Perlindungan privasi dan data pribadi sangat mempengaruhi perkembangan ekonomi digital di suatu negara, tanpa terkecuali Indonesia. Perlindungan tersebut merupakan faktor penentu akan adanya kepercayaan daring (online trust), yang merupakan hal penting dalam transaksi digital. Privasi dan data pribadi menjadi sebuah hal yang penting karena pengguna dalam jaringan tidak akan melakukan sebuah transaksi digital apabila merasa keamanan akan privasi dan data pribadinya terancam. Salah satu perlindungan privasi dan data pribadi tersebut berkenaan bagaimana data pribadi tersebut akan diproses termasuk data sensitif dari pengguna yang apabila disebarkan ke pihak yang tidak bertanggung jawab akan berpotensi menimbulkan kerugian finansial, bahkan mengancam keamanan dan keselamatan pemiliknya. Ancaman-ancaman yang timbul dari lemahnya perlindungan privasi dan data pribadi tersebut memiliki korelasi garis lurus dengan pertubuhan ekonomi yang dihasilkan dari transaksitransaksi dalam jaringan (online)
Berita-berita mengenai maraknya penipuan menggunakan situs ecommerce (perdagangan elekrtorik) merupakan hal yang sering dijumpai di tanah air. Hal tersebut mengakibatkan berkurangnya tingkat kepercayaan masyarakat terhadap situs transaksi perdagangan daring. Masyarakat yang sadar akan hal ini enggan atau khawatir menggunakan kartu kredit yang melibatkan privasi dan data pribadi. Seiring banyaknya situs e-commerce Indonesia memerlukan akan adanya jaminan perlindungan privasi dan data pribadinya. Kini, penipuan yang tumbuh subur dengan memanfaatkan media sosial seperti facebook dan Instagram. Dengan turunnya kepercayaan masyarakat terhadap situs-situs perdagangan online, juga perdagangan online memanfaatkan media dalam jaringan lainnya, pertumbuhan ekonomi digital Indonesia akan stagnan, bahkan cenderung turun seiring dengan hilangnya kepercayaan pengguna.
Tidak sedikit masyarakat Indonesia yang mengeluhkan aktivitas telemarketing yang masuk ke dalam kategori direct marketing, yaitu menawarkan secara langsung produk-produk keuangan seperti asuransi dan pinjaman tanpa agunan. Masalah yang ada dalam praktik semacam ini salah satunya adalah perpindahan data pribadi nasabah atau masyarakat yang tidak sesuai dengan prinsip etika. Data pribadi yang nasabah beredar luas di kalangan perusahaan yang menggunakan cara direct marketing menggunakan telefon. Apabila masalah semacam ini timbul, maka Otoritas Jasa Keuangan dapat menjadi lembaga pengaduan yang dapat digunakan oleh masyarakat. Namun demikian, praktik telemarketing tanpa persetujuan masyarakat terlebih dahulu tetap saja marak di Indonesia.
Tak hanya kasus direct marketing, kontroversi juga terjadi dalam praktik permintaan data kartu keluarga dalam pendaftaran kartu prabayar. Masalah serius muncul ketika praktik semacam ini dihadapkan dengan isu privasi dan perlindungan data pribadi konsumen. Operator telepon seluler dalam hal ini menjadi pengumpul, pengolah sekaligus pemroses data pribadi yang secara masif diserahkan beramai-ramai oleh masyarakat karena didorong oleh kebijakan pemerintah. Kedua hal di atas mencerminkan adanya masalah sistemis dalam faktor kesadaran hukum masyarakat, faktor kurang efektifnya regulasi dan penegakan hukum
Ketidaktertiban yang terjadi dalam hal perlindungan masyarakat di tengah era ekonomi digital memerlukan hukum sebagai penjaga agar perkembangan ke arah ekonomi digital berjalan dengan tertib. Namun demikian, perlindungan privasi dan data pribadi di Indonesia dalam instrumen hukum yang khusus belum ada dan masih bersifat sektoral sehingga belum cukup untuk mendorong pembangunan ekonomi digital di Indonesia. Untuk itu, mula-mula perlu ditelaah peraturan-peraturan apa saja yang ada di Indonesia mengenai privasi dan data pribadi yang dapat mendorong perkembangan ekonomi digital. Hal tersebut dapat dilakukan dengan menggunakan metode penelusuran hukum. Selain itu, berkenaan degan hal moralitas, perlu juga diketahui bagaimana seharusnya perlindungan privasi dan data pribadi di Indonesia dapat responsif terhadap tren perubahan dari era ekonomi tradisional ke era ekonomi digital
Topik ini penting untuk diteliti karena Indonesia saat ini tengah berada di era peralihan dari ekonomi tradisional ke era ekonomi digital. Era Ekonomi Tradisional merupakan era sebelum teknologi informasi berkembang dengan pesat. Dalam era ekonomi tradisional perdagangan dana atau transaksi-transaksi lainnya antar masyarakat dilakukan secara langsung. Transaksi semacam ini menuntut para pihak yang akan bertransaksi hadir secara fisik di waktu dan tempat yang bersamaan. Berlainan dengan era ekonomi digital, transaksi yang telah dijelaskan sebelumnya dapat dilakukan dengan bantuan teknologi informasi dan komunikasi, dengan demikian muncul suatu era baru yang disebut dengan Era Ekonomi Digital (Digital Economy).
