Keberadaan UU PDP mewajibkan individu dan kelompok yang melakukan pengumpulan dan pemrosesan data pribadi untuk menjamin keamanan dan privasi data yang mereka kelola. Sebagai entitas yang mengelola data pribadi, organisasi masyarakat sipil perlu mulai mempertimbangkan kebijakan pelindungan data dalam kerja-kerjanya.
Setelah melalui tarik ulur antara Pemerintah dan Dewan Perwakilan Rakyat Republik Indonesia baru saja mengesahkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) pada 20 September lalu. Regulasi ini merupakan salah satu regulasi yang ditunggu-tunggu mengingat kian tingginya kasus-kasus pelanggaran data pribadi di Indonesia. Meski masih terdapat banyak catatan atau celah dari regulasi tersebut, kelompok masyarakat sipil mestinya bisa menganggap hal ini sebagai sebuah capaian. Yang menjadi pekerjaan rumah kemudian adalah dapatkah kita mengimplementasikan UU PDP secara tepat.
Penegakkan aturan mengenai pelindungan data pribadi ini tentu saja tidak hanya mengikat pemerintah dan perusahaan swasta yang selama ini kerap menjadi sumber berita ketika terjadi kebocoran, pelanggaran, atau penyalahgunaan data pribadi. UU PDP memiliki konsekuensi hukum bagi seluruh entitas, baik individu maupun organisasi, yang beroperasi di Indonesia (Pasal 19), termasuk di dalamnya Organisasi Masyarakat Sipil (OMS).
OMS merupakan entitas sosial dengan fokus kerja yang begitu luas atau nyaris di semua sektor. Untuk mencapai tujuannya, OMS sering kali melakukan pengumpulan, penyimpanan, dan pemrosesan data pribadi. Data-data tersebut, baik yang bersifat digital maupun nondigital, digunakan untuk mendukung pelaksanaan program atau kegiatan, hingga tahap monitoring dan evaluasi (Gazi 2020). Data yang dikumpulkan mulai dari data staf, mitra, penerima manfaat, relawan, sponsor, hingga donor, baik yang bersifat umum maupun sensitif atau spesifik. Artinya, OMS merupakan salah satu entitas yang sudah semestinya memperhatikan aspek pelindungan data pribadi serta privasi, terlebih ketika sudah ada regulasi yang mengatur hal tersebut.
Belajar melindungi data pribadi
Di berbagai negara atau wilayah, adaptasi organisasi terhadap regulasi PDP memang bukan jalan mudah. Organisasi-organisasi tersebut harus beradaptasi dan mengeluarkan sumber daya yang tidak kecil untuk dapat memenuhi tuntutan regulasi (Gazi 2020; Brodin 2019; Baloyi dan Kotze 2017). Bahkan sejumlah organisasi internasional mengeluarkan panduan pelindungan data untuk lingkup kerja spesifik. International Committee of the Red Cross (ICRC), misalnya, menerbitkan panduan berjudul Handbook on Data Protection in Humanitarian Action (2017). Atau Open Society Foundation yang menerbitkan Civil Society Organizations and General Data Protection Regulation Compliance: Challenges, Opportunities, and Best Practices (2020). Tentu saja, panduan-panduan tersebut merupakan upaya untuk mengawal kerja-kerja OMS agar sejalan dengan prinsip pelindungan data dan privasi yang merupakan hak asasi manusia.
Isu pelindungan data pribadi dan privasi muncul dan menjadi perbincangan lantaran banyaknya kasus yang melibatkan pelanggaran data pribadi, terutama oleh pemerintah dan perusahaan swasta. Menurut Rosadi (2018) ada beberapa masalah yang muncul dan memicu kesadaran masyarakat terkait PDP; pertama, munculnya individu atau kelompok yang mengeluhkan pelanggaran informasi pribadi di media elektronik; kedua, adanya keluhan dari masyarakat karena sektor swasta melakukan pertukaran data tanpa sepengetahuan mereka yang menyebabkan terganggunya privasi mereka.
