Tinjauan Hukum

·         UNDANG-UNDANG

Dalam jawaban ini, penulis tidak membahas lingkup, latar belakang, dan tujuan pengaturan informasi atau data pribadi secara komprehensif berdasarkan semua ketentuan peraturan perundang-undangan. Penulis hanya akan membahas mengenai data pribadi yang berkaitan langsung dengan data elektronik. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE”) kami jadikan referensi utama untuk menjawab pertanyaan seputar perlindungan informasi/data pribadi di internet.

1.       Perlindungan Data Pribadi Pengguna Internet

UU ITE memang belum memuat aturan perlindungan data pribadi secara khusus. Tetapi, secara implisit UU ini mengatur pemahaman baru mengenai perlindungan terhadap keberadaan suatu data atau informasi elektronik baik yang bersifat umum maupun pribadi.

Sedangkan, hal yang berkaitan dengan penjabaran tentang data elektronik pribadi, UU ITE mengamanatkannya lagi dalam Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP PSTE”).  

Perlindungan data pribadi dalam sebuah sistem elektronik dalam UU ITE meliputi perlindungan dari penggunaan tanpa izin, perlindungan oleh penyelenggara sistem elektronik, dan perlindungan dari akses dan interferensi ilegal. 

Terkait perlindungan data pribadi dari penggunaan tanpa izin, Pasal 26 UU ITE mensyaratkan bahwa penggunaan setiap data pribadi dalam sebuah media elektronik harus mendapat persetujuan pemilik data bersangkutan. Setiap orang yang melanggar ketentuan ini dapat digugat atas kerugian yang ditimbulkan.

Bunyi Pasal 26 UU ITE adalah sebagai berikut:

1.           Penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan

2.        Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ini 

Dalam penjelasannya, Pasal 26 UU ITE menyatakan bahwa data pribadi merupakan salah satu bagian dari hak pribadi seseorang. Sedangkan, definisi data pribadi dapat dilihat dalam Pasal 1 PP PSTE yaitu data perorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaan.Cracking sebagaimana pertanyaan Anda dimaknai sebagai peretasan dengan cara merusak sebuah sistem elektronik. Akibat cracking terkait pertanyaan Anda selain merusak, dapat juga berupa hilang, berubah, atau dibajaknya data pribadi maupun account pribadi seseorang untuk kemudian digunakan tanpa persetujuan pemilik data pribadi.

Persetujuan sebagaimana dimaksud dalam UU ITE menurut kami tidak hanya tentang pernyataan “yes” atau “no” dalam perintah (command) “single click” maupun “double click”, melainkan harus juga didasari atas kesadaran seseorang dalam memberikan persetujuan terhadap penggunaan atau pemanfaatan data pribadi sesuai dengan tujuan atau kepentingan yang disampaikan pada saat perolehan data. Dengan demikian, penggunaan data pribadi oleh crakcer sebagaimana pertanyaan Anda dalam konteks perdata merupakan bentuk pelanggaran Pasal 26 ayat (1) UU ITE. 

Definisi data pribadi sebagaimana pasal 26 UU ITE menurut kami belum cukup menjelaskan apa saja yang termasuk data perorangan. Oleh sebab itu, masih diperlukan referensi yang dimaksud data pribadi dalam peraturan perundangan lain. Sebagai contoh, Pasal 84 UU Adminduk menjelaskan data pribadi penduduk yang harus dilindungi meliputi:

a.nomor KK (Kartu Keluarga);

b.NIK (Nomor Induk Kependudukan);

c. tanggal/bulan/tahun lahir;

d. keterangan tentang kecacatan fisik dan/atau mental;

e. NIK ibu kandung;

f.  NIK ayah; dan

g. beberapa isi catatan Peristiwa Penting. 

Terkait pertanyaan Anda, maka dapat kami simpulkan bahwa setiap informasi pribadi yang berisi nomor KK, NIK (nomor KTP), tanggal/bulan/tahun lahir, keterangan tentang kecacatan fisik dan/atau mental, NIK ibu kandung, NIK ayah, dan beberapa isi catatan Peristiwa Penting yang ada dalam internet sebagaimana pasal 84 UU Adminduk merupakan bagian dari sebuah data pribadi yang wajib dilindungi.

