Ayolah, Kita Hapus Pidana Soal Data Pribadi: Please...

Awaludin Marwan | Foto: Dokumen pribadi

RUU Pelindungan Data Pribadi memuat ketentuan pidana. Tak tanggung-tanggung. Sembilan Pasal siap menjerat mereka yang mencuri, mengemplang, menadah, memalsukan, memperjual belikan data pribadi.

Banyak pihak mengusulkan supaya ketentuan pidana dalam RUU ini dihapus. Kenapa?

Karena sebagian besar pihak kuatir dan ketakutan akan munculnya Pasal Karet, yang menyiksa. 

Kita semua sepakat. Mafia data pribadi harus ditumpas. Namun bukan dengan meledakkan sebuah bom untuk membunuh seekor lalat. Kita musti hati-hati dan teliti memilah.

Toh, sebenarnya kita masih punya ketentuan di UU ITE, UU Telekomunikasi, Kitab Undang-Undang Hukum Pidana (KUHP) dan UU lain yang bisa dipakai untuk menjerat mafia data ini.

Filsuf Amerika, Ronald Dworkin (2011) pernah berkata. Ada dua jenis perubahan hukum. Kalau tidak dengan amandemen, ya dengan interpretasi. Tradisi interpretasi dalam rezim hukum yang ada, akan membuat pasal-pasal tersebut hidup, dan mengikuti kebutuhan zamannya.

Untuk kasus pelindungan data pribadi, umpamanya. Pencurian data bisa dikenakan Pasal 362 KUHP. Yang memperjual belikan data bisa digunakan delik penadahan Pasal 480 KUHP.

Pemalsuan data pribadi bisa dikenakan Pasal 263 dan Pasal 264 KUHP. Dan, masih banyak lagi ketentuan dalam KUHP yang relevan dengan pemidanaan isu pelindungan data pribadi.

Meskipun usia KUHP sudah lebih dari satu abad. Sejak diundangkannya Wetboek van Strafrecht voor Nederlands-Indie, Staatsblad Nomor 732 pada tahun 1915. Kitab ini mulai berlaku di Hindia-Belanda pada tanggal 1 Januari 1918.

Setelah merdeka juga disambung dan diresmikan dengan UU No. 1 Tahun 1946, tanpa terjemahan resmi dari bahasa Belanda. Hingga kini masih relevan dengan penambahan/ pengurangan tipis-tipis. Tradisi interpretasi yang berkembang di ranah ilmu hukum pidana, menjawab kebutuhan masyarakatnya.

Pun demikian, di kala Thomas Paterson (2019) pernah berdalil. Miskinnya legislasi siber dan kesadaran keamanan siber di Indonesia menyisakan banyak problem. Tapi jika budaya hukum dan interpretasi berkembang, tentu hukum bisa menangkap sejumlah perkembangan signifikan.

Ultimum Remedium, Bukan Omnium Remedium

Sebagian besar ahli hukum bersepakat. Bahwa pidana adalah obat terakhir (ultimum remedium). Jalan hukum perdata dan hukum administrasi disarankan dipakai terlebih dahulu. Pemakaian hukum pidana hanya digunakan jika sudah tidak ada jalan lain. Saat benar-benar kepepet.

Bukan jadi jalan utama dan primadona (omnium remedium). Sedikit-sedikit pidana. Bisa membuat penjara makin sesak.

Dalam disertasinya, Prof. Dr. Barda Nawawi Arif, yang dipromosikan pada tanggal 28 Agustus 1985, di Universitas Padjajaran Bandung, sudah berpesan hal yang sama. Ia menulis sebuah kritik pada kegemaran legislatif, yang suka menanggulangi kejahatan dengan pidana penjara.

Saat di negara-negara maju sudah mengkategorikan denda sebagai pemasukan negara penting. Saat negara-negara maju hukuman kerja sosial jadi tulang punggung tenaga kebersihan kota dan tenaga proyek pembangunan infrastruktur. Sementara Indonesia, terjadi inflasi pidana penjara.

Penjara penuh sesak. Sementara ketentuan pidana terus menerus ditambah saban tahunnya.

Marilah kita kembalikan pidana ke khitah-nya, sebagai obat terakhir. Sebagai konsep yang diungkapkan oleh Anthony Modderman Menteri Hukum (Minister van Justitie) Belanda di hadapan Parlemen Belanda (Tweede Kamer) pada tahun 1879. Ia berteguh hati, jika Kitab Undang-Undang Hukum Pidana Belanda (WvS) 1808 adalah upaya terakhir menyelesaikan problem sosial pada masyarakat saat itu (Schreuder, 1904).

