Indonesia memang sudah punya sejumlah hukum yang melindungi kerahasiaan data pribadi. Dalam UU ITE, diatur bahwa penggunaan data pribadi hanya bisa dilakukan berdasarkan persetujuan orang yang bersangkutan, atau diharuskan berdasarkan peraturan perundang-undangan yang berlaku.
Terdapat juga UU Administrasi Kependudukan yang menyatakan: siapapun yang menyebarkan data pribadi tanpa hak, akan dihukum penjara 2 tahun atau denda 25 juta rupiah. Ketentuan perlindungan data pribadi juga tersebar dalam dokumen hukum lain, seperti Peraturan Menteri Kominfo, serta aturan Bank Indonesia tentang Layanan Keuangan Digital (LKD).
Perlindungan Belum Komprehensif
Meski Indonesia sudah punya hukumnya, tapi perlindungan data pribadi belum komprehensif. Penilaian itu disampaikan oleh pengajar Fakultas Hukum Universitas Indonesia, Setyawati Fitri Anggraeni, lewat makalah berjudul Polemik Pengaturan Kepemilikan Data Pribadi, Urgensi untuk Harmonisasi dan Reformasi Hukum di Indonesia (Jurnal Hukum & Pembangunan 48 No. 4, 2018).
Setyawati menyebut, saat ini masih ada aturan hukum yang secara implisit mengizinkan pengalihan hak milik data pribadi, seperti aturan Bank Indonesia tentang LKD. Aturan itu menetapkan bahwa data pribadi yang diperoleh agen LKD adalah hak milik Penyelenggara LKD.
Padahal, menurutnya, hak milik seharusnya tetap berada di tangan individu sebagai subjek data, bukan malah dipindahkan ke lembaga atau perusahaan. Hukum yang ada sekarang baru sekedar menyatakan perlindungan saja, tapi belum mengatur secara rincitentang bagaimana cara melakukan perlindungan tersebut.
Belajar dari Uni Eropa
Setyawati menyebut, contoh perlindungan data pribadi yang komprehensif bisa dilihat dariGeneral Data Protection Regulation (GDPR) milik Uni Eropa. GDPR mengatur secara detil bahwa setiap perusahaan atau lembaga pengumpul data pribadi wajib menyampaikan tujuannya secara transparan kepada individu subjek data.
Individu juga berhak meminta informasi terkait penyimpanan, pemanfaatan, pemindahtanganan, sampai penghapusan data pribadi mereka. Tak hanya canggih di atas kertas, GDPR ini sudah nyata-nyata diberlakukan dengan tegas. Awal Januari 2019 lalu misalnya, GDPR telah menjatuhkan denda Rp800 miliar untuk Google karena menggunakan data pribadi secara tidak sah.
