Penulis: Ahmad Alamsyah Saragih
Permintaan informasi data pribadi yang dikuasai oleh suatu otoritas publik masuk ke dalam rezim privasi, seperti: data hasil penilaian seleksi calon pimpinan, data hasil pemeriksaan kesehatan, daftar kekayaan, dsb. Hingga kini Indonesia belum memiliki Undang-Undang Perlindungan Data Pribadi. Pengaturan terpecah-pecah di berbagai Undang-Undang, termasuk di Undang-Undang Keterbukaan Informasi Publik (UU KIP).
Semenjak UU KIP diberlakukan, permintaan terhadap informasi yang masuk dalam kategori data pribadi di Badan Publik juga terjadi. Beberapa bahkan masuk ke dalam tahap sengketa. Kombinasi antara norma yang ambigu di UU KIP dan ketiadaan Undang-Undang perlindungan data pribadi telah menyebabkan Komisi Informasi terpaksa menangani sengketa informasi pribadi tersebut.
Komisi Informasi melakukan penyelesaian sengketa terhadap data pribadi dengan pertimbangan: (i) definisi informasi publik dalam UU KIP tidak secara eksplisit memisahkan data pribadi. Sepanjang suatu informasi dikuasai oleh Badan Publik maka ia masuk sebagai informasi publik, terlepas apakah informasi tersebut dikecualikan atau tidak; (ii) ketentuan dalam UU KIP yang mengatur pengecualian dengan alasan kerahasiaan pribadi tidak berlaku sepanjang memenuhi dua syarat: subyek data memberikan ijin tertulis, atau pengungkapan terkait dengan posisi seseorang dalam jabatan publik.
Sejarah
Perlindungan data pribadi menguat dalam dua momentum. Mementum pertama, adalah kelanjutan dari upaya perlindungan hak asasi yang terus menguat setelah Perang Dunia kedua berakhir. Beberapa kovenan dibentuk dan diratifikasi oleh negara anggota. Upaya ini mendapatkan relevansinya bersamaan dengan kemunculan rezim otoriter di banyak negara berkembang yang kerap memanfaatkan data pribadi untuk kepentingan mengancam kebebasan dan keselamatan warga negara. Indonesia di masa rezim Orde Baru adalah salah satu negara yang pernah menjalankan praktik pelanggaran besar-besaran.
Momentum kedua, adalah dampak perkembangan teknologi informasi yang melahirkan inisiatif perlindungan terhadap individu dari pemanfaatan data pribadi oleh negara maupun pasar secara tak adil. Pada periode 1960an data pribadi marak digunakan bukan hanya oleh otoritas publik, tapi juga pasar. Perbankan adalah salah satu sektor yang paling banyak bersinggungan dengan hal ini. Di era tahun 1970an perhatian atas hal ini telah melahirkan apa yang disebut sebagai Fair Information Paractices (Gellman, 2015).
Prinsip Dasar
Hampir semua negara yang memiliki Undang-Undang Perlindungan Data Pribadi (PDPA) mengatur pengelolaan data pribadi dengan mengacu pada beberapa prinsip dasar. Parivacy Internasional memperkenalkan beberapa prinsip umum yang dianut oleh negara-negara Uni Eropa sebagai berikut (OECD, 1980): (i) there should be limits to what is collected; (ii) the information should be correct; (iii) there must be no secret purposes; (iv) there must be no creeping purposes; (v) the information must be secure; (vi) no secret organisations, sources, or processing; (vii) individuals have rights to be involved; (viii) organisations must be held to account. [1]
Berikut adalah prinsip-prinsip yang harus diperhatikan dalam memproses data pribadi yang diterbitkan oleh Kantor Komisi Informasi di Inggris (ICO, 2013)[2]: (i) adil dan berkekuatan hukum: secara khusus dapat diproses jika memenuhi kondisi atau prasyarat yang ditetapkan oleh Undang-Undang; (ii) sesuai tujuan: hanya untuk satu atau lebih tujuan yang jelas dan berkekuatan hukum, dan tidak boleh diproses dengan cara-cara yang tidak sesuai dengan tujuan yang dimaksud; (iii) memadai: relevan dan tidak berlebihan jika dibandingkan dengan tujuan yang mendasari untuk memprosesnya; (iv) akurat: sesuai kebutuhan dan mutakhir; (v) berjangka waktu: tidak boleh dipegang lebih lama dari kebutuhan untuk mencapai tujuan tersebut; (vi) sesuai hak: melindungi hak-hak subyek data yang dijamin oleh Undang-Undang.
————–
[1] OECD. 1980. Annex to the Recommendation of the Council of 23rd September 1980: Guidelines Governing The Protection of Privacy and Transborder Flows of Personal Data. Paragraphs 7 though 14.
[2] ICO. 2013. Requests for Personal Data About Public Authority Employees, Version: 1.2. United Kindom.