Bagaimana Hukum Penyalahgunaan Data Pribadi Elektronik?

BAGAIMANA HUKUM PENYALAHGUNAAN DATA PRIBADI ELEKTRONIK?

Silahkan masukan nama, jenis kelamin, pekerjaan, nomor identitas Kartu Penduduk (KTP), Nomor handphone (HP), alamat surat elektronik (email) atau selamat Anda mendapatkan hadiah sebesar 50 juta Rupiah silahkan hubungi nomor HP dibawah ini untuk memproses hadiah tersebut.

Kalimat tersebut sangat familiar dan seringkali kita baca dalam pesan layanan singkat (SMS), email ataupun jika ingin membuka suatu akun elektronik yang resmi. Tidak jarang selain menggunakan surat/pesan elektronik, oknum tersebut tiba-tiba menelpon nomor HP kita padahal kita tidak pernah memberikan nomor HP kita kepada oknum tersebut.

Dewasa ini, di era industri 4.0, menurut hemat Penulis, internet dan paket data sudah menjadi kebutuhan pokok masyarakat khususnya masyarakat di perkotaan. Internet sangat memudahkan kehidupan, pekerjaan manusia, melalui internet manusia dapat melakukan jual beli, transfer uang tunai cukup dengan HP namun disatu sisi, internet mendatangkan sisi negatif jika menggunakannya untuk perbuatan yang melawan hukum, norma kesopanan dan kepatutan.

Penggunaan internet, penyelenggara sistem elektronik (PSE) atau yang sering dikenal dengan istilah platform (penyedia) membutuhkan data pribadi yang wajib dimasukan ke dalam sistem elektronik PSE. 

Menurut hemat Penulis, sejauh ini payung hukum yang mengatur tentang perlindungan data pribadi elektronik ialah (a). Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen (UU PK) (b). 

Undang-undang No.11 Tahun 2008 sebagaimana telah diubah oleh Undang-undang No.19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (selanjutnya disebut UU ITE); (c). Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (selanjutnya disebut PP 82/2012); (d). Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektornik (Permenkominfo 20/2016).

Namun, keempat peraturan perundang-undangan tersebut tidak memiliki sanksi pidana terhadap orang yang mencuri, membocorkan, menggunakan data pribadi elektronik untuk kepentingan komersial tanpa persetujuan si pemilik data (lex specialis). 

Permenkominfo 20/2016 hanya mengatur tentang sanksi administratif berupa: a. peringatan lisan, b. peringatan tertulis, c. penghentian sementara kegiatan, dan/atau d. pengumuman di situs dalam jaringan (website online) bagi setiap orang memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarluaskan Data Pribadi tanpa hak.

Permenkominfo 20/2016 memberikan definisi data pribadi yakni data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. 

Permenkominfo 20/2016 tidak memperinci klasifikasi data pribadi, klasifikasi data pribadi masih tersebar dipelbagai peraturan perundang-undangan, aturan sektoral. Pembagian jenis data pribadi baru akan dicita-citakan (ius constituendum) dalam Rancangan UU Perlindungan Data pribadi bahwa data pribadi terdiri dari: a. data pribadi yang bersifat umum salah satunya adalah Nomor KTP; dan b. data pribadi yang bersifat sensitif salah satunya adalah data keuangan pribadi.

Jika mengacu pada UU 23/2006 jo. UU 24/2013 tentang administrasi kependudukan (selanjutnya disebut UU AK). Pasal 84 ayat (1) UU AK mengatur bahwa Data pribadi penduduk yang harus dilindungi ialah 1. Nomor Kartu Keluarga (KK); 2. Nomor Induk Kependudukan (NIK); 3. Tanggal/bulan/tahun lahir; 4. Keterangan tentang kecacatan fisik dan/atau mental; 5. NIK ibu kandung; 6. NIK ayah; 7. Beberapa isi catatan peristiwa penting.  

Pasal 85 ayat (1) UU AK dengan tegas mengatur bahwa data pribadi penduduk tersebut wajib disimpan dan dilindungi oleh Negara. Penulis yakin jika data pribadi tersebut disimpan atau diminta oleh Instansi Pemerintah tentu terjamin perlindungannya, namun bagaimana jika pengguna memberikan data pribadi tersebut kepada pelaku usaha swasta lainnya? 

Memang, dalam Pasal 15 ayat (1) Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (selanjutnya disebut PP 82/2012) bahwa penyelenggara sistem elektronik wajib: a.  menjaga rahasia, keutuhan dan ketersediaan data pribadi yang dikelolanya; b. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; c. menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data. 