Saat ini, banyak penjara-penjara di negara Eropa barat yang ditutup. Beberapa diantaranya disulap menjadi penginapan/ apartemen mewah untuk para pengungsi.

Pidana penjara bukanlah sebuah trend dalam perkembangan kebijakan pembangunan hukum.

Untuk soal pelindungan data pribadi. Hampir semua kalangan mengusulkan penghapusan ketentuan pidananya. Mulai dari NGO, akademisi, hingga industri. Risiko banyaknya pelaku usaha, instansi pemerintah maupun swasta yang dipidanakan akan cukup luas dengan formulasi (baca: draft) saat ini.
Dengan literasi digital yang masih rendah. Dikawatirkan banyak juga konflik di masyarakat bermunculan dengan ketentuan pidana ini.

Menengok Beberapa Negara

Jujur, harus diceritakan. Bahwa kebanyakan negara merumuskan ketentuan pidana pada hukum pelindungan data pribadinya.

Meskipun kiblat studi pelindungan data pribadi kita, yakni: Eropa. Sama sekali tidak mengenal pemidanaan baik direktif maupun regulasi mengenai pelindungan data pribadi. Meskipun dendanya juga tidak tanggung-tanggung.

Denda pelanggaran atas hukum pelindungan data pribadi Eropa (GDPR) dapat mencapai 10 juta euro atau 2 % dari seluruh pendapatan perusahaan (Pasal 83 ayat (4) GDPR). Pelanggaran lain juga bisa mencapai 20 juta euro atau 4 % dari seluruh pendapatan perusahaan.

Bahkan pada tanggal 21 Januari 2019, Otoritas Pelindungan Data Prancis (CNIL) menjatuhkan denda kepada Google sebesar 50 juta euro. Atas dugaan pelanggaran terhadap prinsip transparansi dan hak untuk diberi tahu (the right to be informed).

Google mengajukan banding ke Pengadilan Prancis dan Pengadilan Eropa (the European Court of Justice. Bahwa CNIL tak punya kewenangan untuk menjatuhkan sanksi. Kantor Google berada di Irlandia. Google memandang CNIL tak punya yurisdiksi pemberian denda. Namun, baik itu pengadilan Prancis dan pengadilan Eropa menolak argumen Google. Dan, Google tetaplah harus membayar denda tersebut.

Rejim denda sangat memberatkan bagi dunia usaha. Membuat mereka akan berhati-hati melakukan pemrosesan data.

Berbeda dengan Eropa, negara-negara tetangga kita, seperti Malaysia, Thailand, Singapura dan Filipina menerapkan pidana pada regulasi pelindungan data pribadinya.

Di Singapura, menghalang-halangi kerja dari Komisi Pelindungan Data Pribadi, bisa berujung pada denda $ 10.000 dan penjara 12 bulan (Pasal 51 ayat (5) Personal Data Protection Act 2012). Ketentuan ini hampir sama seperti UU Ombudsman Indonesia. Menghalang-halangi kerja Ombudsman, bisa dipidanakan.

Singapura menjatuhkan pidana penjara pada kejahatan perubahan data pribadi tanpa otoritas (Pasal 51 ayat (2)), melanjutkan pemrosesan data meski sudah dijatuhkan hukuman di kasus yang sama (Pasal 56), menggunakan simbol atau identitas Komisi Pelindungan Data Pribadi (Pasal 61 ayat (2)) dan tidak memenuhi panggilan dari Komisi.

Pidana data pribadi di Singapura lebih ditujukan untuk menguatkan peran institusinya. Sementara di Filipina, hukum pelindungan data pribadinya mengatur dua belas pasal pemidanaan. Tak tanggung-tanggung, kelalaian kebocoran data sensitif, dipidana minimal 1 tahun sampai 3 tahun, serta denda 500.000 peso sampai 2.000.000 peso. Dan, masih banyak lain ketentuan pidana lainnya.

Dalam RUU kita, masih menganut rejim kesengajaan (dolus). Artinya unsur kesengajaan diperhitungkan sebagai salah satu faktor fundamental dalam pemidanaan.

Tapi tetap saja. Membayangkan petugas administrasi kampus yang dipidana, wartawan yang diseret, direksi milineal perusahaan rintisan yang disidik, pegawai koperasi simpan pinjam yang ditindak lantaran kesalahan penggunaan data pribadi. Dan, semuanya seperti mimpi buruk.

Hendaknya kita hapuskan saja ketentuan pidananya. Perkuat efektivitas jalur administrasi dan perdatanya.

Jika memang sudah terlalu. Kita kembangkan tafsir KUHP, UU ITE, UU Telekomunikasi untuk membasmi kejahatan data pribadi. []

 

Penulis adalah Dosen Fakultas Hukum Universitas Bhayangkara Jakarta Raya