Pardomuan Gultom

    FOLLOW  

Pentingnya Perlindungan Data Pribadi Konsumen dalam Transaksi Berbasis Elektronik

Hukum | Monday, 29 Apr 2024, 09:13 WIB

Perkembangan teknologi membuat hukum perlindungan data pribadi menjadi aspek yang sangat penting dalam memberikan keamanan privasi seseorang dalam melakukan aktivitas ekonomi. Secara historis, data pribadi sebagai sebuah hak yang melekat pada diri pribadi seseorang muncul dalam perdebatan yang mengemuka pada putusan pengadilan di Inggris dan Amerika Serikat. Pentingnya perlindungan data pribadi diawali oleh tulisan Thomas McIntyre Cooley saat menjabat sebagai Ketua Mahkamah Agung Michigan dari tahun 1864 sampai 1885, yang berjudul “A Treatise on the Law of Torts or the Wrongs Which Arise Independent of Contract” pada tahun 1879 dengan memperkenalkan pertama kali istilah “hak untuk dibiarkan sendiri”.

Kemudian ide tersebut dikonsepsikan sebagai hukum hak atas privasi yang ditulis oleh dua orang pengacara Boston, yaitu Samuel Warren dan Louis Brandeis, dalam Harvard Law Review Vol. IV No. 5, 15 Desember 1890, dengan judul “The Right to Privacy”, yang secara sederhana mendefinisikan hak atas privasi sebagai ‘”hak untuk dibiarkan sendiri” (the right to be let alone) dengan dua alasan, yaitu: kehormatan pribadi dan nilai‐nilai, seperti martabat individu, otonomi dan kemandirian pribadi (Bloustein, 1964). Konsepsi tersebut kemudian mendapat pengakuan melalui gugatan hukum yang memberikan pembenaran tentang pentingnya perlindungan hak atas privasi yang berlandaskan pada hak moral seseorang.

Perkembangan di Tingkat Global

Jika Amerika Serikat menitikberatkan hak atas privasi pada informasi dan komunikasi pribadi, maka Eropa menekankan hak atas privasi pada aspek perlindungan data yang merupakan bagian dari perlindungan kehidupan pribadi yang diatur dalam Pasal 8 Konvensi Eropa untuk Perlindungan Hak Asasi dan Kebebasan Fundamental Manusia (European Convention on Human Rights/ECHR) dengan cakupan, yaitu: penghormatan terhadap kehidupan pribadi atau keluarganya, rumah tangganya dan surat-menyuratnya (korespondensi) (Elsam, 2014; Tifafoundation, 2021).

Makna perlindungan kehidupan pribadi dalam ECHR mengalami pengembangan dalam beberapa Protokol yang ditandatangani di Paris tahun 1954; Strasbourg pada tahun 1963, 1968, dan 1983; dan Wina tahun 1985, yang meliputi: akses ke data pribadi, intersepsi komunikasi, pilihan atau perubahan nama, kehidupan seksual, profesi atau domisili, perlindungan terhadap gangguan lingkungan, serta hak untuk membangun dan mengembangkan hubungan dengan orang lain (Elsam, 2014).

Dalam perkembangannya, setidaknya terdapat lima organisasi internasional yang memberikan perhatian terhadap isu perlindungan data pribadi, antara lain: Organization for Economic Co‐Operation and Development (OECD) melalui Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data (OECD Guidelines), diadopsi pada 23 September 1980 dan direvisi pada 11 Juli 2013; Council of Europe (CoE) melalui Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (European Treaty Series - No. 108) pada tahun 1981 dan direvisi pada 2018; United Nations High Commissioner for Human Rights (UNHCHR) melalui Guidelines for the Regulation of Computerized Personal Data Files (E/CN.4/1990/72) yang diadopsi dari General Assembly resolution 45/95 pada 14 Desember 1990 dan direvisi pada 1997 melalui Commission on Human Rights decision 1997/122; dan Asia Pacific Economic Cooperation (APEC) melalui APEC Privacy Framework pada tahun 2005 dan direvisi pada 2015. Selain itu, Uni Eropa membuat suatu hukum privasi dan keamanan dengan pendekatan komprehensif terhadap perlindungan data pribadi melalui General Data Protection Regulation (GDPR) atau Regulation (EU) 2016/679 pada 27 April 2016 yang mulai berlaku pada 25 Mei 2018.