Lalu, bagaimana jika data pribadi Anda hilang, dimanipulasi secara illegal, bocor, atau gagal dilindungi oleh Penyelenggara Sistem Elektronik (“PSE”)?Terkait perlindungan data pribadi oleh PSE, Pasal 15 ayat (2) PP PSTE mengatur bahwa dalam hal penyelenggara sistem elektronik mengalami kegagalan dalam menjaga data pribadi yang dikelola, maka PSE diwajibkan untuk menyampaikan pemberitahuan tertulis kepada pemilik data pribadi.

Bunyi Pasal 15 ayat (2) PP PSTE:

“Jika terjadi kegagalan dalam perlindungan data pribadi yang dikelola, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada Pemilik Data Pribadi”  

Pasal ini tidak menjelaskan batasan kegagalan yang dimaksud. Secara umum, kegagalan ini dapat dikategorikan menjadi 2 (dua), Pertama, kegagalan prosedural kerahasiaan dan keamanan dalam pengolahan data. Kedua, kegagalan sistem dari aspek keandalan dan aspek keamanan terhadap Sistem yang dipakai, dan aspek beroperasinya Sistem Elektronik sebagaimana mestinya (lihat Penjelasan Pasal 15 ayat [1] UU ITE).  

Terjadinya kegagalan sistem bisa disebabkan oleh faktor internal dan faktor eksternal. Salah satu faktor eksternal yang sering terjadi adalah adanya cybercrime. Dilihat dari jenis aktivitasnya, cybercrime dapat berupa hacking, cracking, phising, identity theft, dll. Dampak kerugian yang timbul antara lain kebocoran data pribadi, manipulasi data, pelanggaran privasi, kerusakan sistem, dsb.

2.       Perlindungan Data Pribadi dari Akses dan Interferensi Ilegal

Bilamana terjadi cracking yang dapat berakibat hilang, berubah atau bocornya data yang berifat rahasia maupun data pribadi, UU ITE memberikan perlindungan hukum terhadap keamanan data elektronik tersebut dari pengaksesan ilegal. Setiap perbuatan melawan hukum dengan mengakses sistem elektronik yang bertujuan untuk memperoleh Informasi/Dokumen Elektronik dengan cara melanggar sistem pengamanan dianggap sebagai tindak pidana sesuai Pasal 46 jo Pasal 30 UU ITE. Perbuatan ini diancam dengan sanksi pidana penjara paling lama 6 sampai 8 tahun dan/atau denda paling banyak Rp600.000.000,00 sampai Rp800.000.000,00.

Pasal 30 UU ITE selengkapnya berbunyi:

1.        Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.

2.        Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik

3.        Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.

Sedangkan Pasal 46UU ITEberbunyi:

1.        Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp600.000.000,00 (enam ratus juta rupiah).

2.       Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp700.000.000,00 (tujuh ratus juta rupiah).

3.       Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp800.000.000,00 (delapan ratus juta rupiah).

Terkait perlindungan data pribadi dalam bentuk Dokumen Elektronik atau Informasi Elektronik, Pasal 32 UU ITE mengatur tentang larangan bagi setiap Orang untuk melakukan interferensi (mengubah, menambah, mengurangi,melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan) terhadap bentuk Dokumen Elektronik atau Informasi Elektronik tanpa hak dan dengan cara melawan hukum. Ancaman hukuman atas perbuatan tersebut diatur dalam Pasal 48 UU ITE. 

Pasal 32 UU ITE selengkapnya berbunyi:

1.       Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik.

2.        Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak.

3.       Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana mestinya 

Sedangkan Pasal 48 UU ITE berbunyi:

1.        Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah).

2.        Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (2) dipidana dengan pidana penjara paling lama 9 (sembilan) tahun dan/atau denda paling banyak Rp3.000.000.000,00 (tiga miliar rupiah).

3.       Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (3) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah) 

Dasar Hukum:

1. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik

2. Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan

3. Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik