Dr. Riki Perdana Raya Waruwu, S.H., M.H,
Hakim Yustisial Biro Hukum dan Humas Mahkamah Agung
Pengantar
Pegiat media sosial Adam Deni didakwa telah melanggar Undang-Undang Informasi dan Transaksi Elektronik (ITE) karena mengunggah data transaksi pembelian sepeda milik anggota DPR Fraksi Partai Nasdem Ahmad Sahroni (Kompas.com). Tulisan ini tidak secara khusus menceritakan bagaimana peristiwa di atas terjadi namun ingin menyandingkan antara hak dan kewajiban dalam memanfaatkan data milik orang lain melalui perangkat elektronik.
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik telah mengingatkan adanya potensi perkembangan persoalan hukum dimasa depan melalui konsideran huruf c yakni “perkembangan dan kemajuan Teknologi Informasi yang demikian pesat telah menyebabkan perubahan kegiatan kehidupan manusia dalam berbagai bidang yang secara langsung telah mempengaruhi lahirnya bentuk-bentuk perbuatan hukum baru”.
Renny N.S. Koloay dalam jurnal hukum berjudul “Perkembangan Hukum Indonesia Berkenaan Dengan Teknologi Informasi dan Komunikasi”, berpendapat kejahatan dalam Teknologi Informasi dan Komunikasi adalah Pencurian uang atau harta benda dengan menggunakan sarana komputer/ siber dengan melawan hukum. Bentuk kejahatan ini dapat dilakukan dengan mudah dalam hitungan detik tanpa diketahui siapapun juga. Penggelapan, pemalsuan, pemberian informasi melalui komputer yang merugikan pihak lain dan menguntungkan diri sendiri.
Salah satu bentuk informasi yang dapat merugikan pihak lain adalah penyebarluasan data pribadi. Definisi data pribadi menurut ketentuan Pasal 1 angka 1 Peraturan Menteri Komunikasi dan Informatika nomor 20 tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. Misalnya nama lengkap, jenis kelamin, kewarganegaraan, agama dan/atau Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Perkembangan dan Pertanggungjawaban Hukum
Kementerian Komunikasi dan Informatika telah mempublikasikan RUU Pelindungan Data Pribadi yang dapat diakses oleh setiap orang. RUU tersebut memiliki ruang lingkup keberlakuannya terhadap setiap orang, badan publik, dan organisasi/institusi yang melakukan perbuatan hukum, baik yang berada di wilayah hukum Negara Kesatuan Republik Indonesia maupun di luar wilayah hukum Negara Kesatuan Republik Indonesia, yang memiliki akibat hukum di wilayah hukum Negara Kesatuan Republik Indonesia dan/atau bagi Pemilik Data Pribadi Warga Negara Indonesia di luar wilayah hukum Negara Kesatuan Republik Indonesia. Hal ini sejalan dengan prinsip yang berlaku pada UU ITE yakni berlaku di dalam maupun di luar wilayah hukum NKRI.
Keberadaan RUU tentu tidak dapat menjadi acuan dalam bingkai penegakan hukum karena masih berupa iusconstituendum. Namun demikian, penegakan hukum pidana maupun upaya hukum perdata telah memiliki pengaturannya yang bersifat umum. Dalam ketentuan Pasal 26 (1) Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas UU 11/2008 tentang ITE mengatur bahwa “Kecuali ditentukan lain oleh peraturan perundangundangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan”.
Kaidah di dalam norma tersebut mensyaratkan persetujuan yang tegas dan jelas dari pemilik data pribadi, artinya persetujuan dilarang memunculkan tafsir lainnya. Misalnya seseorang memberikan persetujuan kepada pihak lainnya untuk memuat riwayat penyakit yang ia diderita pada media sosial penggalangan dana milik pihak lainnya tersebut, maka ketika media sosial tersebut memuat pula foto dan video, hal tersebut berpotensi menjadi persoalan karena tidak termasuk jenis data pribadi yang setujui oleh pemilik data pribadi.
Selanjutnya pada ayat (2) ketentuan di atas, mengatur bahwa “Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ini”. Hak gugat tersebut menegaskan bentuk perbuatan melawan hukum yang diajukan oleh pemilik data pribadi yang dirugikan secara materiil dan immaterial.
Selain gugatan, pemilik data pribadi yang merasa dirugikan dapat mengajukan permohonan kepada pengadilan negeri agar data pribadi dihapus dari mesin pencari. Hal ini sebagaimana diatur dalam ketentuan Pasal 17 Peraturan Pemerintah Republik Indonesia Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik “Penghapusan Informasi Elektronik dan/atau Dokumen Elektronik yang tidak relevan yang dilakukan pengeluaran dari daftar mesin pencari (right to delisting) sebagaimana dimaksud dalam Pasal 15 ayat (2) huruf b dilakukan berdasarkan penetapan pengadilan.
