1

EDISI NO. 16 / AGUSTUS 2021

Perlindungan Jejak Digital

Berdasarkan Hukum di Indonesia

RUU Perlindungan Data

Pribadi 2020 yang Belum

Diatur di Perkominfo 20/2016

Sanksi Pidana

Penyalahgunaan Data

dan Informasi

MASALAH UTAMA

BIDANG HUKUM DAN

RISIKO KEPATUHAN DALAM

TRANSFORMASI DIGITAL

IKLAN

Please do not hesitate to contact us if you have

any question at

marketing.akasa@gmail.com.

Looking forward to hearing from you.

We, Akasa Cipta Tama (ACT), was established in April 2015 as a response to the demand of highly

qualified translators for business, legal, technical, and general documents; as well as interpreters

and note takers for meetings, seminars, and conference. Our translators, interpreters and note

takers have extensive experiences in their respective fields.

With a comprehensive database of qualified human resources, ACT works to ensure the best

results in every project we run. Some of our top personnel have worked for various international

events and some of our clients include the Office of the President of the Republic of Indonesia,

People’s Consultative Assembly, The United Nations, The World Bank, AusAID, USAID, and some

Editorial: Pemimpin Redaksi:

Setyawati Fitri A., S.H., LL.M., FCIArb., FAIADR.

Redaktur Pelaksana:

Sechabudin, S.H. M. Adhima Djawahir, S.H.

Penulis:

Dr. Hary Elias, BA V (Cantab), LL.M (1st Class Hons), MBA (Columbia), Juris Doctor (HES)

Tanya Widjaja Kusumah, S.H. (TWK) Hendrikus Andy Leon Theovanus, S.H. (HAL) Agustin L.H. Hutabarat, S.H., C.L.A. (ALH) Yoga Adi Nugraha, S.H. (YAN)

Mochammad Adhima Djawahir, S.H. (MAD) Sheila Putri Alina, S.H. (SPA)

Diara Rizqika Putri, S.H. (DRP) Sechabudin, S.H. (SCN)

Febriana Dwi Hapsari, S.H. (FDH) Keshia Bucha, S.H (KBA)

Frans Manuel Pakpahan,S.H. (FMP) Sri Purnama, S.H. (SPU)

Konsultan Media:

Fifi Juliana Jelita

Penyunting Naskah:

Wahyu Hardjanto

Penata Visual:

Riesma Pawestri

Ilustrasi: freepik.com

Majalah Actio terbit setiap empat bulan sekali, dibuat dan didistribusikan oleh

Sanggahan:

Perlu kami sampaikan bahwa telaah, opini, maupun informasi dalam Actio merupakan kontribusi pribadi dari para partners dan/atau associate yang tergabung di kantor hukum Anggraeni and Partners dan merupakan pengetahuan hukum umum. Telaah, opini, dan informasi dalam Actio tidak dimaksudkan untuk memberikan pendapat hukum ataupun pandangan kantor hukum Anggraeni and Partners terhadap suatu permasalahan hukum tertentu.

Telaah, opini, dan informasi dalam Actio tidak dapat dianggap sebagai indikasi ataupun petunjuk terhadap keadaan di masa yang akan datang. Telaah, opini, maupun informasi dalam Actio tidak ditawarkan sebagai pendapat hukum atau saran hukum untuk setiap hal tertentu. Tidak ada pihak pembaca yang dapat menganggap bahwa dirinya harus bertindak atau berhenti bertindak atau memilih bertindak terkait suatu masalah tertentu berdasarkan telaah, opini, maupun informasi di Actio tanpa mencari nasihat dari profesional di bidang hukum sesuai dengan fakta-fakta dan keadaan-keadaan tertentu yang dihadapinya.

Pembaca yang terhormat,

Teriring salam bagi pembaca sekalian. Kami berharap semoga kita semua selalu diberikan keselamatan, kesehatan, dan juga kebahagian.

ACTIO kembali hadir bagi pembaca dengan topik utama “Key Legal Issues dan Risk of Compliance dalam Transformasi Digital”.

Kondisi Pandemi Covid-19 masih terus berlanjut, dan saat ini telah memasuki tahun kedua sejak pandemi dimulai pada akhir tahun 2019 lalu. Masa pandemi seperti sekarang menuntut pihak pemerintah, perusahaan swasta, maupun pribadi untuk melakukan kegiatan usaha secara online atau disebut juga transformasi digital. Namun seiring berjalannya hal itu, tentu akan banyak juga masalah hukum (legal issues) dan risiko kepatuhan (risk of compliance), yang berkaitan dengan pertumbuhan, perkembangan, serta transformasi digital pada dunia usaha tersebut.

ACTIO #16 membahas mengenai Key Legal Issues dan Risk of Compliance dalam Transformasi Digital, antara lain: Tata cara pelaporan Whistle Blowing pada lingkungan Badan Usaha Milik Negara, Transformasi sistem OSS di Indonesia, Sanksi pidana penyalahgunaan data dan informasi baru, Penerapan tata kelola perusahaan yang baik, RUU perlindungan data pribadi 2020 yang belum diatur di Perkominfo 20/2016, dan perlindungan jejak digital berdasarkan hukum di Indonesia.

Kami berharap, edisi kali ini dapat memberikan informasi yang bermanfaat bagi pembaca sekalian sembari kita melanjutkan perjalanan digital kita bersama-sama. Selamat membaca.

Salam,

ANGGRAENI AND PARTNERS Setyawati Fitri A, S.H., LL.M., FCIArb Partner Pengelola

“Every industry and

every organization will

have to transform itself

in the next few years.

What is coming at us is

bigger than the original internet,

and you need to understand it,

get on board with it, and figure

out how to transform your

business”.

