Pusat Data Disimpan di Luar Negeri, ELSAM: Itu Tidak Masalah

Jakarta, Cyberthreat.id – Dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE) disebutkan, sistem elektronik dan data elektronik (baca: pusat data/data center) dapat disimpan  luar negeri.

Ketentuan itu disebutkan pada Pasal 21 Ayat 1, seperti berikut:

“Penyelenggara Sistem Elektronik Lingkup Privat dapat melakukan pengelolaan, pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik di wilayah Indonesia dan/atau di luar wilayah Indonesia.”

Saat disinggung mengenai hal tersebut, Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar mengatakan, ketentuan regulasi soal penyimpanan pusat data tersebut dinilai sudah tepat.

Menurut dia, antara pusat data dan perlindungan data pribadi adalah dua hal yang berbeda. Pada prinsipnya, kata dia, data bisa diletakkan di mana saja selama Indonesia memiliki regulasi yang mengatur perlindungan data pribadi secara komprehensif dan kuat.

Berita Terkait:

• Duh, Pemerintah Izinkan Data Indonesia di Luar Negeri
• ELSAM Nilai PP 71 Soal PSTE Hanya Peraturan Transisi

“Yang harus diperhatikan secara jelas adalah apa itu hak pemilik data, apa itu kewajiban dari penyimpan dan pemroses data. Jadi, meskipun data disimpan di mana pun sepanjang publik memiliki kendali atas data itu, itu tidak masalah,” kata Wahyudi kepada Cyberthreat.id, Jumat (25 Oktober 2019).

Ia mengatakan, prinsip hukum perlindungan data pribadi harus bersifat ekstra teritorial secara jangkauan. “Bahwa data pribadi hanya bisa ditransfer ke negara tujuan transfer yang memiliki hukum yang minimal setara dengan negara pengirim,” kata Wahyudi.

Ia kemudian mencontohkan regulasi PDP Eropa, dikenal dengan GDPR, yang lebih mengatur mekanisme transfer data dan bagaimana hukum itu bisa menjangkau data yang berada di luar wilayah yuridiksi hukumnya.

“Penyimpan data harus terikat karena yang memegang kendali adalah pemilik data itu sendiri. Jadi, di mana pun data itu berada, pemilik data bisa tetap melakukan kontrol atas data itu berdasarkan pada UU PDP di negaranya,” kata Wahyudi.

Oleh karenaya, “RUU PDP harus sepenuhnya memenuhi prinsip-prinsip yang mengatur tentang legal ground processing data itu, mengatur tentang hak pemilik data, apa saja kewajiban penyimpan dan pemroses data, secara jelas, termasuk bagaimana tranfer datanya,” kata dia.

Sebelumnya, sejumlah komunitas pelaku industri teknologi informasi dan komunikasi menyoroti tentang pusat data yang bisa disimpan di luar negeri, terutama Pasal 21 Ayat 1.

“Dengan bunyi ayat di atas, maka yang akan terjadi adalah negara tidak akan dapat melindungi “data kita” (data masyarakat Indonesia),” demikian pernyataan bersama mereka pada 17 Oktober lalu.

“Karena pemerintah memberikan lampu hijau kepada Penyelenggara Sistem Elektronik Lingkup Privat dan aplikasi-aplikasi yang berasal dari negara lain untuk bisa menyimpan data di luar wilayah Indonesia.”

“Dan, itu berarti isi revisi PP Nomor 82/2012 (kini telah diundangkan menjadi PP Nomor 71/2019, red) sangat bertentangan dengan arahan Presiden (Joko Widodo),” tulis mereka.

Pernyataan pers bersama itu disampaikan oleh Indonesia Data Center Provider Organization (IDPRO), Asosiasi Cloud Computing Indonesia (ACCI), Asosiasi Penyelenggara Jasa Internet Indonesia (APJII), Federasi Teknologi Informasi Indonesia (FTII), Asosiasi Peranti Lunak Telematika Indonesia (ASPILUKI), Indonesia ICT Institute, dan induk asosiasi sektor ICT Indonesia, Masyarakat Telematika Indonesia (MASTEL).

Presiden Jokowi dalam peresmian Palapa Ring 14 Oktober lalu, empat hari setelah PP 71 diundangkan, mengatakan bahwa masyarakat untuk berhati-hati karena saat ini aplikasi yang berasal dari negara lain diam-diam telah mengumpulkan data dari masyarakat Indonesia dengan tujuan untuk mengetahui perilaku masyarakat Indonesia sebagai pasar/konsumen bagi produk-produk dari negara lain.

"Jangan sampai data kita, selera konsumen, selera pasar diketahui oleh negara lain, sehingga mereka bisa menggerojoki kita dengan produk-produk sesuai selera yang kita inginkan. Hati-hati dengan ini," tegas Presiden.

Ketua Umum FTII Andi Budimansyah menilai revisi PP 82 itu justru menutup kesempatan bagi warga negaranya untuk mendapatkan perlindungan data. "Dan, Kedaulatan negara sangat dipertaruhkan apabila revisi PP 82/2012 diundangkan tanpa kita memiliki regulasi perlindungan data yang memadai,” kata dia.

Ketua Umum APJII Jamalul Izza mengatakan, di saat negara maju sangat ketat melindungi data negaranya untuk tetap di wilayahnya seperti yang dilakukan oleh Uni Eropa lewat EU GDPR, Indonesia malah membuat aturan yang bertolak belakang.

"Rencana revisi PP 82/2012 ini, selain merugikan dari sisi ekonomi nasional, tentu juga akan menjadi tantangan tersendiri bagi penegakan kedaulatan negara dan penegakan hukum. Mohon dengan sangat perhatikanlah masukan kami sebagai rakyat digital Indonesia,” tutur dia.

Apakah pusat data tak terikat hukum?

Menyangkut penyimpanan data tersebut, pemerintah telah membentengi di Pasal 21 Ayat 2, di mana ada kontrol dan pengawasan dari kementerian atau lembaga penegak hukum.

“Dalam hal Sistem Elektronik dan Data Elektronik dilakukan pengelolaan, pemrosesan, dan/atau penyimpanan di luar wilayah Indonesia, Penyelenggara Sistem Elektronik Lingkup Privat wajib memastikan efektivitas pengawasan oleh Kementerian atau Lembaga dan penegakan hukum.”

Selanjutnya, pada ayat ke-3 juga disebutkan bahwa ada kewajiban dari PSTE Privat untuk memberikan akses data dalam rangka penegakan hukum.

“Penyelenggara Sistem Elektronik Lingkup Privat wajib memberikan Akses terhadap Sistem Elektronik dan Data Elektronik dalam rangka pengawasan dan penegakan hukum sesuai dengan ketentuan peraturan perundangundangan.”

Dan, pada ayat ke-4 ditambahkan lagi:

“Ketentuan mengenai pengelolaan, pemrosesan, dan penyimpanan Sistem Elektronik dan Data Elektronik bagi Penyelenggara Sistem Elektronik Lingkup Privat di sektor keuangan diatur lebih lanjut oleh otoritas pengatur dan pengawas spktor keuangan.”