Regulasi yang mengatur aspek-aspek pelindungan data pribadi di Indonesia sebenarnya sudah ada sejak lama, hanya saja bersifat sektoral. Kajian ELSAM (2016) mengungkap bahwa ada 30 undang-undang yang memuat jaminan pelindungan data pribadi. Karena tidak disusun secara menyeluruh alhasil ada sejumlah kelemahan dan kekosongan hukum atau bahkan ketumpangtindihan di antara undang‐undang tersebut (Djafar, Sumigar, Setianti 2016). Menurut Greenleaf (2014) perlindungan data pribadi yang komprehensif haruslah, 1) memiliki seperangkat pengaturan yang sesuai dengan standar internasional yang relevan (yang terdiri mengatur pengaturan cakupan dan pengecualian; prinsip-prinsip pelindungan data; hak subjek data; tanggung jawab pengendali dan prosesor data; dan data transfer internasional), dan 2) memiliki beragam metode untuk menerapkan prinsip-prinsip tersebut (Greenleaf 2014, dalam Haristya, Laksmi, Astuti, dan Dewi 2020).
Pemberlakuan Undang-Undang Pelindungan Data Pribadi (UU PDP) memiliki konsekuensi hukum pada setiap individu dan organisasi yang berada di wilayah hukum Indonesia. Dalam banyak kasus, isu pelindungan PDP lebih kerap ditujukan pada lembaga pemerintah atau sektor swasta. Memang beberapa kali kejadian pelanggaran atau kebocoran data pribadi melibatkan dua entitas tersebut (Kompas.com, 14 Juni 2021; Kompas.com, 08 Januari 2022). Contoh kasus termutakhir adalah tentang aplikasi PeduliLindungi yang digagas pemerintah. Dalam telaah Pratama dan Pati (2021), aplikasi tersebut tidak betul-betul memenuhi prinsip pelindungan data pribadi, terutama pada aspek transparansi, minimasi data dan pembatasan penggunaan.
Sejauh ini pemerintah dan swasta kerap menjadi tersangka utama dalam kasus-kasus pelanggaran dan kebocoran data pribadi. Padahal, aturan pelindungan data dan privasi melekat pada setiap individu maupun kelompok yang melakukan pengumpulan, penyimpanan dan pemrosesan data pribadi, termasuk organisasi masyarakat sipil atau OMS. Sebagai entitas yang bergerak dalam urusan publik, OMS sepatutnya memperhatikan aspek PDP dalam setiap kerja yang melibatkan aktivitas pemrosesan data pribadi, terlebih ketika UU PDP sudah berlaku efektif. OMS yang dalam kerja-kerjanya melakukan pengumpulan, penyimpanan, dan pengelolaan data pribadi, bertanggung jawab atas keamanan data-data tersebut.
Sebagai pengendali data OMS harus dapat menjaga kerahasiaan data pribadi, mengawasi pemrosesan data pribadi, melindungi dari permrosesan yang tidak sah, hingga memusnahkan data pribadi yang sudah memasuki masa retensi. Dalam pemrosesan data pribadi, OMS juga mesti mempertimbangkan betul hak-hak subyek data pribadi, seperti hak untuk mengetahui tujuan pemrosesan (akuntabilitas), hak untuk melakukan koreksi data, hak untuk menarik datanya dari pemrosesan, hingga hak untuk mengakhiri pemrosesan atau pemusnahan data pribadi. Bahkan untuk hal-hal genting, seperti pendataan untuk bantuan sosial bagi korban bencana alam, OMS tetap diwajibkan untuk menghormati hak-hak subjek data pribadi.