Tim O’Reilly Founder & CEO of O’Reilly Media

-DAFTAR ISI

KATA PENGANTAR

INFO: Transformasi Sistem OSS (Online Single Submission) di Indonesia TANYA JAWAB

OPINI: Perlindungan Jejak Digital Berdasarkan Hukum Indonesia

KUPAS PERATURAN: RUU Perlindungan Data Pribadi 2020: Tindak Lanjut Permenkominfo 20/2016

TELAAH: Perlindungan Hukum Bagi Masyarakat Terhadap Penyalahgunaan Data Pribadi LAB HUKUM: Melampaui Regulasi: Artificial Intelligence dalam Hukum Kontrak

KIAT: Tata Cara Pelaporan Whistle Blowing Pada Lingkungan Badan Usaha Milik Negara

3 4 5 7 9 11 13 15

INFO

1. https://www.kominfo.go.id/content/detail/31693/uu-cipta-kerja-beri-kepastian-dan-penegakan-hukum-dalam-proses-perizinan-berusaha/0/berita, diakses pada 15 Juli 2021 2. https://oss.go.id/portal/informasi/content/dtl_pengumuman/36, diakses pada 13 Juli 2021 3. Surat Edaran Menteri Investasi/Kepala Badan Koordinasi Penanaman Modal Nomor 14 Tahun 2021 tentang Peralihan Penyelenggaraan Perizinan Berusaha Menjadi Penyelenggaraan Perizinan Berusaha Berbasis Risiko Melalui Sistem OSS 4. ibid.

K

epatuhan (compliance) perusahaan yang terdaftar di Indonesia erat kaitannya dengan perizinan berusaha. Salah satu aspek penting yang menunjang sistem perizinan berusaha di Indonesia adalah keberadaan sistem Online Single Submission (OSS). Pasca berlakunya Undang-Undang Nomor 11 Tahun 2020 tentang Cipta Kerja (UUCK) dan Peraturan Pemerintah Nomor 5 Tahun 2021 tentang Penyelenggaraan Perizinan Berusaha Berbasis Risiko (PP 5/2021), dikenal wajah baru dari konsep perizinan berusaha di Indonesia, yaitu Perizinan Berusaha Berbasis Risiko, yaitu perizinan berusaha yang disyaratkan kepada pelaku usaha dinilai berdasarkan tingkat risiko kegiatan usaha yang bersangkutan. Sebelum berlakunya UUCK, pendekatan perizinan berusaha di Indonesia masih berupa license approach, yakni pengawasan lebih fokus kepada pemenuhan persyaratan administrasi dalam mendapatkan izin. Setelah berlakunya UUCK, pendekatan perizinan berusaha beralih menjadi pendekatan berbasis risiko (risk-based approach).

TRANSFORMASI

SISTEM OSS (ONLINE

SINGLE SUBMISSION)

DI INDONESIA

Dalam penerapan Perizinan Berusaha Berbasis Risiko, pengawasan lebih dititikberatkan kepada pelaksanaan kegiatan usaha untuk memenuhi standar dan persyaratan suatu kegiatan usaha.1

Sebagai tindak lanjut dari berlakunya PP 5/2021, sejak 2 Juni 2021 hingga 1 Juli 2021, pemerintah telah melakukan uji coba terhadap pembaharuan sistem OSS, yaitu OSS yang berorientasi pada perizinan berusaha berbasis risiko, atau yang dikenal dengan istilah OSS-RBA (risk-based approach).2 _Perizinan

Berusaha Berbasis Risiko melalui Sistem OSS mulai diimplementasikan pada 2 Juli 2021.3 _{Adapun bagi}

pemenuhan komitmen dan permohonan perizinan berusaha baru oleh pelaku usaha yang disampaikan ke sistem OSS setelah tanggal 25 Juni 2021 dan perizinan berusaha (izin usaha yang berlaku efektif) belum dapat diterbitkan oleh sistem OSS sampai tanggal 30 Juni 2021, maka perizinan berusaha tersebut selanjutnya akan diproses berdasarkan Perizinan Berusaha Berbasis Risiko sesuai ketentuan yang diatur dalam PP 5/2021.4_ALH/HAL

1. International Financial Corporation (IFC) merupakan sebuah anak perusahaan dari Bank Dunia. “IFC defines corporate governance as ‘the structures and processes for the direction and control of companies.’” IFC, The Indonesia Corporate Governance Manual: First Edition”, (Jakarta: IFC, 2014), hlm. 30. 2. OECD Principles dibentuk pada tahun 1999 kemudian direvisi pada tahun 2004. Dapat diakses melalui https://oecd.org/. Pengaturan tersebut dapat ditemukan pada: 3. Transparansi diatur dalam, antara lain, Pasal 8 ayat (2) huruf b; Pasal 29 ayat (5); Pasal 66 ayat (1) dan (2); Pasal 67 ayat (1); Pasal 69 ayat (3); Pasal 100 ayat (1) huruf b; Pasal 68 ayat (1); Pasal 75 ayat (2) UU PT. i. Akuntabilitas diatur dalam, antara lain, Pasal 12; Pasal 13; Pasal 14; Pasal 49 ayat (2); Pasal 50; Pasal 56; Pasal 100 ayat (1) huruf a; Pasal 63; Pasal 64; Pasal 92 ayat (1); Pasal 97 ayat (1); Pasal 97 ayat (2); Pasal 97 ayat (3); Pasal 108 ayat (1); Pasal 144 ayat (1); Pasal 114 ayat (2) UU PT. ii. Responsibilitas diatur dalam, antara lain, Pasal 24; Pasal 25; Pasal 74; Pasal 138 ayat (1) UU PT. iii. Independensi diatur dalam Pasal 36 ayat (1); Pasal 85 ayat (4); Pasal 97 ayat (5) huruf c; Pasal 99 ayat (1) huruf b; Pasal 101 ayat (1) UU PT. iv. Kesetaraan dan kewajaran diatur dalam, antara lain, Pasal 3 ayat (1); Pasal 3 ayat (2); Pasal 51; Pasal 52 ayat (1); Pasal 66 ayat (1); Pasal 66 ayat (2); Pasal 102 ayat (1); Pasal 89 ayat (1); Pasal 53 ayat (2); Pasal 82 ayat (4); Pasal 84 ayat (1); Pasal 85 ayat (1); Pasal 61 ayat (1); Pasal 61 ayat (2); Pasal 62 ayat (1); Pasal 62 ayat (2); Pasal 43 ayat (1); Pasal 97 ayat (6); Pasal 114 ayat (6); dan Pasal 138 ayat (3) UU PT. 4. Peraturan yang dikeluarkan oleh OJK lain yang mengatur mengenai Tata Kelola dapat ditemukan di, antara lain, POJK 55/2016 tentang Penerapan Tata Kelola bagi Bank Umum; POJK 21/2015 tentang Penerapan Pedoman Tata Kelola Perusahaan Terbuka; POJK 29/2020 tentang Perubahan Atas POJK 30/2014 tentang Tata Kelola Perusahaan yang Baik Bagi Perusahaan Pembiayaan. 5. Pasal 5, Undang-Undang Nomor 21 Tahun 2011 tentang Otoritas Jasa Keuangan.