Penyelenggara jasa elektronik juga memiliki dan mewajibkan pengguna (user) mengisi electronic disclaimer / pernyataan dan juga kebijakan privasi jika konsumen menggunakan jasa elektronik tersebut, namun siapa yang dapat menjamin bahwa data tersebut tidak disalahgunakan, tidak diperjualbelikan misalnya untuk keperluan marketing/penjualan?

UU ITE, PP 82/2012 dan Peraturan Menteri Komunikasi dan Informatika No.20 Tahun 2016 belum dengan tegas mengatur tentang perlindungan data pribadi, tidak ada sanksi pidana terhadap pembocoran ataupun penyalahgunaan data pribadi tanpa izin orang yang memiliki data tersebut. 

Tindakan hukum dalam UU ITE hanya berupa gugatan keperdataan.  Ketentuan Pasal 26 ayat (1) UU ITE dengan tegas mengatur bahwa "kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan." 

Bagian Penjelasan Pasal 26 ayat (1) UU ITE berisikan bahwa perlindungan data pribadi adalah salah satu bagian dari hak pribadi (privacy rights) yang mengandung pengertian: (a). hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan; (b). hak untuk dapat berkomunikasi dengan orang lain tanpa tindaka memata-matai; (c). hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang. Oleh karena itu, PSE wajib menjaga dan tidak membocorkan data pribadi yang tersimpan dalam sistem PSE.

Menurut analisis Penulis, UU ITE tidak memberikan sanksi pidana (strafrechtelijke sancties) bagi setiap orang yang melanggar ketentuan Pasal 26 ayat (1) UU ITE. Jika terjadi penyalahgunaan data tersebut, maka berdasar Pasal 26 ayat (2) UU ITE hanya mengatur bahwa pihak yang dirugikan dapat mengajukan gugatan. 

Oleh karena itu, alas hak mengajukan gugatan tersebut ialah 'Perbuatan Melawan Hukum / Onrechtmatige Daad' (PMH) Pasal 1365 Kuh.Perdata yang mengatur demikian "tiap perbuatan yang melawan hukum dan membawa kerugian kepada orang lain, mewajibkan orang yang menimbulkan kerugian itu karena kesalahannya untuk mengganti kerugian tersebut." 

Pertanyaan lebih lanjut ialah kemana gugatan PMH itu dilayangkan? Pasal 39 ayat (1) UU ITE hanya mengatur bahwa gugatan perdata dilakukan sesuai dengan ketentuan peraturan perundang-undangan. Ketentuan umum terhadap hal tersebut ialah hukum acara perdata yang bersumber pada Herzien Indlandsch Reglement (HIR), jika mengacu pada Pasal 118 ayat (1) HIR bahwa gugatan diajukan ke Pengadilan Negeri pada tempat tinggal tergugat (actor sequitor forum rei). 

Namun menurut hemat penulis, lebih tepat jika gugatan diajukan di tempat kedudukan konsumen mengingat konsumen berada diposisi lemah, ketentuan ini sesuai sebagaimana dalam Pasal 23 Undang-Undang No. 8 Tahun 1999 tentang Perlindungan Konsumen sebagai lex specialis.

Selain gugatan keperdataan, menurut hemat Penulis, orang baik perorangan ataupun korporasi wajib diberikan sanksi pidana jika terbukti dalam persidangan bahwa tidak melindungi data pribadi elektronik pengguna, menyebarluaskan dan memperjualbelikan untuk tujuan komersial. 

Tujuan hukum pidana yang berisikan keadilan bermartabat menurut Teguh Prasetyo (2015:56) ialah untuk mendidik orang yang telah pernah melakukan perbuatan tidak baik menjadi baik dan dapat diterima kembali dalam kehidupan lingkunganya atau nguwongke uwong. 

Hal tersebut serupa dengan ahli pidana, H.B. Vos sebagaimana dikutip oleh Eddy Hiariej (Prinsip-Prinsip Hukum Pidana, Edisi Revisi, 2016:41), titik berat yang sama pada pidana adalah pembalasan dan perlindungan masyarakat "...dat de straf tegelijk voldoet en aan de eis van vergelding en aan die maatshcappelijke bescherming". 