Tentu saja OMS bertanggung jawab penuh atas pelindungan data pribadi yang mereka kelola, namun di sisi lain celah pada UU PDP boleh jadi menjadi tantangan bagi OMS dalam melakukan kerja-kerjanya. Dalam Catatan Kritis Tifa untuk Undang-Undang No. 7/2022 tentang Pelindungan Data Pribadi (2022), misalnya, ada sejumlah ketentuan yang dianggap dapat menghambat kerja-kerja OMS, misalnya, dalam aktivitas pengawasan pelaksanaan wewenang pejabat dan tokoh publik. Dengan tanpa pengecualian pemenuhan subjek data, dalam isu-isu seperti korupsi atau transparansi sumber keuangan pejabat publik, jurnalis atau OMS yang bergerak di bidang tersebut akan sulit untuk mengakses informasi tersebut meski untuk tujuan penelusuran untuk mengungkap kasus yang terindikasi menyalahi aturan. Atau bahkan pegiat OMS boleh jadi menghadapi kriminalisasi karena dianggap melanggar UU PDP.
Pengalaman pelindungan data negara lain
Ketika Uni Eropa mengesahkan General Data Protection Regulation (GDPR) pada 2018, setiap organisasi, termasuk OMS, yang beroperasi di teritori Uni Eropa wajib menaatinya. Gazi (2020) dalam artikelnya yang berjudul Data to the Rescue: How Humanitarian Aid NGOs Should Collect Information Based on the GDPR, memberi kerangka perihal bagaimana GDPR diterapkan dalam kerja-kerja organisasi kemanusiaan di Eropa. Kerja-kerja kemanusiaan kerap membutuhkan data pribadi untuk mencapai keluaran yang diinginkan. Akan tetapi, lembaga kemanusiaan juga tetap harus memiliki batasan-batasan dalam memproses data pribadi penerima manfaat. Gazi menyebutkan, dalam hal pemberian bantuan terhadap penerima manfaat yang merupakan subyek data, organisasi kemanusiaan harus memerhatikan hak-hak penerima manfaat seperti, right to be informed, right to access, right to rectification and erasure, right to restrict processing and object, dan right to data portability. Menurut Gazi, perlindungan data dan kerja kemanusiaan adalah dua hal yang saling melengkapi, sebab pada dasarnya kerja kemanusiaan adalah untuk melindungi hak asasi manusia.
Kajian Gazi merupakan salah satu dari sedikit kajian yang membahas perihal OMS dan praktik pelindungan data. Gazi memberi wawasan penting tentang bagaimana sebaiknya organisasi kemanusiaan menerapkan kebijakan PDP. Luasnya lingkup sektor yang digeluti membuat OMS harus memahami konsekuensi yang harus diemban oleh mereka. Akan tetapi, Gazi masih terlalu menekankan ihwal bagaimana pelindungan data pribadi eksternal, dalam hal ini penerima manfaat. Yang belum terjelaskan adalah bagaimana organisasi menerapkan kebijakan PDP untuk anggota organisasinya sendiri. Sebab kerentanan data tidak hanya dialami oleh pihak ekstenal, tetapi juga internal organisasi.
Bagi organisasi berskala kecil, menerapkan PDP secara utuh memang bukan tanpa hambatan. Dalam kasus penerapan PDP di kalangan organisasi berskala kecil dan sedang, dalam hal ini kelompok usaha kecil dan menengah di Eropa, Martin Brodin (2019) mengungkapkan bahwa usaha kecil dan menengah (small and medium enterprises) mengalami kendala untuk menerapkan GDPR secara komprehensif. Dalam A Framework for GDPR Compliance for Small and Medium Sized Enterprises (2019), Brodin menjelaskan bahwa usaha kecil dan menengah memiliki sumber daya dan sistem pengelolaan informasi yang terbatas, sehingga untuk bisa menerapkan PDP secara ketat dibutuhkan perubahan signifikan dalam tata kelola informasi organisasi tersebut yang tentu membutuhkan alokasi sumber daya yang cukup besar.