Apa yang dimaksud dengan Tata Kelola Perusahaan atau Corporate Governance?

Belum ada satu definisi pun yang secara umum dapat diterima dan diterapkan pada setiap situasi maupun yurisdiksi. Namun, dalam The Indonesia Corporate Governance Manual yang diterbitkan oleh Otoritas Jasa Keuangan (OJK) dan International Financial Corporation (IFC) terdapat definisi bahwa Corporate Governance (CG) sebagai suatu struktur dan proses untuk mengarahkan dan mengendalikan perusahaan.1 _{Terdapat empat prinsip utama untuk}

membentuk suatu Good Corporate Governance (GCG) menurut OECD Principles, yakni: kewajaran dan kesetaraan, responsibilitas, transparansi, dan akuntabilitas.2 _{Terdapat satu asas lagi yang dinilai}

perlu untuk mencapai GCG, yakni independensi. Prinsip GCG ini diperlukan untuk mencapai kesinambungan usaha perusahaan dengan memperhatikan pemegang saham minoritas dan pemangku kepentingan lainnya.

TANYA JAWAB

Apa peraturan perundang-undangan yang mengatur mengenai Tata Kelola Perusahaan yang Baik?

Undang-Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas (UU PT) tidak secara eksplisit mengatur mengenai GCG, tetapi memberikan poin-poin penting dalam penerapan GCG dalam perusahaan.3 _{Terminologi GCG justru}

dapat ditemukan dalam Peraturan Otoritas Jasa Keuangan (POJK), seperti POJK 73/2016 yang mengatur mengenai Tata Kelola Perusahaan yang Baik Bagi Perusahaan Perasuransian dan POJK 29/2020 tentang Perubahan Atas POJK 30/2014 tentang Tata Kelola Perusahaan yang Baik Bagi Perusahaan Pembiayaan.4 _{Hal ini karena OJK}

sebagai lembaga independen, memiliki fungsi untuk menyelenggarakan sistem pengaturan dan pengawasan yang terintegrasi terhadap keseluruhan kegiatan di dalam sektor jasa keuangan,5 _yang

TANYA JAWAB

cenderung membutuhkan kepatuhan hukum yang lebih tinggi. Sehingga, pengaturan mengenai standar GCG yang baik harus dirumuskan terhadap kegiatan-kegiatan perusahaan yang berhubungan dengan jasa keuangan. Selain itu, CG juga dapat ditemukan dalam Keputusan Menteri BUMN KEP-117/M-MBU/2002 tentang Penerapan Praktik GCG pada Badan Usaha Milik Negara (BUMN) memberikan definisi CG, yakni, sebagai suatu proses dan struktur yang digunakan oleh organ BUMN untuk meningkatkan keberhasilan usaha dan akuntabilitas perusahaan guna mewujudkan nilai pemegang saham dalam jangka panjang dengan tetap memperhatikan kepentingan stakeholder lainnya, berlandaskan peraturan perundangan dan nilai-nilai etika.6

Seberapa penting menerapkan Tata Kelola Perusahaan Secara Baik?

Penerapan GCG dalam perusahaan sangatlah penting agar tujuan perusahaan tercapai tanpa merugikan pihak manapun. Prinsip demokrasi satu saham, satu suara, mungkin terbuka untuk disalahgunakan, dan biasanya merugikan

pemegang saham minoritas. Akses ke pengambilan keputusan level Dewan dan posisi Manajemen Senior juga seringkali kurang transparan dan Remunerasi Eksekutif dan Direktur terbuka untuk disalahgunakan. Implementasi GCG memberikan dampak positif pada perusahaan dengan

meningkatnya nilai perusahaan. Hal ini dikarenakan oleh prinsip-prinsip GCG yang mempromosikan adanya transparansi, khususnya terhadap hal-hal yang krusial, seperti laporan keuangan perusahaan, kompetensi Board of Director, mengoptimalkan pengambilan keputusan, sampai meningkatkan motivasi karyawan. Permasalahan seperti penyalahgunaan kewenangan yang merugikan perusahaan dapat dikurangi dengan menerapkan GCG. GCG mendukung investor dan persepsi publik bahwa perusahaan tersebut memiliki kepentingan komersial di hatinya dalam membuat keputusan. Hal ini meningkatkan keyakinan dan nilai perusahaan. Secara jangka panjang, penerapan GCG juga menjadi jaminan terciptanya budaya perusahaan yang baik yang dapat terus menjaga reputasi perusahaan yang berkesinambungan. Dalam perspektif yang lebih luas, GCG juga mendorong terciptanya pasar yang efisien dan konsisten dan bermanfaat bagi negara secara ekonomi. TWK/SPU

6. Pasal 1 huruf a, Keputusan Menteri BUMN KEP-117/M-MBU/2002 tentang Penerapan Praktek Good Corporate Governance pada Badan Usaha Milik Negara (BUMN).

