Bagaimana Hukum Penyalahgunaan Data Pribadi Elektronik?

Jika mengacu pada UU 23/2006 jo. UU 24/2013 tentang administrasi kependudukan (selanjutnya disebut UU AK). Pasal 84 ayat (1) UU AK mengatur bahwa Data pribadi penduduk yang harus dilindungi ialah 1. Nomor Kartu Keluarga (KK); 2. Nomor Induk Kependudukan (NIK); 3. Tanggal/bulan/tahun lahir; 4. Keterangan tentang kecacatan fisik dan/atau mental; 5. NIK ibu kandung; 6. NIK ayah; 7. Beberapa isi catatan peristiwa penting.  

Pasal 85 ayat (1) UU AK dengan tegas mengatur bahwa data pribadi penduduk tersebut wajib disimpan dan dilindungi oleh Negara. Penulis yakin jika data pribadi tersebut disimpan atau diminta oleh Instansi Pemerintah tentu terjamin perlindungannya, namun bagaimana jika pengguna memberikan data pribadi tersebut kepada pelaku usaha swasta lainnya? 

Memang, dalam Pasal 15 ayat (1) Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (selanjutnya disebut PP 82/2012) bahwa penyelenggara sistem elektronik wajib: a.  menjaga rahasia, keutuhan dan ketersediaan data pribadi yang dikelolanya; b. menjamin bahwa perolehan, penggunaan, dan pemanfaatan Data Pribadi berdasarkan persetujuan pemilik Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; c. menjamin penggunaan atau pengungkapan data dilakukan berdasarkan persetujuan dari pemilik Data Pribadi tersebut dan sesuai dengan tujuan yang disampaikan kepada pemilik Data Pribadi pada saat perolehan data. 

Penyelenggara jasa elektronik juga memiliki dan mewajibkan pengguna (user) mengisi electronic disclaimer / pernyataan dan juga kebijakan privasi jika konsumen menggunakan jasa elektronik tersebut, namun siapa yang dapat menjamin bahwa data tersebut tidak disalahgunakan, tidak diperjualbelikan misalnya untuk keperluan marketing/penjualan?

UU ITE, PP 82/2012 dan Peraturan Menteri Komunikasi dan Informatika No.20 Tahun 2016 belum dengan tegas mengatur tentang perlindungan data pribadi, tidak ada sanksi pidana terhadap pembocoran ataupun penyalahgunaan data pribadi tanpa izin orang yang memiliki data tersebut. 

Tindakan hukum dalam UU ITE hanya berupa gugatan keperdataan.  Ketentuan Pasal 26 ayat (1) UU ITE dengan tegas mengatur bahwa "kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan." 

Bagian Penjelasan Pasal 26 ayat (1) UU ITE berisikan bahwa perlindungan data pribadi adalah salah satu bagian dari hak pribadi (privacy rights) yang mengandung pengertian: (a). hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan; (b). hak untuk dapat berkomunikasi dengan orang lain tanpa tindaka memata-matai; (c). hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang. Oleh karena itu, PSE wajib menjaga dan tidak membocorkan data pribadi yang tersimpan dalam sistem PSE.

Menurut analisis Penulis, UU ITE tidak memberikan sanksi pidana (strafrechtelijke sancties) bagi setiap orang yang melanggar ketentuan Pasal 26 ayat (1) UU ITE. Jika terjadi penyalahgunaan data tersebut, maka berdasar Pasal 26 ayat (2) UU ITE hanya mengatur bahwa pihak yang dirugikan dapat mengajukan gugatan. 

Oleh karena itu, alas hak mengajukan gugatan tersebut ialah 'Perbuatan Melawan Hukum / Onrechtmatige Daad' (PMH) Pasal 1365 Kuh.Perdata yang mengatur demikian "tiap perbuatan yang melawan hukum dan membawa kerugian kepada orang lain, mewajibkan orang yang menimbulkan kerugian itu karena kesalahannya untuk mengganti kerugian tersebut." 

Pertanyaan lebih lanjut ialah kemana gugatan PMH itu dilayangkan? Pasal 39 ayat (1) UU ITE hanya mengatur bahwa gugatan perdata dilakukan sesuai dengan ketentuan peraturan perundang-undangan. Ketentuan umum terhadap hal tersebut ialah hukum acara perdata yang bersumber pada Herzien Indlandsch Reglement (HIR), jika mengacu pada Pasal 118 ayat (1) HIR bahwa gugatan diajukan ke Pengadilan Negeri pada tempat tinggal tergugat (actor sequitor forum rei). 

Namun menurut hemat penulis, lebih tepat jika gugatan diajukan di tempat kedudukan konsumen mengingat konsumen berada diposisi lemah, ketentuan ini sesuai sebagaimana dalam Pasal 23 Undang-Undang No. 8 Tahun 1999 tentang Perlindungan Konsumen sebagai lex specialis.