Jika mengacu pada Kitab Undang-undang Hukum Pidana (KUHP) sebagai lex generalis, menurut hemat Penulis, delik yang dapat digunakan melalui KUHP dalam penyalahgunaan data pribadi ialah (a). Pasal 362 KUHP tentang pencurian (diefstal) dengan ancaman pidana penjara lima tahun atau denda paling banyak sembilan ratus rupiah; (b). Pasal 372 KUHP tentang penggelapan (verduistering) dengan ancaman pidana penjara paling lama empat tahun atau pidana denda paling banyak sembilan ratus rupiah; (c). Pasal 374 KUHP tentang penggelapan dengan pemberatan karena dilakukan oleh orang yang penguasaannya terhadap barang disebabkan karena ada hubungan kerja atau karena pencarian atau karena mendapat upah untuk itu, diancam dengan pidana penjara paling lama lima tahun; (d). Pasal 378 KUHP tentang penipuan (oplicthing) dengan ancaman pidana penjara paling lama empat tahun dikarenakan PSE atau orang perorangan sengaja membocorkan data pribadi pengguna untuk tujuan komersial yang mendatangkan keuntungan secara materiil baik bagi perusahaan ataupun diri sendiri.

Sedangkan jika terduga pelaku ingin dijerat menggunakan UU ITE (lex specialis), maka Pasal yang tepat ialah Pasal 32 ayat (1) UU ITE yang demikian "Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik." dengan ancaman pidana penjara sebagaimana diatur dalam Pasal 48 ayat (1) yakni pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah)

Selain Pasal 32 ayat (1) UU ITE, Penyidik dapat menggunakan Pasal 32 ayat (2) UU ITE yang demikian "Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak." dengan ancaman pidana penjara sebagaimana diatur dalam Pasal 48 ayat (2) yakni pidana penjara paling lama 9 (sembilan) tahun dan/atau denda paling banyak Rp3.000.000.000,00 (tiga miliar rupiah). 

Jika tindak pidana tersebut dilakukan oleh Korporasi maka penyidik untuk memudahkan penyidikan maka wajib menggunakan Peraturan Mahkamah Agung No. 13 Tahun 2016 tentang Tata Cara Penanganan Perkara Tindak Pidana oleh Korporasi.

KUHP dan UU ITE memang dapat diterapkan untuk penyalahgunaan data pribadi namun Penulis berharap agar di tahun 2019 RUU Perlindungan Data Pribadi (ius constituendum) segera disahkan sebagai hukum yang khusus dengan tujuan konsumen, Warga Negara Indonesia, Warga Negara Asing yang berdomisili di Indonesia memiliki kepastian hukum, menjamin transfer data pribadi dilakukan secara terbatas,  memberikan perlindungan hukum, menjamin pelayanan dari orang perorangan, badan publik, pelaku usaha, organisasi kemasyarakatan yang dilakukan berdasarkan perlindungan data pribadi, memberikan peringatan keras (warning) kepada penyelenggara jasa daring (online) atau pelaku usaha yang menghimpun data pribadi karena memiliki berbagai sanksi pidana.

Menurut hemat Penulis, sanksi pidana dalam RUU Perlindungan Data Pribadi harus ditambah lebih berat baik dari sisi lamanya penjara dan besaran jumlah serta pengembalian berupa uang tunai kepada pemilik data pribadi yang datanya dibocorkan berdasarkan perhitungan pembagian dari total pendapatan yang diperoleh dari transaksi bisnis data pribadi bagi setiap orang yang dengan sengaja dan tanpa hak melakukan penjualan untuk kepentingan komersial serta ketentuan perbuatan yang dilarang dalam RUU haruslah diharmonisasikan dengan peraturan perundang-undangan yang berkaitan. 

Ketentuan Pasal 43 RUU Perlindungan Data Pribadi barulah akan mengatur bahwa "Setiap orang yang melakukan pencurian dan/ atau pemalsuan Data Pribadi dengan tujuan untuk melakukan kejahatan dipidana dengan pidana penjara paling lama 1 (satu) tahun dan/atau denda paling banyak Rp.300.000.000,- (tiga ratus juta rupiah)." Dan Pasal 44 RUU Perlindungan Data Pribadi barulah akan mengatur bahwa "Pidana pokok yang dijatuhkan terhadap pelanggaran oleh badan hukum adalah pidana denda paling banyak Rp. 1.000.000.000,- (satu miliar rupiah)."

RUU Perlindungan Data Pribadi memang tidak mengatur dengan tegas, apakah pembocoran data pribadi atau penyedia sistem elektronik lalai dalam melindungi data konsumenya termasuk dalam delik aduan (klacht delic) atau delik biasa (gewone delic)? 

Menurut hemat Penulis, hal tersebut berarti Polisi dapat segera bertindak dan tidak perlu menunggu laporan/aduan masyarakat jika telah menditeksi melalui peralatan pencegahan cybercrime yang dimiliki POLRI. Penulis berharap jika terjadi pembocoran data pribadi, siapapun yang mengetahuinya terlebih dahulu wajib melaporkan kepada polisi atau Kementerian Komunikasi atau informatika ataupun Otoritas Jasa Keuangan untuk diproses secara hukum agar tidak ada lagi peristiwa hukum serupa.