1. https://support.mozilla.org/id/kb/Tentang%20Cookie, diakses pada 21 Juli 2021. 2. https://www.republika.co.id/berita/q45k7h370/kebijakan-privasi-baru-google-batasi-emweb-cookieem, diakses pada 13 Juli 2021. 3. https://support.google.com/adsense/answer/7549925?hl=en, diakses pada 5 Juli 2021. 4. https://tinuiti.com/blog/data-privacy/what-is-a-cookie-and-why-are-third-party-cookies-going-away/, diakses pada 12 Juli 2021. 5. https://www.honda-indonesia.com/privacy-policy, diakses pada 5 Juli 2021.

OPINI

J

ejak digital atau pada beberapa situs umumnya lebih dikenal sebagai cookies, adalah serangkaian teks yang disimpan pada komputer atau

perangkat seseorang oleh situs web yang dikunjungi oleh orang tersebut.1 _{Suatu cookies dapat mencatat}

informasi situs yang telah dikunjungi, barang-barang yang ditambahkan ke keranjang belanja digital, atau informasi yang telah diisi ke dalam formulir digital, seperti nama dan kata sandi.2 _{Cookies juga berfungsi}

agar iklan yang ditampilkan kepada pengguna relevan dan tidak ditampilkan secara repetitif.3

Jejak digital dapat berguna untuk mempermudah pengguna ketika menjelajahi internet. Akan tetapi, pengguna memiliki sedikit kendali atas siapa yang mengumpulkan informasi ini atau ke mana informasi tersebut dikirimkan. Secara sengaja, pengguna dapat menghapus jejak digital dari browser-nya sendiri, tetapi pengguna tidak dapat mengelola atau menghapus jejak digital pada server pihak ketiga yang menyimpan dan mengumpulkan data, misalnya pengelola situs.4 _{Sebagai contoh, laman}

resmi Honda Indonesia memberitahukan bahwa

PERLINDUNGAN JEJAK DIGITAL

BERDASARKAN HUKUM INDONESIA

informasi sehubungan jejak digital yang terdapat pada laman tersebut akan dibagikan kepada penyedia layanan, transfer bisnis, afiliasi, dan rekan bisnis.5 _{Namun pengguna tidak memperoleh}

informasi secara rinci mengenai identitas dari pihak-pihak yang menerima jejak digital tersebut.

Peraturan perundang-undangan di Indonesia tidak memberikan definisi secara spesifik mengenai jejak digital. Peraturan yang memiliki keterkaitan paling erat dengan jejak digital adalah Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana diubah dengan Undang-Undang Nomor 19 Tahun 2016 (UU 11/2008) serta peraturan pelaksananya, yaitu Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/2019), berupa ketentuan mengenai data pribadi. Berdasarkan Pasal 1 angka 29 PP 71/2019, Data Pribadi didefinisikan sebagai setiap data tentang seseorang, baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri, atau dikombinasi

OPINI

dengan informasi lainnya, baik secara langsung maupun tidak langsung, melalui sistem elektronik dan/atau nonelektronik. Berdasarkan ketentuan tersebut, PP 71/2019 memberikan definisi yang sangat luas terhadap Data Pribadi, yang apabila ditinjau sekilas dapat memasukkan jejak digital sebagai bagian dari Data Pribadi.

Akan tetapi, penafsiran tersebut juga harus mempertimbangkan konsep jejak digital itu sendiri. Jejak digital merupakan kumpulan jejak dari semua data digital, mencakup setiap dan semua berkas maupun akun, baik yang disimpan secara lokal di suatu perangkat maupun daring,6 _yang

bersumber dari suatu perangkat yang digunakan untuk mengakses internet—terlepas dari siapa dan berapa banyak orang yang menggunakan perangkat tersebut, maka akan terbentuk 1 (satu) profil saja setelah jejak digital tersebut diolah. Hal tersebut secara prinsip berbeda dengan data pribadi yang cenderung melekat pada diri seseorang.

Terlepas dari perbedaan tersebut, UU 11/2008 mengatur bahwa kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut Data Pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.7 _PP

71/2019 juga mengatur bahwa Penyelenggara Sistem Elektronik8 _{wajib melaksanakan prinsip pelindungan}

Data Pribadi dalam melakukan pemrosesan Data Pribadi, termasuk tetapi tidak terbatas pada pengumpulan Data Pribadi dan wajib dilakukan secara terbatas dan spesifik, sah secara hukum, adil, dan dengan sepengetahuan serta persetujuan dari pemilik Data Pribadi.9 _{Lebih lanjut, Penyelenggara}

Sistem Elektronik wajib menyampaikan informasi kepada pengguna mengenai jaminan privasi dan/ atau perlindungan Data Pribadi.10

Ketentuan yang ada terkesan menitikberatkan pada pemberitahuan dan persetujuan pengguna terhadap pengelolaan data digital, tetapi tidak

menyebutkan ketentuan yang jelas mengenai larangan atas pengumpulan Data Pribadi tertentu dan lebih lanjut tidak ada ketentuan perihal monetisasi jejak digital. Padahal dengan mempertimbangkan definisi Data Pribadi yang sangat luas dan juga perkembangan bisnis saat ini, akan ada kemungkinan banyaknya informasi pribadi pengguna yang dapat dihimpun, dimonetisasi, dan berpotensi disalahgunakan. UU 11/2008 telah memberikan hak bagi setiap orang yang merasa hak pribadinya dilanggar11 _atau

dirugikan sehubungan dengan penyelenggaraan sistem elektronik dan/atau menggunakan teknologi informasi2 _{untuk mengajukan gugatan. Namun}

ketentuan tersebut akan sangat sulit untuk

diimplementasikan pada praktiknya karena terdapat kecenderungan bahwa pengguna tidak menyadari jejak digital apa saja yang ditinggalkan, terutama jejak digital pasif, dan oleh siapa jejak digital tersebut digunakan hingga menimbulkan kerugian. Pada akhirnya, diperlukan suatu ketentuan khusus dalam peraturan perundang-undangan mengenai bagaimana cara menghimpun, mengolah, batasan, dan larangan penggunaan data digital pribadi pada umumnya dan jejak digital pada khususnya. Tidak cukup jika hanya mengatur upaya hukum apabila terjadi penyalahgunaan jejak digital, tetapi perlu dibuat suatu ketentuan yang bersifat larangan dan mengatur ketentuan preventif agar perlindungan atas jejak digital dan hak pribadi setiap orang dapat terjaga dan pemanfaatannya dilakukan secara maksimal untuk tujuan yang memungkinkan pengguna mendapatkan pengalaman penjelajahan online yang lebih baik. DRP/SCN

