GDPR sangat relevan karena Indonesia juga sedang menghadapi masalah serupa yang menjadi alasan pengesahan GDPR
Jakarta (ANTARA/Jacx) Perlindungan data pribadi pengguna internet oleh banyak kalangan menjadi sebuah kebutuhan seiring dengan meningkatnya penggunaan medium itu di berbagai sisi kehidupan masyarakat.

Dalam tiga tulisan terdahulu, telah dibahas mengenai sejumlah sisi dari pentingnya perlindungan data pribadi pengguna internet.  

Dengan menggunakan perbandingan regulasi serupa yang sudah diberlakukan di Uni Eropa sejak 27 April 2016 yaitu aturan mengenai data pengguna internet di Eropa yang dikenal dengan General Data Protection Regulation (GDPR), kita mencoba untuk melihat sejauh mana bisa juga diinisasi di tanah air.

GDPR sangat relevan karena Indonesia juga sedang menghadapi masalah serupa yang menjadi alasan pengesahan GDPR seperti praktik pembobolan data pribadi pengguna internet (data breach) untuk tujuan-tujuan komersial atau politik yang merugikan publik sebagai pengguna internet. 

Dalam GDPR yang berlaku di Uni Eropa, juga telah diatur mengenai hak subyek data. GDPR telah meningkatkan dan memperluas hak-hak Subyek Data. 

GDPR memperkenalkan beberapa hak baru seperti hak portabilitas, mengodifikasi “hak untuk dilupakan” serta membuat perubahan terhadap hak-hak yang berada di bawah Undang-Undang Perlindungan Data Uni Eropa (EU Data Protection Directive) Tahun 1995. 

Hanya tersedia waktu yang singkat bagi perusahaan atau organisasi Pengendali Data dan Pengolah Data untuk melakukan penyesuaian diri di sini. 

Artikel Terkait : Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian I)

Pengaturan itu antara lain tentang hak akses. Hak Subyek Data untuk memperoleh konfirmasi dari Pengendali Data tentang apakah data pribadi mereka sedang dikumpulkan dan dikelola, dari mana data pribadi itu diambil dan bagaimana data tersebut diproses? Sekaligus hak untuk memperoleh salinan data pribadi tersebut. 

Apakah Pengendali Data menggunakannya untuk tujuan pemrofilan? Hak ini harus dapat dengan mudah digunakan dalam interval waktu yang masuk akal. 

Hak-hak ini sebelumnya, di bawah Undang-Undang Perlindungan Data Uni Eropa, telah terbukti memberatkan perusahaan layanan digital di berbagai kawasan dan kerap dikritik karena acapkali digunakan untuk kebutuhan pencarian informasi atau taktik penyingkapan pra-litigasi.

Ada beberapa langkah untuk membatasi lingkup pembatasan ini, misalnya dengan mengecualikan data non pribadi, menggunakan pengecualian sempit yang berlaku pada materi yang diberi hak istimewa. Namun hal ini berisiko dan tidak didukung oleh regulator Uni Eropa. 

Hak lainnya adalah hak pembetulan, hak Subyek Data untuk memperoleh, tanpa keterlambatan yang tidak semestinya, pembetulan data pribadi yang tidak akurat tentang diri mereka. Tergantung pada tujuan pemrosesan, Subyek Data juga memiliki hak untuk melengkapi data yang belum lengkap.

Adal pula yang disebut dengan hak penghapusan. Ini juga disebut “hak untuk dilupakan”, ini adalah hak Subyek Data untuk menghapus data pribadi mereka tanpa keterlambatan yang tidak semestinya. 

Setelah keputusan Mahkamah Hukum Uni Eropa (CJEU) yang dikenal luas dalam kasus Google Spanyol di mana Google harus menghapuskan tautan-tautan ke beberapa artikel di media siber hasil pencarian Google tentang nama seorang warga Spanyol (artikel-artikel tersebut merujuk kepada sejarah masalah keuangannya), beberapa perusahaan dibanjiri dengan permintaan agar data-data pelanggan yang tidak menyenangkan dihapuskan. 

Artikel Terkait : Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian II)

Meskipun menerima permintaan penghapusan berdasarkan hak tersebut, Pengendali Data tetap dapat memroses data jika masih memiliki dasar alasan yang sah (berdasarkan hukum) lainnya untuk mengumpulkan dan mengelola data pribadi. 