Jika mengacu pada EU GDPR, maka yang dimaksud dengan “data pribadi” adalah “Setiap informasi terkait seseorang (‘subjek data’) yang dapat mengenali atau dapat dikenali; mengenali secara langsung atau tidak lansung seseorang tersebut, terutama dengan merujuk pada sebuah tanda pengenal seperti nama, nomor identitas, data lokasi, data pengenal daring atau pada satu faktor atau lebih tentang identitas fisik, psikologis, genetik, mental, ekonomi, atau sosial orang tersebut” (personal data means any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person) (article 4 (1)).

Dalam EU GDPR tersebut, terdapat dua kategori yang digolongkan sebagai data pribadi, yaitu: data pribadi yang bersifat umum (general), seperti: Nama, Alamat, Alamat e‐mail, Data lokasi, IP address, web cookie; dan data pribadi yang bersifat spesifik, seperti: ras, etnis, agama, pandangan politik, orientasi seksual, genetik, biometrik, kondisi mental dan kejiwaan, catatan kriminal.

Jika mengacu pada prinsip-prinsip perlindungan data pribadi yang dihasilkan oleh OECD (2013), APEC (2015), dan GDPR (2016), dalam hal pemrosesan data pribadi dapat dilakukan dengan beberapa alasan hukum, yakni: adanya persetujuan atau konsen dari subjek data; memastikan perlunya pemrosesan untuk berlakunya kontrak dengan subjek data; kepatuhan terhadap kewajiban hukum; melindungi kepentingan vital subjek data atau orang lain; dilakukan untuk kepentingan umum atau dalam pelaksanaan wewenang resmi yang diberikan kepada pihak pengendali data; atau untuk tujuan kepentingan yang sah, yang dilakukan oleh pengendali atau pihak ketiga, kecuali jika kepentingan tersebut dikesampingkan oleh kepentingan, yaitu hak atau kebebasan dari subjek data.

Sementara itu, pihak pengendali atau prosesor data wajib mengambil langkah-langkah teknis guna memastikan bahwa pengolahan data yang dilakukan telah sesuai hukum, seperti: penyediaan audit data terkini, kebijakan dan prosedur perlindungan data yang komprehensif, prosedur yang jelas bagi pemilik data; penilaian dampak perlindungan data, keamanan data yang kuat, dan prosedur terkait palanggaran, merekam dan melaporkan pelanggaran. Sedangkan hak pemilik data, antara lain: hak atas informasi, hak akses, hak untuk memperbaiki, memblokir, dan menghapus, hak untuk menyangkal, hak atas portabilitas data, hak yang terkait dengan pemrofilan dan pengambilan keputusan secara otomatis, hak atas pemulihan yang efektif, serta hak atas kompensasi dan pertanggungjawaban (Djafar, 2019).

Pengaturan di Tingkat Nasional

Pasca amandemen UUD 1945, perlindungan data pribadi sebagai hak atas privasi diakui sebagai salah hak konstitusional warga negara yang dapat ditemukan di dalam Pasal 28G ayat (1) UUD 1945, yang berbunyi: “Setiap orang berhak atas perlindungan atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.” Sejalan dengan hal tersebut, hak atas privasi sebagai bagian dari hak asasi manusia juga telah diatur di dalam Pasal 14 (2), Pasal 29 (1) dan Pasal 31 UU No. 39 Tahun 1999 tentang HAM. Pasal 14 (2) menyebutkan bahwa salah satu hak mengembangkan diri adalah hak untuk mencari, memperoleh, menyimpan, mengolah dan menyampaikan informasi dengan menggunakan segala jenis sarana yang tersedia. Pasal 29 ayat (1) menyebutkan bahwa pengakuan akan hak setiap orang atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan hak miliknya. Perlindungan yang dimaksud bukan hanya sebatas hubungan langsung, namun juga terkait dengan informasi atau data pribadi. Dan Pasal 31 juga mengatur bahwa kemerdakaan rahasia dalam hubungan komunikasi melalui sarana elektronik dijamin, kecuali atas perintah hakim atau kekuasaan yang lain yang sah sesuai dengan ketentuan perundangan-undangan.

