Magna Culpa Dolus Est, GREAT FAULT (or GROSS NEGLIGENCE) is Equivalent to FRAUD.
Kegagalan Fatal Pengaturan UU PDP dalam Melindungi Data-Data Pribadi dan Sensitif Penduduknya
Mengapa begitu banyak kejadian data-data pribadi penduduk bocor secara masif, pada berbagai lembaga negara / pemerintahan maupun lembaga-lembaga sipil-swasta di Indonesia, namun seakan tidak ada yang bisa dipersalahkan, dimintakan pertanggung-jawaban, ataupun dijatuhi “punishment” oleh hukum? Karena aturan dalam norma hukumnya itu sendiri bermasalah, itulah jawaban terjujur yang dapat kita jumpai. Dibocorkan, dibiarkan bocor, ataukah menutup mata dari potensi kebocoran? Perhatikan ketentuan pidana dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP):
UNDANG-UNDANG REPUBLIK INDONESIA
NOMOR 27 TAHUN 2022
TENTANG
PELINDUNGAN DATA PRIBADI
BAB XIV
KETENTUAN PIDANA
Pasal 67
(1) Setiap Orang yang dengan
sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan
miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain
yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam
Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun
dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
(2) Setiap Orang yang dengan
sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana
dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4
(empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat
miliar rupiah).
(3) Setiap Orang yang dengan
sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana
dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5
(lima) tahun dan/atau pidana denda paling banyak Rp5.00O.OOO.000,00 (lima
miliar rupiah).
Pasal 68
Setiap Orang yang dengan sengaja membuat Data Pribadi palsu atau memalsukan Data
Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain
yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam
Pasal 66 dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau
pidana denda paling banyak Rp6.000.000.000.
Pertanyaannya, bagaimana dengan
“kelalaian” (culpa) yang mengakibatkan bocornya data-data pribadi warga atau
data-data sensitif milik penduduk? Telah ternyata, UU PDP tidak mengatur
ancaman sanksi bagi perbuatan-perbuatan demikian yang sifatnya “akibat
kelalaian”, namun semata hanya mengatur “akibat kesengajaan” (dolus). Karenanya,
dengan berlindung dibalik alibi “tidak terjadi secara disengaja” (alias “sekadar”
ceroboh / gegabah), maka tiada satupun korporasi atau subjek hukum yang memegang
rekap data-data pribadi warga akan tetapi kemudian bocor dan tersebar-luas, dapat
dimintakan pertanggung-jawaban secara pidana.
Singkatnya, tanpa adanya unsur “kesengajaan”,
maka suatu kejadian tersebar-luasnya data-data pribadi dan sensitif milik
warga, tidak dapat dipidana. Bahkan, UU PDP membuat restriksi yang lebih
melimitasi dapat atau tidaknya suatu subjek hukum dimintakan
pertanggung-jawaban pidana, yakni “kesengajaan” dalam derajat “dengan maksud
untuk”, yang karenanya sekalipun terbukti adanya unsur “sengaja dengan
kepastian” maupun “sengaja dengan kemungkinan” tetap tidak dapat dipidana.
“Moral hazard” dibalik “pesan
eksplisit” dibalik UU PDP, karenanya, dapat dimaknai sebagai : Baik, “yang
lalai” ataupun “yang sengaja lalai” untuk memperkuat sistem elektroniknya,
tidak dipidana. Sekalipun, fakta realitanya selama ini, banyak kebocoran data
pribadi terjadi dengan mengatas-namakan alibi “ada serangan hacker”—alias
mengkambing-hitamkan “hacker”, dimana tidak tertutup kemungkinan tersebar-luasnya
data-data pribadi warga terjadi sama sekali bukan karena penetrasi maupun
pencurian data oleh hacker, akan tetapi murni kurang telaten dan kurang
hati-hatinya pihak pengelola sistem elektronik lembaga bersangkutan (faktor
minimnya perhatian terhadap sistem internal audit dan evaluasi, ataupun alokasi
sumber daya pembiayaan maupun personel).