Permintaan penghapusan data itu juga dapat dikesampingkan untuk alasan-alasan kepentingan publik seperti masalah kesehatan publik, riset ilmiah, riset sejarah dan lain-lain. 

Sementara hak Membatasi Pengolahan Data adalah subyek Data memiliki hak untuk memperoleh pembatasan pengolahan data dalam keadaan-keadaan tertentu. 

Jika Subyek Data menggugat keakuratan data pribadi, pengolahan dapat dibatasi sejauh terbukti ada masalah dalam keakuratan itu. 

Hak ini juga berlaku saat pengolahan data terjadi secara tidak sah tetapi Subyek Data tidak ingin data tersebut dihapus, atau pada saat Pengendali Data tidak memerlukan data tetapi diperlukan oleh Subyek Data untuk pengerjaan atau pembelaan klaim hukum. 

Sedangkan Hak Mengajukan Keberatan dapat dipahami sebagai, Hak Subyek untuk mengajukan keberatan atas pengolahan data karena keadaan mereka di satu waktu tertentu. 

Hak ini berlaku pada saat alasan untuk pengolahan data adalah menjalankan kepentingan publik atau pelaksanaan otoritas resmi yang diberikan kepada Pengendali Data. 

Hak ini juga berlaku pada konteks pemrofilan yang didasarkan pada alasan tersebut.  Pengendali Data harus berhenti mengelola dan memanfaatkan data kecuali dapat menunjukkan dasar yang lebih kuat untuk melanjutkan pengolahan data. 

Sementara, Hak Portabilitas Data  adalah hak Subyek Data untuk menerima data pribadi dari Pengendali Data dalam format yang terstruktur, dapat digunakan, dapat dibaca perangkat teknologi yang standar sehingga dapat dipindahkan dengan mudah ke pihak lain. 

Idenya adalah memberikan kepada Subyek Data lebih banyak kendali atas data dirinya. Agar berada di bawah cakupan portabilitas data, proses pengolahan mesti berdasarkan pada persetujuan Subyek Data atau berdasarkan kontrak di mana Subyek Data adalah menjadi salah satu. 

Selain membicarakan tentang hak, GDPR juga mengatur tentang akuntabilitas pengendali data.

GDPR mensyaratkan akuntabilitas dan tanggung-jawab Pengendali Data dalam hal: 
1.Membuat catatan tentang semua kegiatan pengumpulan dan pengolahan
   data yang dilakukannya,  tanggung-jawab yang sulit dan tidak boleh    diremehkan, tetapi tidak semestinya dibuat terlalu sulit.
2.Melakukan penilaian dampak terhadap perlindungan data untuk   pengolahan data yang lebih beresiko, termasuk mengidentifikasi di mana   saja     perlindungan tersebut dibutuhkan.
3.Menerapkan perlindungan data berdasarkan tujuan dan standar GDPR.
4.Melaporkan pelanggaran data tertentu yang terjadi.
5.Menunjuk petugas perlindungan data.

Dengan demikian, menjadi penting bagi pihak Pengendali Data untuk sewaktu-waktu dapat menunjukkan dasar pengolahan data pribadi Subyek Data, bagaimana pengolahan dilakukan dan untuk tujuan apa. 

Artikel Terkait : Menimbang Regulasi Perlindungan Data Pribadi Pengguna Internet (Bagian III)

Apakah semua ini telah dilakukan dengan memenuhi syarat-syarat GDPR? GDPR menegaskan pentingnya pihak Pengendali Data untuk menyusun dan menjaga laporan kinerja pengolahan dan pengendalian secara terdokumentasi, suatu hal yang tidak mudah untuk dilakukan. 

Catatan-catatan ini perlu disediakan dan dilaporkan kepada Lembaga Pengawas Perlindungan Data (The Supervisory Authority) kapan pun diminta. 

Transparansi dan akuntabilitas pengolahan dan pengendalian data ini menjadi isu yang dibahas secara khusus belakangan, dan memicu upaya pengembangan teknologi yang kompatibel. 

Perusahaan-perusahaan digital besar terus bergulat untuk mendapatkan solusi teknologis yang memadai untuk hal tersebut.

