Infografis
Kejadian begini kan tidak cuma satu, khususnya yang mengarah pada kekerasan. Ini kan terjadi karena Pemilu, (di mana) jadinya rakyat banyak yang berteriak. Nah, bagaimana Anda melihat situasi ini?
Ya, itu juga mungkin yang harus dicek ke penyidik ya. Kenapa yang ini langsung direspon (misalnya). Apakah ada kaitannya dengan proses Pemilu hari ini, atau ya, semata-mata karena ada kejadian? Itu kan harus jelas juga. Kalau saya, begini, kalau misalnya kejadian-kejadian ini kesannya dipaksakan, justru malah akan (seperti) tadi, menciptakan efek jiri di publik. Sehingga kemudian publik itu menjadi gamang, menjadi takut ketika akan menyampaikan suatu pendapat. Itu aja sih.
Jadi harus clear betul, kenapa ini diproses dan seterusnya, alasannya apa. Selain tadi, dari penjelasan unsur pidana dan seterusnya, tetapi kemudian apa yang melatarbelakangi bahwa (begini) dan seterusnya, gara-gara, dampaknya seperti apa kalau ini tidak diproses. Ini perlu penjelasan itu dari kepolisian.
Ini kan kesannya sekarang, yang punya power (sebagai pelapor) diprosesnya cepat, tapi yang nggak punya power lama. Itu bagaimana?
Baca Juga: BRTI Tegaskan Jual Beli Data Pribadi di Internet Adalah Pelanggaran Hukum
Kayaknya ini kritik lama terhadap UU ITE. Jadi, dari periode awal Undang-Undang ITE tahun 2009 sampai dengan sekarang, kritik yang selalu muncul adalah (bahwa) Undang-Undang ini selalu menekan. Terutama ITE ya. Mereka yang powerless seperti orang-orang yang tidak memiliki kekuatan, baik politik maupun ekonomi. Tapi kemudian orang-orang yang secara punya kekuatan ekonomi maupun politik, itu jarang tersentuh Undang-Undang ini. Meskipun mereka melakukan perbuatan yang dalam tanda kutip serupa dengan apa yang dilakukan tadi. (yaitu) orang-orang powerless yang dikenakan undang-undang.
Ya, ini problem umum dari pelaksanaan UU ITE. Dalam lebih dari 10 tahun ya, dari 2008 sampai dengan hari ini, gitu kan. Sebenernya kritik kita ketika revisi 2016, kan itu. Kenapa rumusan ini, rumusan yang kalau menurut pandangan kami tidak sepenuhnya memenuhi prinsip lex certa lex scripta, masih terus dipertahankan di dalam Undang-Undang itu.
Apakah bisa disimpulkan bahwa rakyat menjadi korban dari maraknya Pilpres ini?
Karena tadi, memenuhi prinsip-prinsip itu, kemudian penerapannya menjadi fleksibel, terjadi tarik-ulur, ya, bisa dikatakan begitu. Jadi sangat subjektif dari penyidik. 'Ini bisa', 'Wah ini', dan seterusnya. Karena elemen-elemen yang ketat itu kurang terpenuhi di dalam rumusan deliknya.
Sekarang, progres RUU PDP sendiri bagaimana? Apa hambatannya?
Baca Juga: Anggara: Hukum Kita Saat Ini Tak Bisa Pidanakan "Pemodal" Ujaran Kebencian
Ya, kalau soal tadi kan, informasinya di pemerintah sudah selesai ya. Proses harmonisasi sudah selesai. Ttinggal berkirim surat ke Presiden untuk dimintakan Supres, Surat Presiden, dan kemudian dilimpahkan ke DPR. Nah, proses ini kan memang panjang ya. Tadi saya mengatakan Kominfo itu sudah menginisiasi penulisan naskah akademik RUU dari tahun 2014, tetapi kemudian baru selesai menjelang akhir periode DPR 2014-2019.
