Mawas Diri Berbagi Data Pribadi

Pemerintah resmi menyerahkan draf rancangan Undang Undang Perlindungan Data Pribadi (PDP) kepada DPR RI. RUU ini akan segera dibahas setelah selesai pembahasan RUU Omnibus Law.

Berdasarkan draf per Desember 2019, RUU PDP memuat 72 pasal dan 15 bab mengatur tentang definisi data pribadi, jenis, hak kepemilikan, pemrosesan, pengecualian, pengendali dan prosesor, pengiriman, lembaga berwenang yang mengatur data pribadi, dan penyelesaian sengketa. Selain itu, mengatur kerja sama internasional hingga sanksi yang dikenakan atas penyalahgunaan data pribadi.

Sembari menunggu beleid disahkan, yang kewenangannya ada di DPR, perlu tahu lebih dalam bagaimana menerjemahkannya dalam keseharian. Apa dampak sebelum dan sesudahnya buat masyarakat awam?

Memahami tipe data menurut draf RUU PDP

Draf RUU PDP mendefinisikan data pribadi adalah setiap data tentang seseorang, baik yang teridentifikasi dan dapat diidentifikasi tersendiri atau dikombinasikan dengan informasi lainnya, secara langsung maupun tidak langsung sistem elektronik dan non elektronik.

Jenis data pribadi terbagi dua, yakni data yang bersifat umum dan spesifik. Masuk kategori umum apabila diakses melalui pelayanan publik atau tercantum dalam identitas resmi. Misalnya, nama lengkap, jenis kelamin, kewarganegaraan, agama, dan data pribadi yang harus dikombinasikan sehingga memungkinkan untuk mengidentifikasi seseorang.

Sementara itu, data spesifik adalah data yang bersifat sensitif terhadap keamanan dan kenyamanan kehidupan pemilik data pribadi, yaitu data dan informasi kesehatan, data biometrik, data genetika, orientasi seksual, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai ketentuan perundang-undangan. Untuk mendapatkan data-data tersebut perlu persetujuan dari pemiliknya.

Yang perlu diapresiasi dan perlu diperbaiki

Menurut Direktur Eksekutif SAFEnet Damar Juniarto, RUU PDP mengacu dalam salah satu dasarnya UUD 1945 pasal 28 ayat G yang memuat dasar filosofis dari muara perlindungan data pribadi, yaitu terjaminnya perlindungan diri warga negara.

Oleh karenanya, ada tiga hal yang harus ada dalam RUU PDP. Hak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda; hak atas rasa aman; dan hak atas perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu.

Penilaian yang ia berikan buat isi RUU PDP ini adalah langkah progresif dalam menjamin kepastian atas perlindungan diri warga negara. “SAFEnet menyambut baik kehadiran RUU PDP yang akan segera dibahas di Komisi I DPR RI,” ujar Damar dalam keterangan tertulis.

RUU ini, sambungnya, berhasil merumuskan konsep penegakan kedaulatan data; menguraikan daftar lebih panjang dari rancangan April 2019 dalam data pribadi bersifat spesifik; memberikan pengakuan atas hak-hak dasar penting dalam prinsip hak atas privasi seperti perlunya persetujuan warga dalam pengambilan data, hak mengoreksi, dan hak menarik data; mempertegas berapa lama waktu yang harus dilakukan ketika warga menarik datanya; dan memberi sanksi atas pelanggaran.

Di sisi lain, bagian yang perlu diperbaiki, yakni meredupnya isu penting yang selama ini menjadi kecemasan publik, seperti soal profiling, penyadapan illegal oleh lembaga negara dan korporasi, dugaan jual beli data pribadi oleh Lembaga negara, dan diskrimasi sanksi terhadap perseorangan dan korporasi yang melakukan pelanggaran.

“Profiling hanya bisa dihentikan bila ada warga yang mengajukan keberatan seperti termuat dalam pasal 10. Terus terang dalam pandangan SAFEnet ini tidak cukup. Profiling harus termasuk dalam data pribadi bersifat spesifik karena itu perlindungan penting dari upaya pengancaman diri seseorang dan perlindungan hak untuk berbuat atau tidak berbuat sesuatu.”

Penyadapan illegal, maksudnya adalah upaya menarik data pribadi dengan menanam spyware di perangkat smartphone, mengumpulkan data lewat cloud yang tidak diketahui keberadaannya, atau penerapan AI dalam bentuk teknologi facial recognition.