Pihak Pengendali Data harus memiliki catatan informasi tentang: 
1.Nama dan rincian kontak perwakilan Pengendali Data dan petugas Lembaga Pengawasan Perlindungan Data di suatu negara, 
2.Tujuan pemrosesan data, deskripsi kategori-kategori data pribadi   

Subyek yang diproses, kategori-kategori penerima olahan data  termasuk penerima di negara ketiga atau organisasi internasional, rincian pemindahan data pribadi ke negara ketia, periode penyimpanan yang dipertimbangkan untuk berbagai kategori data pribadi, deskripsi umum tindakan pengamanan data untuk situasi darurat tertentu. 

Dalam konteks yang sama, Pihak Pengolah Data juga diwajibkan memiliki catatan semua kategori kegiatan pengolahan yang dilakukan atas nama pihak Pengendali Data, rincian tentang proses pemindahan data ke negara ketiga, serta antisipasi tindakan pengamanan data dalam keadaan darurat tertentu. 

GDPR menekankan kewajiban Pengendali Data atau Pengolah data untuk melakukan penilaian (assessment) dampak perlindungan data untuk pengolahan data yang beresiko tinggi. 

Hal ini misalnya untuk pengolahan data pribadi berkategori khusus dalam skala besar, penggunaan teknologi baru yang belum diketahui benar dampak-dampaknya, atau proses pemrofilan pengguna internet secara sistematis dan ekstensif (Pasal 29). 

Hal ini memberikan beban sekaligus tantangan baru bagi perusahaan-perusahaan penyedia layanan digital. Atas teknologi dan inovasi baru penambangan dan pengolahan data pengguna yang akan mereka terapkan, perlu dipastikan dampak-dampaknya terhadap prinsip perlindungan data pengguna. 

Assessment atas dampak-dampak ini perlu diberitahukan kepada Lembaga Pengawas Perlindungan Data, atau setidak-tidaknya harus tersedia setiap saat jika sewaktu-waktu diminta.

Bagaimana dengan Pengaturan Privacy by Design?

Privacy by Design adalah sebuah pendekatan untuk melindungi privasi dalam proses pembangunan  sistem digital (teknologi, praktek bisnis dan rancangan fisik infrastruktur berjaringan) yang berfokus pada pengutamaan atau pengintegrasian perlindungan privasi ke dalam sistem secara keseluruhan. 

Dengan demikian, prinsip perlindungan privasi multak dimasukkan dalam arsitektur sistem digital sedari awal. Konsep Privacy by Design menempatkan prinsip perlindungan privasi sejak proses perancangan sistem pengolahan data hingga pelaksanaan pengolahan data.

Saat berpikir tentang pengaturan privasi, sebuah organisasi mesti mempertimbangkan bahwa privasi mesti tercermin atau terintegrasikan dalam kecanggihan teknologi yang digunakan, biaya implementasi teknologi, sifat, cakupan, konteks dan tujuan pemrosesan data, sekaligus perhitungan resiko-resiko terhadap individu Subyek Data.

Kewajiban ini mensyaratkan pernyataan perlindungan privasi pada setiap awal kegiatan atau proyek baru yang melibatkan proses pengolahan data pribadi, atau ketika menerapkan sistem manajemen baru atau modifikasi manajemen pengolahan data.

Konsep Privacy by Design dalam GDPR juga mewajibkan Pengendali Data untuk menerapkan prinsip minimalisasi pengambilan dan pemanfaatan data pribadi.

Di bawah prinsip ini, organisasi atau perusahaan harus memastikan data pribadi bukanlah sesuatu yang --secara tak sengaja, lalai dan tanpa persetujuan Subyek Data-- digunakan untuk pihak atau orang yang tak terbatas jumlahnya. 

Dengan demikian, perusahaan penyedia layanan media sosial tidak diizinkan untuk secara lalai atau otomatis menampilkan profil pribadi penggunanya untuk publik tanpa izin yang bersangkutan.

Apa dampak penerapan Privacy by Design dalam GDPR? Perusahaan penyedia layanan digital mesti memikirkan privasi ketika:

1.Menciptakan produk, aplikasi dan layanan digital baru.
2.Membangun situs web 
3.Menunjuk pihak ketiga untuk mengolah data.
4 Mengembangkan strategi bisnis baru.

Dalam GFPR terdapat juga aturan tentantang Pengolahan Data dan Pemrofilan Otomatis (Automated Processing And Profiling)

Subyek Data memiliki hak untuk tidak terikat pada keputusan otomatis termasuk yang bertolak dari proses pemrofilan pengguna internet jika keputusan tersebut menghasilkan dampak hukum yang berhubungan dengan Subyek Data atau jika memiliki dampak yang signifikan terhadap Subyek Data. 