6. Sandi S. Varnando, Your Digital Footprint Left Behind at Death: An Illustration of Technology Leaving the Law Behind, Vol. 74-No. 3 Spring 2014, halaman 721. 7. Pasal 26 ayat (1) UU 11/2008. 8. Berdasarkan Pasal 1 angka 4 PP 71/2019, Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain. 9. Pasal 14 PP 71/2019. 10. Pasal 29 PP 71/2019. 11. Pasal 26 ayat (2) UU 11/2008. 12. Pasal 38 ayat (1) UU 11/2008.

P

erlindungan Data Pribadi adalah isu yang sangat penting dalam era digital dan perlu untuk diberikan landasan hukum sebagai bentuk pengakuan, juga untuk menjamin hak warga negara atas perlindungan privasi. Perlindungan Data Pribadi di Indonesia saat ini diatur dalam Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016) dan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/2019).

Namun, untuk memberikan kerangka hukum yang lebih menjamin perlindungan data pribadi, Pemerintah sudah secara resmi menyerahkan Rancangan Undang-Undang Perlindungan Data Pribadi Final (RUU PDP) pada tanggal 24 Januari 2020 kepada Dewan Perwakilan Rakyat melalui

KUPAS PERATURAN

Surat Presiden Nomor R-05/Pres/01/2020.1 _{RUU PDP}

memberikan kepastian hukum dengan menjamin hak-hak untuk Pemilik Data Pribadi, antara lain: (i) hak untuk meminta informasi mengenai tujuan

mendasar di balik perolehan dan pemanfaatan data pribadi;

(ii) hak untuk mengakses data pribadi; (iii) hak untuk melengkapi, memperbarui, atau

memperbaiki data pribadi;

(iv) hak untuk mengakhiri, menghapus, dan/atau memusnahkan data pribadi;

(v) hak untuk menarik persetujuan untuk penggunaan data pribadi;

(vi) hak untuk menunda atau membatasi pemrosesan data pribadi; dan

(vii) hak untuk mengajukan tuntutan hukum dan menerima ganti rugi sehubungan dengan pelanggaran data pribadi.2

1. https://kominfo.go.id/content/detail/24039/siaran-pers-no-15hmkominfo012020-tentang-presiden-serahkan-naskah-ruu-pdp-ke-dpr-ri/0/siaran_ pers

2. RUU PDP, Pasal 4-14.

RUU PERLINDUNGAN DATA

PRIBADI 2020: TINDAK LANJUT

PERMENKOMINFO 20/2016

Sebagai catatan, terdapat beberapa pengecualian dalam hak-hak tersebut, contohnya untuk kepentingan pertahanan dan keamanan nasional, proses penegakan hukum, kepentingan umum, pengawasan sektor jasa keuangan, dan penelitian ilmiah resmi yang dilakukan oleh negara.3

Untuk memastikan bahwa hak-hak Pemilik Data Pribadi yang disebutkan di atas dapat terlindungi, RUU PDP juga mengatur bahwa pihak Pengendali Data Pribadi wajib menjaga kerahasiaan Data Pribadi dan harus terlebih dulu mendapatkan persetujuan dari Pemilik Data secara tertulis maupun lisan melalui sarana elektronik atau non-elektronik sebelum dapat melakukan pemrosesan data. Untuk mendapatkan persetujuan tersebut, Pengendali Data Pribadi wajib menyampaikan informasi mengenai legalitas dan tujuan pemrosesan, jenis serta relevansi data pribadi, periode retensi dokumen, rincian mengenai informasi yang dikumpulkan, jangka waktu pemrosesan, dan hak Pemilik Data Pribadi. Namun, persetujuan tersebut dikecualikan dalam beberapa hal sebagai berikut:

(i) Pemenuhan perjanjian dalam hal Pemilik Data merupakan pihak atau pemenuhan permintaan Pemilik Data untuk mematuhi perjanjian; (ii) Pemenuhan kewajiban hukum Pengendali Data

Pribadi sesuai dengan ketentuan perundang-undangan;

(iii) Pemenuhan kepentingan Pemilik Data yang sah;

(iv) Pelaksanaan kewenangan Pengendali Data; (v) Pemenuhan kewajiban Pengendali Data dalam

pelayan publik; dan/atau

(vi) Pemenuhan kepentingan yang sah lainnya dengan memperhatikan kepentingan Pengendali Data dan Pemilik Data. Lebih lanjut, RUU PDP juga mengatur bahwa Pengendali Data Pribadi dan Prosesor Data Pribadi wajib untuk menunjuk Petugas Perlindungan Data Pribadi atau yang biasa dikenal sebagai Data Protection Officer dalam hal tertentu, contohnya

untuk kepentingan pelayanan publik/umum, untuk kegiatan inti Pengendali Data Pribadi yang membutuhkan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar, dan untuk pemrosesan Data Pribadi yang bersifat spesifik dan/atau berkaitan dengan tindak pidana. Petugas Perlindungan Data Pribadi bertugas untuk menginformasikan dan menyarankan Pengendali Data atau Prosesor Data sehubungan dengan kepatuhan terhadap RUU PDP, memantau kepatuhan terhadap RUU PDP, dan bekerja sama dengan pihak-pihak terkait perlindungan data pribadi.