Permohonan penetapan penghapusan Informasi Elektronik dan/ atau Dokumen Elektronik kepada pengadilan negeri setempat dilakukan oleh orang yang bersangkutan sebagai pemilik Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan. Permohonan penetapan penghapusan tersebut memuat: a. identitas pemohon; b. identitas Penyelenggara Sistem Elektronik dan/ atau alamat Sistem Elektronik; c. data Pribadi yang tidak relevan di bawah kendali Penyelenggara Sistem Elektronik; dan d. alasan permintaan penghapusan.
Data pribadi yang tidak relevan di bawah kendali sebagaimana dimaksud huruf c tidak memiliki rujukan penjelasan mengenai kriteria yang khusus sehingga menyebabkan terjadi kekosongan hukum yang dapat dijawab melalui praktik putusan hakim maupun pengaturan tersendiri. Kriteria data pribadi yang tidak relevan dapat ditafsirkan melalui beberapa yakni :
Kriteria pertama, adanya persetujuan oleh Pemilik Data Pribadi. Penyelenggara sistem informasi wajib mendapatkan persetujuan pemilik data pribadi kecuali ditentukan lain oleh undang-undang. Publikasi data pribadi yang dilakukan tanpa persetujuan pemilik data dilakukan atas dasar hak yang diberikan kepada penyelenggara sistem elektronik, misalnya polisi mempublikasikan identitas tersangka pelaku tindak pidana melalui media sosial. Hal tersebut tidak perlu mendapatkan persetujuan pemilik data sedangkan jika penyelenggara sistem elektronik tidak memiliki kewenangan dan juga tidak mendapatkan persetujuan maka tentu dimuatnya data pribadi menjadi tidak relevan.
Kriteria kedua, adanya keadaan yang memperlakukan pemilik data secara diskriminatif. Misalnya, data pribadi yang ditampilkan secara elektronik membeda-bedanya perlakukan terhadap suku tertentu. Kriteria ketiga, adanya perbedaan konteks narasi yang ditampilkan secara elektronik dengan data pribadi. Misalnya data pribadi yang ditampilkan berupa foto namun informasi yang diurai perihal tidak pidana yang tidak berkaitan dengan foto pemilik data. Kriteria keempat, adanya kerugian. Misalnya akibat data pribadi yang ditampilkan berupa alamat tempat tinggal maka banyak pihak yang mendatangi rumah pemilik data pribadi tersebut sehingga berpotensi mengancam keamanan dan keselamatan.
Dalam hal pengadilan mengabulkan permohonan penetapan penghapusan maka penyelenggara Sistem Elektronik wajib melakukan penghapusan Informasi Elektronik dan/ atau Dokumen Elektronik yang tidak relevan. Atas dasar Penetapan tersebut, pemilik data meminta Penyelenggara Sistem Elektronik menghapus Informasi Elektronik dan/atau Dokumen Elektronik. Namun demikian belum diatur lebih lanjut mengenai upaya paksa terhadap penyelenggaran sistem elektronik yang tidak melaksanakan penetapan pengadilan, misalnya dengan pemblokiran alamat sistem elektronik atau pelaksanaan penghapusan dilakukan oleh kementerian terkait yang berwenang.
Adapun terhadap pelaporan pidana dapat mengacu ketentuan Pasal 32 ayat (3) UUITE yakni “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana mestinya. Unsur melakukan transmisi yang menyebabkan dokumen elektronik yang bersifat rahasia terbuka menjadi unsur yang berkaitan dengan data pribadi namun mengenai hal ini tidak dibahas secara terperinci.
Penutup
Penghapusan Informasi Elektronik dan/atau Dokumen Elektronik dilakukan berdasarkan penetapan pengadilan dengan mempertimbangkan relevansi data pribadi dengan informasi yang termuat pada daftar mesin pencari (right to delisting). Namun demikian, rujukan mengenai kriteria relevansi data tidak memiliki aturan teknis sehingga perlu adanya Peraturan Mahkamah Agung yang mengatur mengenai Tata Cara Pemeriksaan dan Memutus Permohonan Penghapusan Informasi Elektronik dan/atau Dokumen Elektronik yang dapat melibatkan kementerian terkait atau mendorong RUU Pelindungan Pelindungan Data Pribadi disahkan dan diundangkan. Selain mengajukan permohonan, pemilik data pribadi yang dirugikan dapat mengajukan gugatan perdata dan melaporkan secara pidana sesuai dengan ketentuan peraturan perundang-undangan.