Teknologi informasi dan komunikasi yang berkembang dengan pesat mengubah cara masyarakat menjalankan bisnis dan/atau melakukan transaksi. Dengan demikian, bermunculan transaksi-transaksi yang dikenal dengan sebutan “e-transaction”, “e-comerce” dan “e-business”. Indonesia kini tengah berada dalam era ekonomi digital. Klaim ini didukung dengan keadaan masyarakat Indonesia yang menjadikan internet, telepon seluler sebagai suatu komoditas, dan komoditas tersebut digunakan oleh pada pedagang dan penjual untuk menandakan transaksi elektronik melalui jaringan internet. Hal ini menuntut hukum yang mengatur kegiatan tersebut dapat mengikuti atau bahkan mengantisipasi perkembangan ke Era Ekonomi Digital.
Ketentuan hukum terkait perlindungan privasi dan data pribadi di Indonesia sampai saat ini masih bersifat parsial dan sektoral. Indonesia memiliki aturan perlindungan data data pribadii yang tersebar di berbagai peraturan per-UUan, misalnya Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan mengatur tentang rahasia kondisi pribadi pasien, sedangkan Undang-Undang Nomor 10 Tahun 1998 tentang Perbankan mengatur data pribadi mengenai nasabah penyimpan dan simpanannya. Selain itu pengaturan perlindungan privasi dan data pribadi juga terdapat dalam Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi, Undang-Undang Nomor 39 Tahun 1999 tentang Hak Asasi Manusia, Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (telah diubah dengan Undang-Undang No. 24 Tahun 2013) dan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (telah diubah dengan Undang-Undang Nomor 19 Tahun 2016), serta Peraturan Pemerintah No. 82 Tahun 2012 Tentang Penyelenggaraan Sistem dan Transaksi Elektronik
Indonesia juga telah memiliki Rancangan Undang-Undang (RUU) Perlindungan Data pribadi yang tengah digodok di DPR. RUU tersebut dibuat dengan dasar bahwa pengaturan yang sudah ada tentang privasi dan data pribadi dipandang belum memberikan perlindungan yang maksimal dengan perkembangan teknologi, Informatika , komunikasi dan adanya kebutuhan masyarakat, serta perkembangan pengaturan privasi dan data pribadi secara global dan praktik negara lain.
Substansi RUU Perlindungan Data Pribadi diarahkan untuk dapat menjangkau berbagai aktivitas masyarakat yang berkaitan dengan perlindungan privasi dan data pribadi di samping itu substansi pengaturan harus memperhatikan “common elements” (unsur-unsur yang mengandung persamaan) dari berbagai regulasi perlindungan privasi dan data pribadi yang berkembang baik dalam lingkup internasional, regional maupun praktik-praktik negara lain.
Jangkauan dan arah pengaturan dari Rancangan Undang-Undang ini adalah untuk memberikan batasan hak dan kewajiban terhadap setiap tindakan perolehan dan pemanfaatan (pengelolaan) semua jenis data pribadi baik yang dilakukan di Indonesia maupun data pribadi warga Indonesia di luar negeri, baik yang dilakukan oleh perorangan maupun badan hukum (badan publik, swasta, dan organisasi kemasyarakatan).
Baik ketentuan yang tersebar di berbagai undang-undang, maupun ketentuan yang terdapat dalam RUU Perlindungan Data Pribadi harus dapat menjamin ketertiban perubahan masyarakat dari era ekonomi tradisional ke era ekonomi digital. Ketentuan-ketentuan yang ada harus dapat menjadi pelindung masyarakat di tengah era ekonomi digital.
Suatu data adalah data pribadi apabila data tersebut berhubungan dengan seseorang, sehingga dapat digunakan untuk mengidentifikasi orang tersebut, yaitu pemilik data. Sebagai contoh, nomor telepon di dalam secarik kertas kosong adalah data. Berbeda halnya apabila di dalam secarik kertas tersebut tertulis sebuah nomor telepon dan nama pemilik nomor telepon tersebut, data tersebut adalah data pribadi. Nomor telepon di dalam secarik kertas kosong bukan data pribadi karena data tersebut tidak dapat digunakan untuk mengidentifikasi pemiliknya, sedangkan data nomor telepon dan nama pemiliknya dapat digunakan untuk mengidentifikasi pemilik data tersebut, oleh karena itu dapat disebut sebagai data pribadi.