Jadi kan memang, Undang-Undang PDP ini nantinya dia akan menjadi comprehensive regulation, atau dalam bahasa Indonesia sering dikenal sebagai "undang-undang payung" ya, atau "umbrella act", yang kemudian bisa mengsinkronisasi seluruh aturan perlindungan data yang ada saat ini yang sangat sektoral ya, seperti kesehatan, administrasi kependudukan di Kemendagri, perbankan keuangan, dan seterusnya. Nah, karena di Indonesia sektoralisme sudah begitu kuat, sektor keuangan dan perbankan sudah punya aturan sendiri, kesehatan punya pengaturan sendiri, kependudukan punya aturan sendiri. Begitu kan. Lalu apa? Penyelenggaraan sistem elektronik pakai pengaturan sendiri? (Ini) Menjadi sulit kemudian untuk disinkronisasi.
Ada namanya semacam penolakan-penolakan, kekhawatiran-kekhawatiran dari bermacam-macam sektor ini, kemudian bersama-sama merujuk kepada UU PDP. Tadi dikatakan dari definisi saja sudah menjadi perdebatan pelik. Karena memang tadi dari hasil studi kami di ELSAM, dari sekian puluh undang-undang yang terkait --ada 32 sampai hari ini yang terkait dengan konten perlindungan data pribadi-- itu memang definisinya berbeda-beda. Tujuan pembukaan data pribadinya berbeda-beda, kewajiban dari pengelola data berbeda-beda. Sehingga kemudian sulit untuk membawa kepada satu rujukan prinsip yang sama. Paling berat itu. Selain tadi, bahwa dorongan untuk membentuk independent supervisor authority juga berat ya, di internal pemerintah itu.
![Wahyudi Djafar saat berbicara dalam acara "Mendorong Percepatan Proses Pembahasan RUU PDP" di KeKini Cikini, Jakarta Pusat, Rabu (15/5/2019). [Suara.com / Fakhri Fuadi Muflih]](https://media.suara.com/pictures/653x366/2019/05/21/71518-wahyudi-djafar-dan-pembahasan-ruu-pdp.jpg)
Lalu bagaimana dengan perusahaan yang menggantungkan nasibnya pada data pribadi dari masyarakat?
Jadi itu yang saya singgung sebagai intangible asset of capitalism. Jadi, aset terbesar itu kan data. Tapi sebenarnya dia (perusahaan) tidak punya hak khusus untuk bisa memperjualbelikan aset tersebut, karena aset itu adalah isinya data pribadi konsumennya. Nah, bisnis digital, termasuk startup-startup digital itu, itu kan sebenarnya --mengutip pandangannya Deputy of Privacy Commissioner-nya UK-- pusat pengembangan bisnisnya itu ada pada bagaimana mereka menjamin perlindungan data pribadi konsumennya. Karena kan sebenarnya, pengembangan bisnis itu kan dibangun dari trust. Trust itu akan muncul ketika dia punya komitmen untuk melindungi data pribadi konsumen mereka, gitu lho.
Nah, sebenarnya sepanjang perusahaan itu bisa memastikan bahwa kami baik, kami telah menerapkan privacy by design, privacy by devault, kemudian kami punya kebijakan servis yang jelas, term of services yang jelas, maka kemudian konsumen pasti akan memilih atau rela untuk melakukan suatu concern, menyerahkan data pribadi dengan segala macam aturan perlindungannya ke perusahaan tersebut. Dan itu tetap bisa mendukung atau menopang berkembangnya pusat itu, begitu lho.
Justru kemudian, ketika perusahaan tidak comply dengan aturan-aturan perlindungan data, malah konsumen kan akan lari, gitu. Tadi kan contohnya, misalnya ternyata yang A lebih baik dibanding yang B dalam konteks perlindungan data, maka saya akan memilih yang A dibanding yang B. Gitu kan.
Apakah hari ini konsumen sudah berpikir seperti itu?