Diskriminasi sanksi hukum yang berbeda, mengancam timbulnya rasa keadilan yang diharapkan oleh masyarakat atas hak privasi. UU ITE yang telah disahkan sejak lebih dari 10 tahun lalu, punya persoalan terkait jumlah warga yang dipidana dan proses pidana saat penegakan hukum dan peradilan yang tidak adil.

“Refleksi atas pelaksanaan hukum digital perlu menjadi pertimbangan dalam menentukan sanksi hukum yang tepat bagi mereka yang melakukan pelanggaran data pribadi.”

Dia memandang, secara umum RUU PDP menyempitkan hak privasi menjadi sebatas perlindungan data pribadi saja. Sehingga apa yang seharusnya bisa menjadi ruang lingkup UU ini mengecil pada persoalan data pribadi. Padahal di zaman sekarang, data erat kaitannya dengan hidup manusia pemiliknya dan bila disalahgunakan akan membahayakan hidup orang tersebut karena rentan mengalami kejahatan.

“Ada hak atas rasa aman yang melekat padanya [RUU PDP]. Oleh karenanya, terasa kental dalam RUU PDP bagaimana pemaknaan data pribadi dianggap hanya sekadar komoditas. Padahal data pribadi bukanlah sekadar komoditas, melainkan menyangkut martabat manusia yang virtual tersebut, yang harus dilindungi dalam RUU PDP ini adalah manusianya, bukan sekadar datanya.”

Apabila disahkan..

Apabila beleid ini disahkan, ada kemampuan terbesar yang bisa Anda lakukan terhadap perusahaan yang mengumpulkan data Anda dan kewajiban buat mereka jika Anda meminta untuk menghapusnya. Di balik itu, hak terbesar --atau mungkin paling diperebutkan-- yakni kemampuan untuk menghentikan perusahaan untuk menjual data Anda ke pihak lain, seperti pengiklan.

Menjual data adalah hal yang paling menjengkelkan bagi konsumen. Kondisi ini tidak berlaku ketika Anda secara sadar memasukkan foto di akun Facebook, atau memasukkan alamat rumah di aplikasi e-commerce. Beda halnya, jika mereka menguangkannya, sehingga perusahaan lain yang belum pernah Anda kunjungi membuat profil tanpa sepengetahuan atau persetujuan Anda.

Kata "menjual" secara harfiah bukan berarti harus melulu dalam bentuk uang. Jika perusahaan mendapatkan sesuatu atau manfaat lain dari data Anda untuk orang lain. Ini bisa dikategorikan sebagai penjualan. Pengecualian hanya berlaku ketika perusahaan mengirim data ke "penyedia layanan" jika situs e-commerce membagikan nomor kartu kredit Anda dan memroses pembayaran untuk menyelesaikan penjualan.

Isu menjual data begitu sensitif di mata para perusahaan teknologi, apalagi titan seperti Google dan Facebook, terutama saat skandal Cambridge Analytica menghantam Facebook. Data is the new oil.

RUU PDP juga berlaku untuk gedung perkantoran yang kerap meminta data pengunjung dan memfoto wajah. Beleid ini mengakomodasi pengambil data untuk mendeklarasi apa tujuan mereka mengambil data dan menjamin untuk melindunginya. Sebab sering ada kekhawatiran data bisa bocor di mana saja dan kapan saja.

Kepedulian perusahaan global terhadap keamanan data

Laporan yang dibuat Ranking Digital Rights pada tahun lalu bertajuk The 2019 Ranking Digital Rights Corporate Accountability Index, menjadi dasar pengantar untuk membekali kita semua, seberapa peduli perusahaan teknologi global terhadap keamanan data para penggunanya.

Dari sekian perusahaan yang disurvei, ada beberapa hadir di Indonesia, sehingga lebih kurang laporan ini punya korelasi. Disebutkan dari 24 perusahaan teknologi dan telekomunikasi global tersohor, Microsoft menempati posisi pertama, disusul Google dan Verizon Media. Lalu, dari perusahaan telekomunikasi adalah Telefonica, Vodafone, dan AT&T.

Dari 35 indikator untuk 24 perusahaan yang dievaluasi, memeriksa soal komitmen, kebijakan, dan praktik yang memengaruhi kebebasan berekspresi dan privasi, termasuk tata kelola perusahaan dan mekanisme akuntabilitas. Skor indeks ini mewakili sejauh mana perusahaan memenuhi standar minimum. Ada beberapa perusahaan yang mendapat skor di atas 50 (dari skala 100).

