sampai 5 tahun ya, yang penghinaan terhadap penguasa umum. Ini ketika misalnya yang diserang adalah lembaga kepresidenannya.
Nah, itu untuk yang membuat ujaran. Tetapi kemudian bagaimana dengan pengambil video? Yang ini kemudian aturannya kalau di dalam UU ITE kan ada beberapa kan yang bisa jadi rujukan. Pertama, ketentuan pasal 27 ayat 4, ancaman kan, membuat sebuah ancaman. Menyebarkan suatu konten yang mengandung ancaman, atau pasal 29, membuat sebuah ancaman yang mengandung kekerasan, gitu kan. Kalau dalam pendapat saya, si pembuat ujaran ini justru malah tidak bisa dikenakan pasal di dalam UU ITE. Karena di dalam pasal 27 ayat 4 atau 29, yang dikenakan itu kan yang menyebarluaskan, yang mentransmisikan suatu konten yang mengandung tadi ancaman kekerasan dan seterusnya itu kan. Yang adalah si pengambil video ini.
Apalagi misalnya kita harus cek, si pengambil video ini hanya mengambil, atau dia juga mentransmisikan dengan YouTube atau dengan jejaring media sosial yang lain, atau dengan jejaring sosial Facebook dan seterusnya. Ini yang harus dicek itu kan. Jadi pasalnya mau tidak mau harus sama, ketika dua-duanya akan diproses, baik yang tadi yang membuat ujaran, maupun yang mengambil dan menyebarluaskan itu kan. Karena di dalam UU ITE, meskipun prakteknya hari ini sering kali orang yang membuat ujaran itu dikenakan dengan UU ITE, menurut saya itu tidak tepat. Karena di dalam Undang-Undang ITE kan, setiap orang yang menyebarluaskan, mentransmisikan, mendistribusikan, atau membuat dapat diakses suatu yang mengandung apa, gitu kan. Bukan orang yang menciptakan atau membuat ujarannya, yang offline-nya.
Kan si pembuat ujaran tadi tidak memvideokan sendiri, posting sendiri. Itu kan beda. Kalau dia langsung menggunakan transmisi elektronik dengan menggunakan sistem elektronik itu kan. Itu yang kemudian harus detail dan teliti dalam membina mana yang menjadi rujukan. Jadi tidak bisa kemudian si pengambil video ini juga dikenakan ketentuan yang sama dengan si pembuat ujaran ini, gitu kan. Tapi tidak bisa juga menggunakan ketentuan ujaran kebencian, hate speech. Ini sama sekali nggak ada kaitannya dengan ujaran kebencian, kalau melihat kontennya.
Dari konstruksi hukumnya, apakah sudah kuat buat si penyebar dan pengucap, sampai mereka bisa dijerat hukum?
Pertama, pasal 27 ayat 4 dan 29 itu kan deliknya bukan aduan ya. Dia biasa. Sehingga kemudian, ya, itu sangat subjektif dari penyidik untuk menentukan ini ada unsur atau tidak. Meskipun nanti ada proses dengan Kejaksaan, dan kemudian dengan pengadilan, untuk menentukan apakah benar unsur-unsur, elemen-elemen yang disangkakan oleh si pendidik itu terpenuhi atau tidak. Tapi, ditanya apakah konstruksi hukumnya memenuhi atau tidak, lagi-lagi itu sangat subjektif dari sisi penyidik, apakah ia mengatakan bahwa itu memenuhi unsur atau tidak, atau elemen-elemen tertentu yang terpenuhi atau tidak.
Lalu, apakah kejadian ini akan berdampak pada hukum-hukum lain? Kan baru kali ini si pengambil gambar juga kena?
Nah itu, kemudian selama ini memang ada problem dalam implementasi beberapa ketentuan di dalam Undang-Undang ITE. Yang seharusnya tadi yang menyebarluaskan, mentransmisikan, mendistribusikan, yang dikenakan ketentuan pasal ini, justru malah saling tidak pernah disentuh. Saya coba ambil contoh kasus Ariel ya, meskipun konteksnya beda ya. Itu kan kebanyakan 27 ayat. Ariel itu kan tidak menyebarluaskan video asusilanya sendiri itu kan, tapi kemudian yang menyebarluaskan orang lain. Tetapi kenapa orang lain itu malah tidak dikenakan misalnya. Ini kan sekarang digunakan dengan konten yang berbeda kasusnya.
Itu kan pertama-tama memang harus dilihat menggunakan sejumlah instrumen pidana. Dalam teknologi informasi dan komunikasi itu kan memang sering kali akan banyak menimbulkan yang namanya chilling effect atau efek jeri, ketika misalnya itu digunakan secara tidak tepat. Efek jeri misalnya begini: saya jadi takut ketika akan memvideokan atau mengambil satu momen tertentu dan kemudian mendistribusikan melalui instrumen internet atau medium internet, kemudian orang jadi bertanya-tanya ini kira-kira gue melangar nggak ya? Dan sebagainya. Itu dinamakan sebagai chilling effect. Ada situasi ketidakpastian. Yang ini kena, yang itu enggak, yang itu kena, yang ini enggak. Gitu kan. Orang jadi bertanya-tanya, kalau saya begini, kena nggak? Yang sebenarnya itu dihindari.
Makanya seharusnya, penyidik itu konsisten. Jadi dalam suatu peristiwa yang unsur-unsurnya seperti apa, suatu tindakan itu masuk kualifikasi pidana. Meskipun tadi, ya, lagi-lagi subjektif. Tetapi setidaknya alat ukurnya itu jelas. Kalau yang begini kena, kalau yang ini enggak. Jadi kemudian efek jeri itu gak ada. Meskipun selama ini memang persoalan dalam penerapan UU ITE, khususnya ada pada level implementasi. Tapi kan itu diakibatkan karena tadi, sejumlah pasal di dalam UU itu tidak memenuhi pasal lex certa lex scripta. Lex certa lex scripta maksudnya tadi, tidak jelas dalam perumusannya dan seterusnya, sehingga kemudian menjadi ambigu dalam penerapannya. Sehingga kesannya mungkin jadi subjektif dari penyidik, begitu lho. Kenapa yang ini kena, yang itu nggak kena, dan seterusnya. Jadi mungkin secara jangka panjang, ya, perlu beberapa penyempurnaan ini di dalam ketentuan UU ITE. Yang itu bisa dilakukan misalnya dalam revisi KUHP atau yang mana.
Di laman berikutnya, Wahyudi Djafar bicara lebih jauh soal kasus-kasus yang belakangan marak, bagaimana prosesnya, juga terkait data pribadi, serta hubungannya dengan bisnis fintech..!