Dalam lingkup yang lebih spesifik, terdapat beberapa ketentuan perundang-undangan yang menyangkut dengan data pribadi sebelum terbit UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi, yakni: UU No. 36 Tahun 1999 tentang Telekomunikasi, UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) yang diubah menjadi UU No. 1 Tahun 2024 tentang Perubahan Kedua UU No. 11 Tahun 2008 tentang ITE, UU No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik, UU No. 23 Tahun 2006 tentang Administrasi Kependudukan yang diubah menjadi UU No. 24 Tahun 2013 tentang Perubahan UU No. 23 Tahun 2006 tentang Administrasi Kependudukan, UU No. 43 Tahun 2009 tentang Kearsipan, UU No. 10 Tahun 1998 tentang Perbankan, UU No. 21 Tahun 2008 tentang Perbankan Syariah, UU No. 21 Tahun 2011 tentang Otoritas Jasa Keuangan, UU No. 11 Tahun 2016 tentang Pengampunan Pajak, UU No. 9 Tahun 2017 tentang Penetapan Peraturan Pemerintah Pengganti UU No. 1 Tahun 2017 Tentang Akses Informasi Keuangan Untuk Kepentingan Perpajakan Menjadi Undang-Undang, paket UU yang mengatur tentang kesehatan dan profesi di bidang kesehatan sebelum diubah menjadi UU Omnibus Law Kesehatan, yakni: UU No. 29 Tahun 2004 tentang Praktik Kedokteran; UU No. 36 Tahun 2009 tentang Kesehatan; UU No. 44 Tahun 2009 tentang Rumah Sakit; UU No. 18 Tahun 2014 tentang Kesehatan Jiwa; UU No. 36 Tahun 2014 tentang Tenaga Kesehatan; dan UU No. 38 Tahun 2014 tentang Keperawatan, UU No. 35 Tahun 2009 tentang Narkotika, UU No. 8 Tahun 1981 tentang KUHAP, UU No. 31 Tahun 1999 tentang Pemberantasan Tindak Pidana Korupsi, UU No. 30 Tahun 2002 tentang KPK, UU No. 21 Tahun 2007 tentang Pemberantasan Tindak Pidana Perdagangan Orang, UU No. 8 Tahun 2010 tentang Pemberantasan Tindak Pidana Pencucian Uang, UU No. 17 Tahun 2011 tentang Intelijen Negara, UU No. 18 Tahun 2011 tentang Komisi Yudisial, UU No. 9 Tahun 2013 tentang Pencegahan dan Pemberantasan Tindak Pidana Pendanaan Terorisme, UU No. 5 Tahun 2018 tentang Pemberantasan Tindak Pidana Terorisme.

Selain undang-undang yang disebutkan di atas, perlindungan data pribadi juga terkait erat dengan beberapa undang-undang lainnya, misalnya UU No. 8 Tahun 1997 tentang Dokumen Perusahaan, UU No. 8 Tahun 1999 tentang Perlindungan Konsumen, dan UU No. 7 Tahun 2014 tentang Perdagangan. Namun, dalam UU Perlindungan Konsumen belum secara spesifik menyebutkan perlindungan data pribadi konsumen sebagai bagian dari hak konsumen yang harus dilindungi oleh pelaku usaha. Demikian juga UU Perdagangan tidak secara detail mengatur perihal kewajiban perlindungan data pribadi konsumen. Akan tetapi, jika dilihat di dalam ketentuan Pasal 65 ayat (3) UU No. 7 Tahun 2014 tentang Perdagangan, menegaskan bahwa dalam perdagangan yang menggunakan sistem elektronik atau e‐commerce, setiap pelaku perdagangan harus sepenuhnya mengacu pada ketentuan yang berlaku dalam UU ITE. Hal ini berarti ketentuan mengenai perlindungan data pribadi juga mengikat seutuhnya pada setiap perdagangan yang menggunakan sistem elektronik.

*) Penulis adalah dosen di Sekolah Tinggi Ilmu Hukum (STIH) Graha Kirana, Medan, Sumatera Utara.