Secara keseluruhan ada beberapa kemajuan, meski tetap menyisakan masalah sejak Indeks ini dirilis pada 2015. Adalah semua orang masih kekurangan informasi dasar tentang siapa yang mengendalikan kemampuan mereka untuk terhubung, berbicara online, atau mengakses informasi, atau yang memiliki kemampuan untuk mengakses informasi pribadi mereka dalam keadaan apa.

Tindakan dari pemerintah di sejumlah negara cukup responsif dengan menerbitkan berbagai regulasi pendukung. Langkah sebaliknya dari perusahaan untuk mengambil langkah tegas belum tersampaikan dengan baik dalam menghormati hak-hak pengguna. Alhasil sebagian besar perusahaan masih gagal mengungkapkan aspek-aspek penting bagaimana mereka menangani dan mengamankan data pribadi.

“Meskipun ada peraturan baru di Uni Eropa dan negara lainnya, sebagian besar pengguna internet di dunia masih kekurangan fakta dasar tentang siapa yang dapat mengakses informasi pribadi mereka dalam keadaan apa, dan bagaimana mengontrol pengumpulan dan penggunaannya. Beberapa perusahaan ditemukan mengungkapkan lebih dari yang dipersyaratkan oleh hokum,” tulis laporan RDR Index 2019.

Data apa saja yang dikumpulkan dan cara menghentikan

Facebook dan perusahaan teknologi lainnya pada dasarnya berupaya untuk membuat bank data, dengan mengambil informasi sebanyak-banyaknya pengguna untuk bisa melihat profil seseorang. Tujuannya tak lain, mencari inspirasi produk apa yang sedang dan bakal dibutuhkan konsumen, agar saat diluncurkan nanti tepat sasaran.

Bagi aplikasi fintech pun kurang lebih mirip. Kenapa mereka bisa mencairkan dana dengan cepat? karena ada data digital yang aksesnya dibuka oleh pengguna untuk dianalisis oleh mesin pintar. Sebelum OJK turun tangan, mereka bisa mengakses berbagai data seperti galeri foto, daftar kontak, SMS, kalender, kamera, mikrofon, dan lainnya yang sebenarnya kurang relevan dengan fungsi aplikasi itu sendiri.

Setelah mengunduh, biasanya akan muncul pop up notifikasi berbagai permintaan akses yang tanpa diketahui atau dijelaskan mengapa mereka meminta akses tersebut. Celakanya, jika ada salah satu permintaan akses tersebut sengaja ditolak –berlaku untuk mayoritas aplikasi--muncul kecacatan fitur yang menganggu pengalaman pengguna. Akhirnya memaksa pengguna untuk memberikan semua akses yang diminta.

Karena muncul pemain fintech illegal dan korban yang berjatuhan, akhirnya pemberian akses data smartphone pengguna kini dibatasi hanya kamera, lokasi, dan mikrofon. Ketiganya adalah akses yang diperbolehkan oleh regulator buat para buat pemain fintech yang legal.

Cara mengetahui data apa saja yang diminta oleh aplikasi sebenarnya cukup mudah dan bisa dicek sendiri. Di Google Play, di dalam bagian “About this app” coba cek di bagian terbawah ada informasi detail terkait aplikasi tersebut. Akan ada tulisan “App permissions,” lalu pilih “See more.” Di sana akan terpapar jelas akses informasi apa saja yang diminta oleh aplikasi.

Umumnya juga, perusahaan mencantumkan dalam situsnya di bagian paling bawah mengenai kebijakan privasi. Berisi data-data apa saja yang mereka ambil dari pengguna, lalu menjelaskan tujuan penggunaan, dan komitmennya menjaga privasi pengguna dari pihak ketiga.

Sialnya karena diletakkan paling bawah, tidak menjadi sorotan pengguna. Susunannya yang panjang dengan ukuran yang kecil, menambah alasan buat pengguna untuk semakin tidak tertarik untuk membaca sampai selesai. Padahal informasi yang disampaikan begitu penting isinya.

Gojek

Di bagian Kebijakan Privasi mereka menjelaskan rincian data-data yang dikumpulkan langsung dari pengguna atau perangkat selulernya, setiap kali menggunakan aplikasi atau mengunjungi situs web, dan informasi yang dikumpulkan dari pihak ketiga.