RUU PDP juga mengatur mengenai sanksi administratif untuk berbagai pelanggaran melalui peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi, ganti kerugian, dan/atau denda administratif. Selain sanksi administratif, terdapat beberapa pelanggaran yang dapat dikenakan sanksi pidana maupun hukuman penjara, contohnya pengumpulan data pribadi yang menimbulkan kerugian bagi Pemilik Data, pengungkapan dan pemanfaatan data pribadi yang melanggar hukum, pemalsuan data pribadi untuk tujuan komersial, dan perdagangan atau pembelian data pribadi yang melanggar hukum. SPA/YAN

3. RUU PDP, Pasal 16.

D

alam penggunaan Teknologi Informasi, perlindungan data pribadi secara umum dianggap sebagai bagian dari hak pribadi (privacy rights), yang memiliki arti sebagai berikut: (i) hak pribadi adalah hak untuk menikmati kehidupan

TELAAH

PERLINDUNGAN HUKUM BAGI

MASYARAKAT TERHADAP

PENYALAHGUNAAN DATA PRIBADI

pribadi dan bebas dari segala macam gangguan; (ii) hak pribadi adalah hak untuk dapat berkomunikasi dengan orang lain tanpa tindakan memata-matai; (iii) hak pribadi adalah hak untuk memantau akses informasi tentang kehidupan pribadi dan data seseorang.

Informasi pribadi mencakup segala sesuatu yang yang berkaitan dengan data pribadi seseorang, misalnya data biometrik seperti tinggi badan, berat badan, golongan darah, fingerprint, retina, DNA, atau kondisi kesehatan lainnya, atau data perjalanan imigrasi, riwayat kriminal, pendidikan, rekening bank, nomor telepon, dan data pribadi lainnya yang melekat pada diri individu. Intinya, ketika informasi tidak terikat dengan individu yang memiliki informasi tersebut, maka informasi tersebut dapat dikatakan bukan informasi pribadi.

Seiring dengan perkembangan teknologi, penyalahgunaan dan pencurian data pribadi merupakan fenomena yang sering terjadi. Salah satu penyebab dari penyalahgunaan dan pencurian data pribadi adalah kelalaian kita sendiri sebagai masyarakat dalam menghadapi informasi kita sendiri, terutama dalam melakukan aktivitas sehari-hari ketika menggunakan internet.

Beberapa contoh yang sering terjadi adalah (i) memberikan data pribadi kepada penjual pada saat membeli kartu SIM perdana; (ii) pada saat mengunduh aplikasi; (iii) melampirkan data pribadi dalam platform atau bentuk lain, yang dapat disalahgunakan oleh berbagai pihak dan berpotensi merugikan pemilik data.

Oleh karena itu, Pasal 26 ayat 1 Undang-undang Nomor 11 Tahun 2008 yang telah diubah dengan Undang-undang Nomor 19 Tahun 2016 (UU ITE), mengatur bahwa penggunaan informasi melalui media elektronik mengenai data pribadi seseorang harus dilakukan. Dengan persetujuan yang bersangkutan, kecuali ditentukan lain oleh peraturan perundang-undangan. Jika ketentuan ini dilanggar, maka setiap orang yang haknya dilanggar berhak mengajukan ganti rugi kepada pihak yang menggunakan data pribadinya tanpa persetujuan. Perlindungan Pribadi juga diatur dalam Peraturan Menteri Informasi dan Komunikasi Nomor 20 Tahun

2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016) yang menjelaskan bahwa pemilik data dapat menyampaikan pengaduan kepada Kementerian Komunikasi dan Informatika untuk kepentingan kegagalan untuk melindungi kerahasiaan data pribadi.

Pemerintah juga dapat mengenakan sanksi administratif kepada pihak yang menyalahgunakan data pribadi berupa:

a. Peringatan lisan; b. Peringatan tertulis;

c. Penghentian sementara kegiatan; dan/atau d. Pengumuman situs dalam jaringan (website

online).

Dengan adanya landasan hukum sanksi dan hukuman terhadap pelanggar, masyarakat khususnya pemilik data saat ini diharapkan dapat memberikan rasa aman dan nyaman bagi pemilik data. Diharapkan dengan adanya undang-undang dapat mencegah terjadinya tindak pidana penyalahgunaan dan pencurian data dan informasi pribadi. KBA/FDH

1. Michael Haenlein dan Andreas Kaplan, “A Brief History of Artificial Intelligence: On the Past, Present, and Future of Artificial Intelligence”, dalam California Management Review, (2019), hlm. 1 in Christoph Bartneck, et. al., “What is AI?” in An Introduction to Ethics in Robotics and AI, (New York: Springer, 2021), hlm. 5-16.

LAB HUKUM

H

ukum adalah suatu alat yang bersinggungan dengan hampir semua aspek kehidupan, termasuk pendidikan, interaksi sosial, dan bisnis. Di era ini, saat kemajuan teknologi menjadi hal yang tidak dapat dilepaskan dari kehidupan masyarakat dunia, tidak jarang muncul pertanyaan-pertanyaan tentang sejauh mana perubahan dalam dunia teknologi dapat memengaruhi hukum. Atau, apakah hukum dapat mengatur suatu hal yang belum pernah diatur, yaitu Kecerdasan Buatan atau Articial Intelligence (AI). Haenlein dan Kaplan mendefinisikan AI sebagai, “kemampuan sistem untuk menafsirkan data eksternal dengan benar, untuk belajar dari data tersebut, dan menggunakan pembelajaran tersebut untuk mencapai tujuan dan tugas tertentu melalui adaptasi yang fleksibel.”1 _{Artinya, kemampuan yang}

diharapkan dimiliki AI serupa dengan kemampuan manusia, seperti persepsi visual, pengenalan suara, pengambilan keputusan, dan penerjemahan antarbahasa. Misalnya, mobil self-driving dan chatbots adalah AI. Di bidang hukum, bentuk AI

MELAMPAUI

REGULASI:

ARTIFICIAL

INTELLIGENCE

DALAM HUKUM

KONTRAK

biasanya merupakan sistem untuk penyusunan kontrak, peninjauan kontrak, analisis kontrak, prediksi litigasi, dan penelitian hukum yang memberikan percepatan kinerja dan efisiensi dalam industri hukum.