Ketika konsumen sadar, ya, hari ini mungkin belum ya. Jadi, pertimbangan hari ini, orang Indonesia kan sekarang mikirnya 'Wah, ini diskonnya banyak' misalnya. Kan lebih pada itu. Bukan 'Oh yang ini ngambil data lebih sedikit dari yang lain'. Atau paling minimalis-lah, atau istilahnya data minimization.
Data minimization itu, suatu perusahaan itu dianggap lebih baik ketika dia seminimal mungkin mengumpulkan data dari konsumennya. Nah, itu baru dianggap namanya perusahaan yang baik. Di Indonesia kan orang tidak memperhatikan satu persatu. Misalnya aplikasi fintech A, B, C dan seterusnya, mana yang dia mengambil data pribadi paling sedikit. Kan tidak sampai di situ kesadaran konsumen.
Kalau sekarang kan, masyarakat mikirnya nggak ada bedanya antara yang ambil data sedikit atau yang banyak. Itu bagaimana baiknya supaya (pola pikir) masyarakat bisa berubah?
Orang Indonesia itu kan akan sadar, kalau misalnya ada suatu kejadian yang merugikan dia. Apa namanya, penipuan yang berkali-kali dan seterusnya itu, mungkin baru akan tersadar itu kan. Kayak misalnya gini, satu perusahaan mengambil di situ dikatakan mengambil SMS. Mengambil SMS ini kan nggak bahaya, karena OTP itu kan ya, dikirimkan melalui SMS. Artinya sebenarnya, perusahaan itu kalau nakal ya, misalnya pengelola ini nakal, dia bisa mengakses OTP kita, dan itu bisa digunakan untuk apa pun. Akan lebih secure bagi konsumen apabila memilih penyedia platform yang tidak mengambil konten SMS kita. Itu kan misalnya. Atau lokasi kita misalnya. Kan ada perusahaan yang ngambil (data) lokasi kita, ada yang tidak.
Terus, sejauh mana Kemendagri selaku data controller bertanggung jawab dalam menjaga data pribadi masyarakat?
Nah, itu kan yang sering kali jadi pertanyaan. Kemendagri kan melakukan MoU dengan ratusan institusi, baik pemerintah maupun swasta. Ada 400 atau berapa gitu. Ada 1.200, ya Mou gitu kan. Yang jadi pertanyaan kita adalah: akses data seperti apa yang disediakan ke perusahaan yang melakukan MoU dengan Kemendagri terhadap data kita? Dan kita tidak pernah tahu.
Kita kan tahunya bahwa ternyata data kita yang dikumpulkan oleh pemerintah daerah, e-KTP ya, itu kan basis datanya, (itu) akan digunakan untuk pelayanan publik, untuk digunakan perencanaan, perencanaan pembangunan dan penganggaran, penegakan hukum atau pencegahan kejahatan. Kalau mengacu ke Undang-Undang Pelayanan Publik, yang dimaksud dengan pelayanan publik itu kan hanya pelayanan yang disediakan oleh pemerintah. Artinya sektor swasta itu bukan bagian dari pelayanan publik. Tetapi kenapa kemudian mereka punya akses atas data pribadi kita? Ini kan yang kemudian memicu perdebatan. Padahal, Kemendagri mengatakan data kependudukan adalah data pribadi yang harus dilindungi, (bahwa) yang punya akses hanya kami, dan seterusnya.
Kita kan nggak tahu, data pribadi macam apa yang diberikan (Kemendagri lewat MoU-nya). Apakah hanya misalnya "yes or no". Misalnya gini. Saya buka rekening bank, nama ini, alamat ini, NIK ini. Lalu kemudian perusahaan ngecek, apakah betul NIK ini adalah namanya ini, alamatnya ini. Kemudian dia konfirmasi ke Kemendagri adalah (melalui konfirmasi) "yes or no". Apakah itu doang, ataukah ada nama (dan data lain) begitu-begitu.