Pemrofilan didefinisikan GDPR sebagai segala macam bentuk pengolahan otomatis data yang mencakup  penggunaan data pribadi untuk mengevaluasi aspek-aspek pribadi tertentu dari setiap pengguna internet, terutama untuk menganalisis atau memprediksikan aspek-aspek kinerja seseorang  (pekerjaan, situasi ekonomi, kesehatan, preferensi pribadi, minat, keandalan, perilaku, lokasi dan mobilitas). 

Artikel Terkait : Skandal manipulasi data membuat Eropa kian garang tekan Facebook

Contoh penggunaan pemrofilan dalam konteks keputusan arbitrer-otomatis misalnya saja penerapan aplikasi kredit online atau  praktik perekrutan online tanpa campur-tangan manusia. 

Berdasarkan GDPR, individu pemilik data memiliki hak untuk menolak proses pengolahan dan pemrofilan otomatis berikut pemanfaatannya. Dalam proses pengolahan dan pemrofilan data otomatis, keputusan-keputusan dipaksakan secara arbiter dan otomatis oleh pihak Pengendali Data.   
Subyek Data memiliki hak untuk menolak keputusan-keputusan itu. Pengecualian terhadap aturan ini terjadi jika individu Subyek Data sudah memberikan persetujuan yang gamblang untuk proses pengolahan dan pemrofilan, jika pembuatan keputusan otomatis telah disahkan oleh hukum Uni Eropa atau negara anggota Uni Eropa, atau jika keputusan otomatis merupakan bagian dari pelaksanaan kontrak antara Subyek Data dan Pengendali Data.

Perlu diperhatikan, bahkan dalam kasus pengecualian itu pun, pihak Pengendali Data tetap diharuskan memberikan perlindungan atas data Subyek guna mendukung kebebasan dan hak mereka untuk terbebas dari intervensi orang lain, untuk mengekspresikan pandangan diri-sendiri dan untuk mempersoalkan keputusan otomatis. 

Seperti yang telah dibahas, GDPR menuntut Pengendali Data untuk memberitahu Subyek Data  bahwa mereka sedang atau telah melakukan pemrofilan dan pembuatan keputusan otomatis sebagai bagian dari proses pengolahan data yang mereka lakukan. 

Pihak Pengendali Data harus menjelaskan logika kerja, konsekuensi dari proses pemrofilan otomatis yang mereka lakukan. 

Hal ini juga berlaku untuk perusahaan yang berusaha memperoleh keuntungan ekonomi dari pemanfaatan big-data analysis dan produk kecerdasan buatan untuk sektor bisnis, misalnya dengan mengevaluasi resiko untuk harga asuransi mobil, penilaian kredit atau perekrutan tenaga kerja berdasarkan data-perilaku-pengguna-internet yang mereka tambang dan kumpulkan.

Apa dampak Pembatasan Pengolahan Data dan Pemrofilan Otomatis? 
1.Pengendali Data harus mengidentifikasi terus-menerus apakah pihaknya telah membuat keputusan otomatis-arbitrer yang menghasilkan dampak  terhadap Subyek Data atau memiliki konsekuensi hukum tertentu bagi Pengendali Data atau Subyek Data.
2.Pengendali Data harus menyediakan mekanisme yang memungkinkan subyek untuk menuntut campur tangan manusia dalam keputusan keputusan yang  berdasarkan pengolahan data otomatis, mengekspresikan pandangan dan kepentingan mereka, menggugat keputusan otomatis dengan beberapa pengecualian konteks dan alasan. 
3.Pengendali Data harus menjelaskan dalam istilah-istilah yang jelas dan logis tentang signifikansi dan konsekuensi pengolahan data dan
pemrofilan otomatis kepada Subyek Data. 
4.Harus diterapkan pendekatan teknis dan organisatoris untuk menjelaskan dan menerapkan transparansi sistem algoritma yang digunakan dalam pengolahan data Subyek.  

*Agus Sudibyo, Head of New Media Research Center ATVI Jakarta.

 

Pewarta: Agus Sudibyo*
Editor: Panca Hari Prabowo
Copyright © ANTARA 2019