Kondisi ini sebenarnya dapat kita temukan di entitas OMS, terutama di Indonesia. Meski secara tujuan berbeda—antara profit dan nonprofit—ada kemiripan di antara keduanya. Misalnya, secara kapasitas, rata-rata OMS di Indonesia tidak berbeda dengan kalangan usaha kecil dan menengah yang memiliki sistem perencanaan dan kontrol sederhana dengan prosedur dan aturan yang informal. Pun keduanya biasanya tidak memiliki standar proses pengolahan data yang baku. Hal ini yang menjadi kendala sebab regulasi PDP seperti GDPR mensyaratkan kendali penuh pada setiap proses yang melibatkan data pribadi (Supyuenyong, et all. 2009 dalam Brodin 2019). Dalam konteks UU No. 27/2022 tentang PDP hal tersebut juga terjadi. UU PDP tidak memberi pengecualian terhadap organisasi dengan skala kapasitas dan kematangan yang beragam, alias pukul rata.
Mengukur kesiapan OMS soal PDP
Betapa pun kelemahan dari sebuah regulasi PDP, badan publik, perusahaan swasta, atau pun organisasi masyarakat sipil, musti didorong untuk memenuhi prinsip pelindungan data pribadi. Ketika sebuah regulasi baru ditetapkan, pertanyaan yang mungkin muncul kemudian adalah seberapa siap organisasi-organisasi tersebut mematuhi regulasi. Sebagai pembanding, Baloyi dan Kotze (2017) pernah melakukan kajian mengenai kesiapan dan kepatuhan organisasi-organisasi di Afrika Selatan terhadap Protection of Personal Information Act (POPI).
Baloyi dan Kotze melakukan survei terhadap 56 pekerja dari berbagai sektor untuk mengetahui: 1) pengetahuan tentang UU POPI dan implikasinya terhadap ketidakpatuhan; 2) kepatuhan terhadap perlindungan data pribadi tertentu atau standar dan kerangka kerja privasi; 3) pengetahuan dan ketersediaan program pelatihan dan kesadaran yang bertujuan untuk memastikan privasi informasi; 3) pengetahuan tentang kebijakan perlindungan data pribadi; 4) potensi posisi dalam organisasi dan pengaruhnya terhadap praktik perlindungan data pribadi.
Dari hasil survei tersebut, Baloyi dan Kotze menyimpulkan bahwa masih banyak organisasi di Afrika Selatan yang perlu meningkatkan kapasitasnya pada aspek-aspek tersebut. Sebagian besar aktivitas organisasi-organisasi tersebut berkaitan erat dengan pengumpulan data pribadi, namun para pekerjanya tidak cukup punya kapasitas dalam hal pelindungan data dan privasi. Hal tersebut diperkuat dengan temuan bahwa banyak partisipan tidak familier dengan POPI dan implikasi ketidakpatuhan terhadapnya.
Dalam konteks Indonesia, dengan baru disahkannya UU PDP, saya menduga bahwa sebagian besar organisasi masyarakat sipil di Indonesia belum cukup siap dalam menerapkan UU PDP secara utuh. Dugaan tersebut didasari pada, 1) wacana dan praktik pelindungan data dan privasi adalah sesuatu yang baru bagi masyarakat indonesia; 2) secara kultural, konsep pelindungan data dan privasi tidak banyak dikenal di Indonesia, bahkan Asia (Setianti, 2017); 3) dari pengalaman kami di Combine Resource Institution memfasilitasi pelatihan keamanan digital yang melibatkan OMS, kami menemukan tidak banyak OMS yang memiliki kebijakan pelindungan data dan privasi di organisasinya.