Seseorang yang dapat diidentifikasi adalah seseorang yang dapat dikenali/diidentifikasi secara langsung maupun tidak langsung berdasarkan nomor tanda pengenal atau berdasarkan satu atau lebih faktor spesifik dari identifikasi fisik, psikologi, mental, budaya atau sosial. Entitas yang dilindungi dalam mekanisme perlindungan data pribadi adalah “orang perorangan” (natural person) bukan “badan hukum” (legal person). Hak perlindungan data pribadi berkembang dari hak untuk menghormati kehidupan pribadi atau disebut the right to private life. Konsep kehidupan pribadi berhubungan dengan manusia sebagai makhluk hidup. Dengan demikian orang perorangan adalah pemilik utama dari hak perlindungan data pribadi
Dalam hal perlindungan terhadap data pribadi, terdapat beberapa kategori subyek hukum yang harus diatur. Subyek hukum yang pertama adalah “Pengelola Data Pribadi” yaitu orang, badan hukum publik atau swasta dan organisasi kemasyarakatan lainnya yang secara sendiri ataupun bersama-sama mengelola data pribadi. Pengelola Data Pribadi melakukan kegiatan “pengelolaan data pribadi” yang berupa kegiatan atau rangkaian kegiatan yang dilakukan terhadap data pribadi, baik dengan menggunakan alat olah data secara otomatis maupun secara manual, secara terstruktur serta menggunakan sistem penyimpanan data, termasuk namun tidak terbatas pada kegiatan pemrosesan pengumpulan, penggunaan, pengungkapan, penyebarluasan dan pengamanan data pribadi
Subyek hukum lainnya adalah “Pemroses Data Pribadi” yaitu orang badan hukum publik atau swasta dan organisasi kemasyarakatan lainnya yang melakukan pemrosesan data pribadi atas nama pengelola data. Pemroses Data Pribadi melakukan kegiatan pemrosesan data pribadi yang berupa pengumpulan, perekaman, pencatatan dan atau penyimpanan data pribadi, atau pelaksanaan penyusunan, penyesuaian, perubahan data pribadi, pemulihan kembali data pribadi yang telah dimusnahkan, pengungkapan data pribadi, penggabungan, pembetulan, penghapusan atau penghancuran data pribadi
Ketentuan mengenai perlindungan privasi dan data pribadi merupakan amanah Pasal 28 G Undang-Undang Dasar Republik Indonesia Tahun 1945 yang mengatur hak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya. Untuk dapat melihat ketentuan tersebut sebagai ketentuan mengenai privasi dan data pribadi, pendapat Warren dan Brandeis dalam karyanya yang berjudul “The Right to Privacy” menyatakan bahwa privasi adalah hak untuk menikmati kehidupan dan hak untuk dihargai perasaan dan pikirannya.
Perlindungan privasi berhubungan erat dengan pemenuhan hak data pribadi. Hubungan mengenai privasi dan perlindungan data pribadi ditegaskan oleh Allan Westin. Ia mendefinisikan privasi sebagai hak individu, grup atau lembaga untuk menentukan apakah informasi tentang mereka akan dikomunikasikan atau tidak kepada pihak lain.
Perlindungan data pribadi dalam bidang perbankan telah diatur dalam Pasal 40 Undang-Undang Nomor 10 Tahun 1998 tentang Perbankan. Berdasarkan ketentuan tersebut bank wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya. Namun demikian, terdapat beberapa pengecualian untuk perlindungan tersebut yaitu: (1) Dalam hal perpajakan, Menteri Keuangan mengeluarkan perintah tertulis kepada bank agar memberikan keterangan dan memperlihatkan bukti-bukti tertulis serta surat-surat mengenai keadaan keuangan Nasabah Penyimpan tertentu kepada pejabat pajak; (2) Pimpinan Bank Indonesia memberikan izin kepada pejabat Badan Urusan Piutang dan Lelang Negara/Panitia Urusan Piutang Negara untuk memperoleh keterangan dari bank; (3) Pimpinan Bank Indonesia memberikan izin kepada polisi, jaksa, atau hakim untuk kepentingan peradilan dalam perkara pidana untuk memperoleh keterangan dari bank mengenai simpanan tersangka atau terdakwa pada bank; (4) Direksi bank dapat memberitahukan keadaan keuangan nasabahnya kepada bank lain dalam rangka tukar menukar informasi antar bank; (5) Atas permintaan, persetujuan atau kuasa dari Nasabah Penyimpanan secara tertulis, bank wajib memberikan keterangan mengenai simpanan Nasabah Penyimpan pada bank yang bersangkutan dan (6) Dalam hal Nasabah Penyimpan telah meninggal dunia, ahli waris yang sah dari Nasabah Penyimpan yang bersangkutan berhak memperoleh keterangan mengenai simpanan Nasabah Penyimpan tersebut
Definisi yang dikemukakan oleh Westin disebut dengan information privacy karena menyangkut informasi pribadi. Di bawah pasal 28 G Undang-Undang Dasar 1945, perlindungan data pribadi di Indonesia tersebar di berbagai undang-undang. Kemudian, perlindungan data pribadi merupakan salah satu bentuk dari perlindungan privasi yang diamanatkan langsung oleh Konstitusi Negara Republik Indonesia yang mengandung penghormatan atas nilai-nilai HAM dan nilai-nilai persamaan serta penghargaan atas hak perseorangan sehingga perlu diberikan landasan hukum untuk lebih memberikan keamanan privasi dan data pribadi dan menjamin terselenggaranya iklim dunia usaha yang kondusif
Dalam Era Ekonomi digital, infrastruktur dan kegiatan telekomunikasi menjadi tulang punggung berjalanya pertukaran informasi dan transaksi elektronik antar masyarakat. Untuk itu, Indonesia telah memiliki Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi. Undang-undang tersebut telah juga memiliki aturan yang berkenaan dengan data pribadi.