Hal ini menimbulkan berbagai pertanyaan di dalam benak. Bisakah di kemudian hari AI diharapkan untuk mengawasi dan menegakkan suatu kontrak atau perjanjian yang telah ditulisnya?

Sampai saat ini, sistem AI yang ditawarkan masih terbatas pada tujuan yang disebutkan di atas. Namun, tidak tertutup kemungkinan bahwa suatu saat AI dapat mengawasi dan menegakkan kontrak yang ditulisnya. Misalnya, penggunaan AI dalam perjanjian transaksi. Dengan data yang telah dikumpulkan, AI dapat dengan mudah mendeteksi pihak mana yang tidak melaksanakan perjanjian tersebut atau melaksanakan perjanjian tersebut dengan cara yang tidak jujur. AI juga dapat

2. Kira, “How it Works?”, https://kirasystems.com/how-kira-works/. 3. Industrywired, “10 Legal AI Startups Transforming the Way Legal Industry Operates”, https://industrywired.com/10-legal-ai-startups-transforming-the-way-legal-industry-operates/. 4. Gustav Radbruch, Main Features of Legal Philosophy, dalam Anton-Hermann Chroust, “The Philosophy of Law of Gustav Radbruch”, dalam The Philosophical Review, Vol. 53, No. 1, (Januari 1944), hlm. 23-45. 5. The guiding principles of the framework are: (i) decisions made by AI should be explainable, transparent, and fair; (ii) AI systems should be human-centric. See, PDPC, “Singapore’s Approach to AI Governance”, https://www.pdpc.gov.sg/Help-and-Resources/2020/01/Model-AI-Governance-Framework. 6. Beberapa undang-undang yang terkait dengan masalah AI sedang dirancang di Amerika Serikat, seperti Alabama dengan RUU mereka tentang pembentukan Dewan Teknologi Lanjutan dan Kecerdasan Buatan Alabama untuk meninjau dan memberi saran kepada Gubernur, Badan Legislatif, dan pihak berkepentingan lainnya tentang penggunaan dan pengembangan teknologi canggih dan kecerdasan buatan. Inggris Raya memiliki panduan mengenai Artificial Intelligence yang disediakan oleh Departemen Digital, Budaya, Media dan Olahraga, tentang etika data dan Institut Alan Turing, tentang desain dan implementasi sistem AI yang bertanggung jawab. Di RRC, regulasi AI diatur terutama oleh Dewan Negara RRC pada 8 Juli 2017 “Rencana Pengembangan Kecerdasan Buatan Generasi Selanjutnya” (Dokumen Dewan Negara No. 35).

LAB HUKUM

mengidentifikasi klausul mana yang dilanggar oleh suatu pihak serta hukuman atau kompensasi apa yang harus ditanggung pihak tersebut karena pelanggaran kontrak yang telah dilakukannya. Salah satu sistem AI terkemuka saat ini adalah Kira Systems,2 _{yaitu perangkat lunak AI yang mengklaim}

bahwa sistem mereka dapat mengidentifikasi, mengekstrak, dan menganalisis konten dalam kontrak dan dokumen legal dengan akurasi dan kemanjuran yang tidak tertandingi. Saat ini, Kira Systems digunakan oleh firma-firma hukum global, seperti Hogan Lovells, Gorissen Federspiel, Osler, Shapman dan Cutler LLP, Loyens and Loeff, dan Nagashima Ohno & Tsunematsu.

Tidak hanya Kira Systems, terdapat beberapa

perusahaan start-up AI Legal lainnya seperti Leverton, ContractPod, dan ThoughtRiver.3 _{Dengan semakin}

bertambahnya perusahaan-perusahaan start-up AI Legal beserta firma-firma hukum yang menggunakan AI dalam praktiknya, muncul pertanyaan selanjutnya, yaitu: Di mana batasan moral dalam penegakan hukum yang dilakukan oleh AI?

Berbeda dengan hakim yang mendengarkan kedua belah pihak sebelum menjatuhkan suatu keputusan, AI dapat dengan mudah mengkalkulasi dan memutuskan suatu langkah berdasarkan data dan langsung memperhitungkan risikonya. Tidak akan ada pertimbangan tentang “itikad baik” atau niat dari perbuatan suatu pihak. Jadi pertimbangannya akan secara langsung ditelaah melalui perbuatan yang terjadi dan dampak dari perbuatan tersebut. Seperti yang didalilkan Gustav Radbruch dalam karyanya the Concept of Law, hukum didefinisikan

melalui tiga pilar, yakni keadilan, utilitas, dan kepastian,4 _{apakah keputusan}

yang didasarkan pada data dan pertimbangan oleh AI dapat memenuhi gagasan hukum tersebut?

Beberapa yurisdiksi telah berupaya untuk menciptakan kerangka kerja yang relevan untuk mengatur pertumbuhan AI yang berkelanjutan, yaitu PDPC Singapura yang merilis Model AI Governance Framework edisi pertama pada tahun 2019 yang diperbarui pada tahun 2020,5 _{Brasil dan Skotlandia yang}

baru saja meluncurkan strategi AI mereka, dan UE tempat Komisi Eropa menerbitkan rancangan peraturannya untuk AI. Namun, belum ada satupun rencana tersebut yang telah diundangkan.6 _Pada

2019, terdapat 42 negara yang mendukung OECD Principles on AI. Prinsip-prinsip ini tidak mengikat negara-negara anggota, tetapi memberikan rasa urgensi untuk memiliki visi dan kerangka kerja yang sama untuk mendukung pertumbuhan AI dan menunjukkan bahwa AI perlu diawasi.

