Otoritas Pelindungan Data Pribadi: Organ Negara Kelsenian
Sejak politik etis digelontorkan. Pada awal tahun 1900 di masa Hindia Belanda. Mengingatkan kita pada Komisi Welvaart (de Welvaart Commissie). Komisi inilah yang secara efektif melakukan kajian dan pelaksanaan kebijakan peninjauan pada penataan perkebunan gula dan peruntukan pertanian zaman itu (De locomotief, 29/ 9/ 1903). Tanpa komisi ini, politik etis hanyalah wacana tanpa realisasi.
Cerita yang lain, sejak tahun 1712 zaman Raja Charles XII Swedia mendirikan Hogsta Ombudsmannen, untuk mengawasi efektivitas kerja bawahannya dan birokrasi. Ombudsman yang pada akhirnya punya fungsi semi-yudisial dan pengawasan (Justitieombusmannӓmbetet) ini cukup efektif di negara-negara Skandinavia (Orfield, 1967). Bahkan dijuluki lembaga Robin Hood. Yang, hingga hari ini, rekomendasinya, di atas 90 % efektif di Eropa Barat.
Tanpa lembaga khusus, fungsi dan tugas sebuah maksim hukum sulit bisa dijalankan. Namun tidak semua masalah fungsi dan tugas pemerintahan akan selesai dengan pembentukan lembaga baru. Perlu dipertimbangkan validitas, urgensi dan kebutuhan sosial masyarakatnya.
Hari ini kita sedang mendiskusikan apakah lembaga independen yang mengawal fungsi dan tugas pelindungan data pribadi.
Kita sedang menghadapi obesitas kelembagaan yang parah. Tumpang tindih, disharmoni dan inefisiensi berjalan terus menerus. Presiden Jokowi membubarkan beberapa lembaga negara. Keuangan negara, efektivitas kerja dan prioritas nasional jadi alasan utama pembubaran tersebut.
Kendatipun demikian, tanpa lembaga khusus yang independen, fungsi pelindungan data pribadi akan berjalan setengah hati. Jika dilekatkan dengan di kementerian/lembaga Pemerintah yang ada, juga dikawatirkan, akan melempem jika menyangkut pemrosesan data pribadi di sektor pemerintahan.
Apalagi banyak data pribadi, yang biasa, maupun sensitif, dipegang oleh pemerintah. Tanpa lembaga independen, sulit dibayangkan pemerintah akan mendiagnosa kondisi kesehatan sistem pelindungan data pribadi di tubuhnya sendiri.
Komisi yang Sudah Ada
Syahdan, para ahli hukum dan pemerhati pelindungan data pribadi melirik pada komisi independen yang telah berdiri, seperti Komisi Informasi dan Ombudsman. Dua lembaga ini juga mempunyai fungsi mediasi dan/atau ajudikasi sebuah pengaduan. Menarik untuk ditengok.
Meskipun kendala hukum dan teknisnya pun menghadang. Saat kita menunjuk salah satu lembaga independen ini, apakah kita juga perlu merevisi peraturan perundang-undangan lain. Saat memilih Komisi Informasi maka kita pun akan dipertanyakan untuk merevisi UU No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik.
Pun, demikian saat kita mengharap Ombudsman, apakah kita juga perlu merevisi UU No. 37 Tahun 2008 tentang Ombudsman? Pertanyaan itu cukup mengganjal. Meskipun bisa-bisa saja kita melakukannya. Namun terlalu banyak disingkronisasi dan disharmoni peraturan di Indonesia ini, membuat kita dipenuhi trauma.
Problem lain, aspek teknisnya juga menyambut penunjukan komisi yang ada. Mengimajinasikan pelindungan data pribadi, tak akan pernah lengkap tanpa dukungan teknologi digital yang canggih. Alat untuk melakukan investigasi dan forensik digital perlu dilengkapi. Belum lagi soal sumber daya manusianya.