Seluruh detail informasi data dicantumkan dalam situs Gojek. Beberapa di antaranya nama, alamat, tanggal lahir, pekerjaan, nomor telepon, faks, e-mail, rekening bank, detail kartu kredit, jenis kelamin, nomor identifikasi resmi, informasi biometrik.

Dalam salah satu klausulnya, Gojek membuka kesempatan untuk menarik data dengan pemberitahuan wajar secara tertulis. Konsekuensi yang diterima pengguna adalah akun dihentikan dan tidak bisa menggunakan aplikasi atau layanan untuk masa depan.

Tokopedia

Tokopedia juga tidak jauh berbeda. Mereka mengumpulkan data-data yang diserahkan secara mandiri oleh pengguna, tidak terbatas data saat mengisi survei atas nama perusahaan, melakukan interaksi dengan pengguna lainnya dengan fitur pesan, diskusi produk, ulasan, rating, data transaksi yang detail. Berlanjut, data lokasi riil seperti alamat IP, lokasi Wi-Fi, geo location, data cookies, pixel tags, data perangkat yang digunakan untuk mengakses situs, dan data lainnya yang diperoleh dari sumber lain.

Saat ditelusuri lebih jauh, pengguna tidak diberi kebebasan untuk untuk menghapus data. Tokopedia akan menyimpan informasi selama akun pengguna tetap aktif dan dapat melakukan penghapusan sesuai dengan ketentuan peraturan hukum yang berlaku.

Bukalapak

Sementara itu, Bukalapak membuka pengajuan penghapusan data dengan melampirkan bukti diri yang sah dan alasan permintaan penghapusan. Bukalapak akan mengabulkan permintaan tersebut jika memenuhi ketentuan yang diminta perusahaan.

Mencontoh dari tiga aplikasi ini saja bisa memberi gambaran jelas bahwa keberadaan RUU PDP ini begitu penting untuk mengembalikan pengguna kontrol penuh terhadap data mereka. Memang, perusahaan punya kewajiban untuk melindungi pengguna apabila ada potensi penipuan, tapi bukankah pemilik data punya kontrol lebih untuk itu?.

Berkaca pada perusahaan teknologi global, beberapa dari mereka menyediakan fitur yang berfungsi untuk menutup akses data dimanfaatkan oleh pihak ketiga. Facebook dan Google sudah merilisnya, meskipun masih disangsikan intensinya, tapi kini pengguna diberi kontrol untuk membatasi akses data mereka.

Google (termasuk YouTube)

Revenue utama Google adalah iklan. Pendapatan iklan dari YouTube pada tahun lalu mencapai $15 miliar, lebih dari pendapatan iklan gabungan dari tiga stasiun TV swasta di A.S, yakni ABC, NBC, dan Fox. Google mengklaim mengoperasikan jaringan iklannya secara internal. Namun, jika Anda ingin menghentikan Google berbagi data dengan divisinya sendiri, ada tool yang siapkan. Opsi ini disebut “Ad personalization.” Cukup geser slide agar personalisasi tersebut dimatikan.

Facebook

Entah perusahaan ini benar atau tidak menjual data pengguna, platform media sosial ini memberi akses kepada pihak ketiga untuk mengakses sejumlah informasi pengguna. Misalnya, tanggal lahir dan alamat email. Spotify memungkinkan Anda untuk mendaftar sebagai penggunanya, jika mendaftar melalui Facebook.

Untuk menutup akses tersebut, Anda cukup masuk ke laman Facebook. Lalu masuk ke Settings > Apps and Websites. Di dalam situ, Anda akan melihat pihak ketiga mana saja yang bisa mengakses data Facebook, cukup klik mana saja yang akan diputus.

Twitter

Twitter menyediakan opsi buat semua pengguna yang ingin keluar dari iklan yang sudah dipersonalisasi berdasarkan kebiasaan. Caranya dengan masuk ke laman Settings and privacy > Privacy and safety > Personalization and data dan slide tombolnya kekiri untuk mematikannya.

Spotify

Aplikasi streaming musik ini mengaku tidak begitu yakin apakah cara berbagi data yang mereka lakukan apakah dihitung sebagai penjualan, jika mengacu pada regulasi di California. Akan tetapi, mereka menyediakan tool untuk pengguna yang ingin menghentikan Spotify dari pengiklan dengan mematikan toggle “Tailored ads” di dalam laman pengaturan Privasi. Tool ini memungkinkan Spotify untuk menggunakan data apapun dari akun Facebook Anda untuk menargetkan iklan kepada Anda.