Sementara perdebatan terus berjalan, teknologi terus berkembang. Lebih banyak pertanyaan mungkin muncul selama kemampuan AI terus didorong untuk memuaskan rasa ingin tahu yang tak ada habisnya: seberapa jauh AI benar-benar bisa bertumbuh? Pada akhirnya, ketika kemajuan teknologi tidak dapat lagi untuk dihindari, AI akan berintegrasi dengan hukum atau menumpaskan hukum itu sendiri. SPU

W

histle blowing system menurut Bab IV huruf (a) Peraturan Menteri Badan Usaha Milik Negara Nomor: Per-01/MBU/01/2015 tentang Pedoman Penanganan Benturan Kepentingan di Lingkungan Kementerian Badan Usaha Milik Negara (Permen BUMN 01/2015) adalah mekanisme pelaporan yang dibuat oleh Pegawai ASN Kementerian Badan Usaha Milik Negara atau pihak-pihak lainnya (Pegawai Badan Usaha Milik Negara, Mitra Kerja, dan Masyarakat) yang tidak memiliki keterlibatan secara langsung, yang mengetahui adanya atau potensi adanya Benturan Kepentingan di Kementerian Badan Usaha Milik Negara dan atas penanganan pelaporan tersebut dijaga kerahasiaannya.

Tahapan Pelaporan terhadap Dugaan Adanya Whistle blowing

Ketentuan Bab III huruf (A) poin 1 Peraturan Menteri Badan Usaha Milik Negara Nomor: Per-13/ MBU/10/2015 tentang Pedoman Pengelolaan Sistem Pelaporan Dugaan Pelanggaran di Lingkungan Kementerian Badan Usaha Milik Negara (Permen

KIAT

TATA CARA PELAPORAN WHISTLE

BLOWING PADA LINGKUNGAN

BADAN USAHA MILIK NEGARA

BUMN 13/2015) menjelaskan bahwa Tahapan Pengelolaan Sistem Pelaporan Dugaan Pelanggaran setidaknya meliputi (a) kriteria dan data laporan dugaan pelanggaran, (b) waktu untuk melaporkan pelanggaran, (c) pelaporan anonim, dan (d) mekanisme penyampaian pelaporan.

Kriteria dan Data Laporan Dugaan Pelanggaran sebagaimana dimaksud pada poin (a) adalah pelanggaran yang dilaporkan, yang setidaknya diwujudkan dalam bentuk korupsi dan benturan kepentingan (seperti menerima gratifikasi, menyalahgunakan jabatan, bekerja lain di luar pekerjaan pokoknya (outside employment), dan sebagainya – Bab II huruf A Permen BUMN 01/2015). Oleh karena itu, laporan dugaan pelanggaran harus memenuhi unsur-unsur:

a. Adanya dugaan pelanggaran. b. Lokasi dugaan pelanggaran terjadi. c. Kapan dugaan pelanggaran terjadi.

d. Siapa pegawai Kementerian Badan Usaha Milik Negara yang melakukan dugaan pelanggaran. e. Bagaimana dugaan pelanggaran dilakukan.

1. Lihat poin 1 dan poin 2 huruf (d) mengenai Mekanisme Penyampaian Pelaporan Bab III Permen BUMN 13/2015. 2. Lihat poin 2 hingga poin 5 huruf (A) Bab III Permen BUMN 13/2015.

Selain itu, laporan dugaan pelanggaran harus disertai dengan Bukti Awal yang Cukup, sekurang-kurangnya berupa data atau dokumen yang relevan dan/atau gambar atau rekaman yang relevan. Selanjutnya, mekanisme penyampaian laporan diatur. Pelaporan dapat dilakukan melalui infrastruktur penyampaian laporan seperti telepon, SMS center, website, e-mail, faksmili, surat resmi milik Kementerian Badan Usaha Milik Negara yang ditujukan kepada Inspektur dan sebagainya. Selain hal-hal di atas, pelaporan dugaan pelanggaran juga dapat dilakukan dengan cara melaporkan melalui jalur formal (melalui atasan langsung atau fungsi terkait).1

Setelah membuat laporan dugaan pelanggaran, langkah selanjutnya adalah mencatat, mengkaji, dan secara khusus mengidentifikasi sifat pelanggaran dan merumuskan mekanisme penanganan dugaan pelanggaran tersebut. Mekanisme juga harus mencakup penerusan kepada Direksi dan Dewan Komisaris/Dewan Pengawas terkait, dan pengarsipan selanjutnya.2

Apabila tahapan-tahapan sebagaimana di atas telah dilakukan, maka dapat pula dilakukan penanganan lebih lanjut pelaporan dugaan pelanggaran sebagaimana dijelaskan dalam Bab III huruf (B) Permen 13/2015, yaitu dengan melaksanakan audit investigasi dan audit dengan tujuan tertentu. Audit investigasi dimaksudkan untuk dugaan pelanggaran yang mengindikasikan tindak pidana korupsi, sementara audit dengan tujuan tertentu

dimaksudkan untuk dugaan pelanggaraan yang mengindikasikan adanya suatu penyimpangan yang merugikan keuangan negara, penyimpangan kepegawaian, pengadaan barang dan jasa, atau pelanggaran lain yang bukan tindak pidana korupsi. Kesimpulannya, pemberlakuan Permen 01/2015 dan Permen 13/2015 khususnya pada lingkungan Kementerian Badan Usaha Milik Negara telah memberikan jaminan kerahasiaan kepada setiap Pelapor yang membuat laporan mengenai adanya indikasi pelanggaran di Kementerian Badan Usaha Milik Negara. Selain itu, kedua peraturan tersebut secara rinci menerangkan langkah-langkah yang dapat dilakukan untuk membuat atau mengajukan laporan mengenai dugaan yang telah disebutkan di atas. Hal tersebut secara jelas melindungi identitas pelapor di Kementerian BUMN. Menyiapkan mekanisme yang tepat akan sangat membantu untuk mempromosikan transparansi oleh pejabat di BUMN. MAD/FMP