Pasal 40 UndangUndang Nomor 36 Tahun 1999 tentang Telekomunikasi mengatur tentang larangan kegiatan penyadapan. Setiap orang dilarang melakukan kegiatan penyadapan atas informasi yang disalurkan melalui jaringan telekomunikasi dalam bentuk apapun. Adanya larangan tersebut merupakan hal positif bagi perlindungan privasi dan data pribadi. Selain itu, dalam Pasal 42 ayat (1) penyelenggara jasa telekomunikasi wajib merahasiakan informasi yang dikirim dan atau diterima oleh pelanggan jasa telekomunikasi melalui jaringan telekomunikasi dan atau jasa telekomunikasi yang diselenggarakannya. Lebih jauh, dalam hal privasi dan data pribadi dalam transaksi elektronik, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.
Hak privasi mengandung pengertian sebagai berikut: (1) hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan; (2) Hak-hak untuk dapat berkomunikasi dengan orang lain tanpa tindakan memata-matai; dan (3) Hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang. Penyelenggaraan sistem elektronik juga berkenaan dengan privasi dan data pribadi. Dengan demikian dalam Peraturan Pemerintah Nomor 82 Tahun 2012 diatur mengenai perlindungan data pribadi yang harus dilakukan penyelenggara sistem elektronik.
Beberapa hukum perlindungan privasi dan data pribadi di luar Indonesia, seperi di Uni Eropa Directive membedakan antara data ‘sensitif’ dan ‘non-sensitif’ berdasarkan tingkat bahaya yang akan dirasakan kepada individu jika terjadi diakses pihak yang tidak bertanggungjawab. Salah satu data yang termasuk ke dalam data sensitif adalah data mengenai kesehatan atau kondisi kesehatan seseorang. Indonesia dalam hal ini, telah mengatur mengenai perlindungan privasi dan data pribadi untuk data kesehatan. Indonesia menjamin bahwa setiap orang berhak atas rahasia kondisi pribadinya yang telah dikemukakan kepada penyelenggara pelayanan kesehatan.
Walaupun demikian, undang-undang kesehatan tidak menyatakan secara tegas bahwa data pribadi mengenai kesehatan adalah data sensitif. Dengan demikian sebenarnya Indonesia belum membendakan antara data pribadi yang bersifat umum dan data pribadi sensitif. Padahal, data pribadi sensitif memerlukan perlindungan yang lebih tinggi dibandingkan data pribadi umum. Pengelolaan administrasi kependudukan pun tidak luput dari pengaturan mengenai perlindungan privasi dan data pribadi . Setiap Penduduk mempunyai hak untuk memperoleh perlindungan atas privasi dan data pribadi serta ganti rugi dan pemulihan nama baik sebagai akibat kesalahan dalam Pendaftaran Penduduk dan Pencatatan sipil serta penyalahgunaan data pribadi oleh Instansi Pelaksana.
Dengan demikian Instansi Pelaksana melaksanakan urusan Administrasi Kependudukan memiliki kewajiban untuk menjamin kerahasiaan dan keamanan data kependudukan.16 Kewajiban tersebut merupakan konsekuensi dari adanya kewajiban negara untuk, tidak hanya menyimpan, melainkan juga melindungi privasi dan data pribadi penduduk. Data kependudukan merupakan data pribadi yang apabila bocor akan mengancam privasi pemiliknya, karena data kependudukan mencakup namun tidak terbatas pada tanggal/bulan/tahun lahir, keterangan tentang kecacatan fisik dan/atau mental; dan beberapa isi catatan Peristiwa Penting