Bila pihak-pihak yang memegang
dan mengelola atau mengendalikan data-data pribadi warga, secara tegas diwajibkan
oleh perundang-undangan untuk secara “prudent” (asas kehati-hatian)
menjaga serta mengamankan data-data pribadi pihak-pihak lainnya, maka
seharusnya aturan hukum terkait perlindungan data pribadi tidak sekadar
mengatur ancaman pidana yang limitatif karena “dengan sengaja membuat bocor
data-data milik warga”. Keharusan untuk menjaga data-data pribadi milik pihak-pihak
lainnya, melahirkan kewajiban untuk menjaganya dengan baik (asas “duty of
care”) yang dipikul atau menjadi beban sang penyimpan, pengendali, atau
pengelola data pribadi.
Sementara itu frasa “dengan
maksud untuk”, lebih identik atau hanya relevan dengan konstruksi peristiwa “penyalah-gunaan
wewenang” maupun “penyalah-gunaan hak” (abuse of right). Bagaimana mungkin,
UU PDP menjadikan abai atau lalainya pihak pengelola / penyimpan / pengendali data-data
pribadi pihak lain, hanya diancam dengan sanksi administrasi semata, sekalipun
sifatnya bisa secara masif berdampak sistemik membuka potensi kerugian warga
luas dengan berbagai modus scammer atau kejahatan lainnya semisal “cyber
crime” yang menyasar nasabah yang data-data sensitif simpanan dan rekeningnya
telah para penjahat tersebut kantungi, dimana satu orang nasabah bisa mengalami
kehilangan dana ratusan atau bahkan miliaran rupiah oleh penjahat-penjahat yang
menyalah-gunakan data-data pribadi perbankan yang bocor, maka berapakah
totalnya jika kerugian seluruh korban diakumulasikan?
Semestinya pembentuk undang-undang
dapat memetakan “social impact assesstment” alias “analisis mengenai
dampak sosial” (AMDAS), apa dampak terburuk dan sejauh apakah potensi kerugian
warga dibalik bocornya data-data pribadi mereka oleh pihak pengelola /
pengendali / penyimpan data-data pribadi milik orang lain yang tidak atau
kurang hati-hati. Kebocoran data pribadi yang hanya diancam dan diganjar dengan
saksi administrasi belaka, sementara itu korban-korbannya ialah para warga
pemilik data pribadi, dengan potensi mengalami kerugian berupa kehilangan miliaran
rupiah dana di perbankan, apakah proporsional antara dampak / akibat perbuatan
dan ancaman sanksi hukumnya?
Tengok kasus PT. Indobara Bahana
bersama PT. JOBSTREET Indonesia yang entah karena kelalaian atau karena
disengaja, membocorkan atau membiarkan bocor ribuan atau bahkan jutaan data pribadi
para pelamar kerjanya ke dunia maya, sehingga data-data sensitif seperti NIK,
alamat, foto wajah berisi biometrik, tanggal lahir, data privasi, dan lain
sebagainya, tersebar luas ke dunia maya yang dapat diakses oleh seluruh penjuru
dunia. Itu merukan bukti konkret, bahwa kebocoran data pribadi bukan hanya terjadi
akibat faktor penetrasi “hacker”, namun kurangnya keseriusan menjaga data-data
pribadi milik pihak lain, tidak profesional dalam mengelola sistem elektronik,
minimnya perhatian, miskinnya penghormatan dan penghargaan, serta tiadanya penanganan
khusus dalam memperlakukan data-data pribadi yang mereka simpan dan kelola dalam
sistem elektroniknya.
Semestinya, mengingat AMDAS
dibalik kebocoran data pribadi bisa begitu masif dan merugikan, prinsip
perlindungan data pribadi bersifat “strict liability” (tidak mensyaratkan
terpenuhinya unsur “kesalahan pidana” untuk dapat dipidana), sehingga baik disengaja
atau karena kelalaian untuk memperkuat keamanan dan kehandalan sistemnya
elektroniknya, tetap dipidana. Kelalaian berat sama artinya dengan
kesengajaan, demikian sudut pandang dibalik prinsip “strict liability”.
Magna Culpa Dolus Est, Great Fault (or Gross Negligence) is Equivalent to Fraud.