Memastikan orang yang mengisi pos tersebut adalah orang yang mempunyai pengetahuan dan pengalaman di bidang industri digital, hukum siber, keamanan, data, komputer dan jaringan sangatlah penting. Jangan sampai kita memaksakan tugas pada orang yang kurang mempunyai peminatan di bidang pelindungan data pribadi.
Jangan sampai juga kita kehilangan momentum. Begitu UU pelindungan data pribadi disahkan, otoritas ini tak boleh layu sebelum tumbuh. Orang-orangnya yang harus siap berlari. Untuk menghindari orang tidak perlu belajar terlalu lama, meskipun kodrat manusia adalah belajar, cari orang yang sudah punya integritas, kredensial dan pengalaman di bidang pemrosesan data dan studi hukum pelindungan data pribadi.
Organ Negara Kelsenian
Saya bukan Kelsenian. Tapi untuk mendalami logika positivisme hukum peracikan sebuah negara, konsep organ negara Kelsen menarik diperbincangkan.
Begini, bagi Kelsen. Lembaga, adalah personifikasi dari tatanan hukum. Struktur kelembagaan laksana manusia. Sebuah lembaga menjalankan fungsi organiknya (Kelsen, 2005, p. 192-7). Kalau dia sampai di amputasi maka dia akan cacat. Sebaliknya, jika ia tumbuh tanpa fungsi, maka sama halnya dengan tumor.
Menurut Kelsen. Lembaga yang paling sohih adalah parlemen. Karena ia dipilih langsung oleh rakyat. Namun Kelsen menulis, karena pada umumnya anggota parlemen itu punya pekerjaan, yang sama seperti, dan/atau sebagai, pengacara, pedagang atau profesional kesehatan, maka mereka tidak dibayar secara reguler.
Sementara perangkat lain, disebut oleh Kelsen adalah aparatus birokrasi. Fungsi yang terakhir ini, yang paling penting adalah untuk mengumpulkan pajak dan menjaga keteraturan.
Lalu, di manakah letak otoritas independen? Ia bukan parlemen, bukan pula aparatus birokrasi pengumpul pajak. Apakah dia penting dibentuk? Kelsen, sebenarnya mengatakan bahwa organ negara adalah institusi yang dipilih atau ditunjuk untuk menjalan fungsi spesifik (Kelsen, 2005, p. 193). Konsep negara yang tepat, ala Kelsen, adalah unit yang secara politik bisa mengorganisir masyarakat dan mempunyai efektivitas meregulasi perilaku publik (Kelsen, 2005, 190).
Mengecek apakah otoritas independen pelindungan data pribadi yang punya marwah, validitas dan bisa menggerakkan perilaku publik inilah yang menjadi tugas bersama kita.
Perbandingan
Toh, seperti banyak negara yang memiliki hukum pelindungan data pribadi seperti Taiwan, tidak mempunyai lembaga khusus sejak tahun 2010.
Di Amerika, kewenangan pelindungan data pribadi di pegang oleh Komisi Perdagangan Federal (the US Federal Trade Commission). Komisi ini mempunyai yurisdiksi untuk menangani masalah perdagangan secara luas. Untuk mencegah dan melindungi konsumen dari penyalahgunaan atau pelanggaran dalam praktik perdagangan, termasuk masalah keamanan data dan privasi.
Australia, termasuk negara yang menerapkan hukum pelindungan data pribadi yang paling tua. Sejak the Federal Privacy Act di terbitkan tahun 1998, diikuti oleh Australian Privacy Principles (APPs). Negara ini menunjuk the Privacy Commissioner di bawah the Office of the Australian Information Commissioner (OAIC).
Di lain pihak, kebanyakan dari negara yang mempunyai hukum pelindungan data pribadi, menunjuk satu entitas khusus.