Meski terbilang isu baru, kesadaran masyarakat Indonesia tentang pentingnya pelindungan data pribadi dan privasi semakin meningkat. Artinya, hal ini perlu menjadi perhatian oleh berbagai pihak, termasuk OMS yang kerja-kerjanya berkaitan erat dengan pengumpulan dan pemrosesan data pribadi. Perlu ada upaya untuk mengarusutamakan isu dan praktik pelindungan data pribadi di kalangan OMS di Indonesia. Hal ini tentu saja agar OMS sebagai pengendali dan pemroses data dapat lebih memperlakukan data pribadi jejaringnya, baik itu penerima manfaat maupun mitra-mitra kerjanya, secara lebih adil dan aman.[]
Daftar Pustaka
- Baloyi, N., & Kotze, P. (2017). Are organisations in South Africa ready to comply with personal data protection or privacy legislation and regulations?. 1-11. 10.23919/ISTAFRICA.2017.8102340.
- Brodin, M. A Framework for GDPR Compliance for Small- and Medium-Sized Enterprises. Eur J Secur Res 4, 243–264 (2019). https://doi.org/10.1007/s41125-019-00042-z
- Djafar, W., Sumigar, B.R.F., Setianti, B.L. (2016). Perlindungan Data Pribadi: Usulan Pelembagaan Kebijakan dari Perspektif Hak Asasi Manusia. Jakarta: ELSAM.
- Franz, V., Hayes, B., Hannah, L. (2020). Civil Society Organizations and General Data Protection Regulation Compliance: Challenges, Opportunities, and Best Practices. New York: Open Society Foundations.
- Gazi, T. (2020). Data to the rescue: how humanitarian aid NGOs should collect information based on the GDPR. Int J Humanitarian Action 5, 9. https://doi.org/10.1186/s41018-020-00078-0.
- Haristya, S., Laksmi S., Astuti A. N. T., dan Dewi, I. F. (2020). Studi Pendahuluan Perbandingan Rancangan Undang-undang Perlindungan Data Pribadi dengan Konvensi Eropa 108+ dan GDPR. Jakarta: TIFA Foundation.
- Kuner, C., & Marelli, M. (2017). Handbook on Data Protection in Humanitarian Action. Geneva: ICRC.
- Pratama, A., & Pati, U. (2021). Analysis Principles of Personal Data Protection on COVID-19 Digital Contact Tracing Application: PeduliLindungi Case Study. Lex Scientia Law Review, 5(2), 65-88. https://doi.org/10.15294/lesrev.v5i2.50601.
- Rosadi, S. D. (2018). Protecting Privacy on Personal Data in Digital Economic Era : Legal Framework in Indonesia. Brawijaya Law Journal : Journal of Legal Studies, 5(1), 143–157. https://doi.org/10.21776/ub.blj.2018.005.01.09.
- “Sederet Kasus Kebocoran Data Penduduk di Server Pemerintah”, Kompas.com, 08 Januari 2022. https://www.kompas.com/tren/read/2022/01/08/163000065/sederet-kasus-kebocoran-data-penduduk-di-server-pemerintah?page=all, diakses pada 13 Desember 2022.
- “Selama 6 Tahun Kemendagri Gratiskan Akses Verifikasi Data Penduduk ke Sejumlah Lembaga”, Kompas.com, 14 Juni 2021, https://nasional.kompas.com/read/2021/06/14/09364591/selama-6-tahun-kemendagri-gratiskan-akses-verifikasi-data-penduduk-ke?utm_source, diakses pada 13 Desember 2022.
- Setianti, L. (2017, October 6). Memahami Konteks Privasi Dalam Kultur asia Dan Tantangan Pemerintah Indonesia. ELSAM. Diakses pada 10 November 2022, dari https://elsam.or.id/uncategorized/memahami-konteks-privasi-dalam-kultur-asia-dan-tantangan-pemerintah-indonesia/.
- Tetri, P., & Vuorinen, J. (2013) Dissecting social engineering, Behaviour & Information Technology, 32:10, 1014-1023, DOI: 10.1080/0144929X.2013.763860.
Gambar oleh AbsolutVision on Unsplash.