Diwajibkan oleh aturan yang mewajibkan
untuk memasang pertahanan kokoh dalam sistem elektroniknya serta melakukan
audit berkala “ada atau tidaknya celah kebocoran data” alias prinsip “NO
EXCUSE”, maka harapannya ialah meningkatkan keseriusan, kewaspadaan, kepekaan,
rasa tanggung-jawab, rasa “turut memiliki” (biasanya suatu pihak lebih
menghargai apa yang mereka anggap sebagai “miliknya” dan karenanya akan dijaga
dengan betul-betul serta hati-hati), serta kemendesakan meningkatkan sumber
daya dibalik sistem elektroniknya. Dengan demikian, “dengan sengaja hanya menaruh
sumber daya (personel maupun infrastruktur) yang minimal dalam urusan menjaga
keamanan data-data pribadi warga”, pun dapat dikategorikan sebagai “dengan
sengaja membocorkan data-data pribadi warga”—itulah yang lebih tepatnya disebut
sebagai prinsip “duty of care”, alias tidak ada alasan lain selain wajib
betul-betul melakukan penjagaan secara penuh tanggung-jawab dan dapat dimintakan
pertanggung-jawaban.
Mungkin contoh sederhana lewat
analogi, dapat cukup memberi ilustrasi. Ada sebuah produsen barang elektronik
dengan merek nasional yang memiliki gerai pada berbagai cabang, menjual produknya
secara masif dan meluas ke berbagai daerah di Indonesia. Akan tetapi, meski
produknya tersebar luas ke berbagai penjuru kota dan daerah, telah ternyata
pusat “service centre”-nya hanya memiliki “hitungan jari” pegawai teknisi.
Alhasil, produk yang bermasalah dan sudah dibeli oleh konsumen, ketika dibawa
ke “pusat service” resmi yang dikelola oleh sang produsen, tidak ada kejelasan
tindak-lanjutnya setelah sekian lama menunggu dan mengharap dapat lekas
diperbaiki dan menjadi berfungsi kembali, justru merugi dua kali, yakni waktu,
tenaga, ongkos, dan emosi. Dengan kata lain, antara kapasitas produksi, skala
penjualan, dan pelayanan purna-jualnya sama sekali tidak setara dan tidak
proporsional.
Contoh lain, bisa para pembaca
bayangkan, bila sebuah lembaga sekaliber lembaga keuangan perbankan yang menghimpun
dan mengelola dana masyarakat, hanya terdiri dari segelintir ahli IT dibalik
sistem elektroniknya. Bila terjadi kebocoran data nasabah, maka itulah yang
disebut sebagai “sengaja sebagai kepastian”, pasti kebobolan oleh “hacker”.
Sekali lagi, hanya “sengaja sebagai maksud” yang tampaknya dapat dipidana bila
kita merujuk pengaturan pidana dalam UU PDP. Sebaliknya, perbankan dimaksud
merekrut ribuan tenaga IT, namun tidak ada satupun diantara mereka yang benar-benar
berkompetensi dan berpengalaman, namun “fresh graduate” bergaji standar
upah minimum, itulah “sengaja sebagai kemungkinan”, kemungkinan besarnya
juga bobol sistem elektroniknya.
Bila menjaga data-data pribadi
milik pihak lain merupakan sebentuk “duty of care” sehingga sifatnya
diwajibkan, maka tidak ada lagi relevansinya dengan apakah terjadinya kebocoran
data-data pribadi adalah akibat “dengan maksud” ataukah akibat “kelalaian”. Pertanyaan
terbesar yang dapat kita ajukan untuk memahami kelemahan fatal UU PDP ialah,
bila “kelalaian” tidak diancam sanksi pidana, maka apakah artinya tidak ada
keharusan atau sebentuk kewajiban minimum bagi setiap pihak untuk menjaga data-data
pribadi yang mereka simpan, kelola, maupun kendalikan? Arti atau
makna frasa hukum “wajib” atau “diwajibkan”, ialah suka atau tidak suka harus patuh
dan tunduk dalam memastikan, maka baik derajat “sengaja” ataupun “lalai”
melanggar kewajiban tersebut pun tetap merupakan “kesalahan” itu sendiri—dalam hal ini ialah “kesalahan
pidana” yang dapat dimintakan pertanggung-jawaban secara pidana.
© Hak Cipta HERY SHIETRA.
Budayakan hidup
JUJUR dengan menghargai Jirih Payah,
Hak Cipta, Hak Moril, dan Hak Ekonomi
Hery Shietra selaku Penulis.