Eropa jelas, mempunyai institusi, the European Data Protection Supervisor (EDPS), yang mempunyai peran untuk mengawasi, memberikan nasehat, intervensi, dan kerja-sama di bidang pelindungan data pribadi. Lembaga ini disokong oleh ahli hukum, ahli tekologi informasi, dan administrator yang berpengalaman.
Negara lain, seperti Malaysia, Singapore, Filipina, Jepang, Hongkong dan Korea Selatan juga mempunyai entitas spesial penegakan hukum pelindungan data pribadi.
Menyaksikan trend internasional, eksistensi otoritas pelindungan data pribadi adalah fenomena mayoritas.
Perdebatan soal efisiensi, dan optimalisasi otoritas pelindungan data pribadi juga terjadi dalam perumusan kelembagaan di berbagai negara. Namun pada akhirnya banyak negara yang memilih untuk mengadakan otoritas khusus.
Soal pelindungan warga, keteraturan di sektor ekonomi digital dan efektivitas lahirnya otoritas ini menjadi pertimbangan utama. Sebab lembaga inilah yang menasbihkan dirinya untuk khidmat di isu proteksi data pribadi. Perlu dedikasi, fokus dan teknologi yang menyokong otoritas spesial ini.
Studi Kasus di Jerman
Peran otoritas memang sangat spesial. Bahkan di tingkat lokal sekalipun. Jika ada pertanyaan otoritas ini akankah lebih baik di tingkat pusat atau daerahkah? Pertanyaan ini juga sebuah rumusan yang sulit dijawab.
Pengalaman menarik diperlihatkan dari kerja otoritas pelindungan data pribadi di Schleswig-Holstein, Jerman. Unibhanginges Landeszentrum fur Datenschutz Schleswig-Holstein (ULD), melakukan investigasi pada halaman Fan Facebook milik perusahaan di bidang pendidikan Wirtschaftsakademie. Perusahaan ini dan Facebook, ditemukan telah melakukan pengumpulan dan pemrosesan data tanpa memperhatikan protokol GDPR.
Pada Wirtschaftsakademie dan Facebook diberikan penalti karena telah melanggar protokol penerapan cookies, pengumpulan dan pemrosesan data. Hasil penyelidikan ULD, Wirtschaftsakademie dan Facebook melakukan pengumpulan data dalam bentuk informasi statistik anonim, namun terdapat kode unik pengguna.
Penyelidikan semacam ini, akan sulit jika tidak dilengkapi dengan prasarana hukum, teknologi dan SDM yang memadai. Para peneliti keamanan siber yang pro,’ barangkali mudah untuk melakukan investigasi terhadap kasus ini. Namun jika ia tidak dilengkapi oleh payung hukum akan berpotensi pelanggaran hukum.
Perangkat hukum dan teknologi perlu dilengkapi secara kokoh untuk melakukan penyelidikan serta pelindungan data pribadi warga. Kasus di Schleswig-Holstein, Jerman, mengingatkan pada kita, soal urgensi otoritas spesial yang punya kewenangan dan keterampilan di bidang teknologi informasi.
Seorang warga biasa akan kesulitan berhadapan dengan para perusahaan digital raksasa. Apalagi untuk membuktikan dugaan adanya maladministrasi pemrosesan data pribadi. Terbayang buku yang ditulis oleh Bruce Schneier, Data and Goliath. Warga di hadapan perusahaan digital raksasa hanyalah butiran debu.
Meskipun. Ya, meskipun perusahaan digital raksasa pun sudah bekerja keras untuk mempertahankan reputasi dan pelayanannya para pengguna sebaik-baiknya. Namun tidak menutup adanya kelalaian dan kesalahan oknum maupun sistem yang mungkin bisa terjadi.
Keberadaan lembaga pelindungan hukum pribadi yang progresif, sungguh ditunggu. Sebagai sebuah penyeimbang dan pelindung proaktif data pribadi warga.[]
Penulis adalah Dosen Fakultas Hukum Universitas Bhayangkara Jakarta Raya