Indonesia memerlukan regulasi terkait perlindungan data pribadi. Tambah lagi, Indonesia telah membuat Kartu Tanda Penduduk berbasis nasional atau biasa dikenal e-KTP. Karena keberadaan e-KTP memudahkan orang-orang untuk mengakses data pribadi orang lain melalui internet. Sehingga, perlindungan data dianggap mendesak dibuat. Demikian dikatakan Pakar Telekomunikasi Malaysia Abu Bakar. Mantan dekan Fakultas Hukum Universitas Malaya ini mengatakan keinginan untuk membuat sebuah undang-undang tentang perlindungan data pribadi itu sendiri sudah bermula sejak tahun 1999. Latar belakang munculnya pembuatan undang-undang tentang perlindungan tersebut karena faktor keamanan. Penduduk Malaysia ingin data pribadi mereka aman dari tangan-tangan yang tak bertanggung jawab. Apalagi Malaysia juga memiliki Identitas Nasional laiknya Indonesia. Selain hal tersebut, faktor diperlukannya perlindungan data adalah Malaysia sebagai anggota Asean Pacific Economy Countries (APEC). APEC menghendaki negara APEC memberikan perlindungan kepada data pribadi. Berdasarkan pemahaman tersebut, Malaysia segera membuat draf undang-undang yang dimulai sejak tahun 2000. Rancangan ini dikeluarkan oleh Kementerian Tenaga Air dan Komunikasi. Lantaran banyak pertentangan dari berbagai pihak mengenai rancangan tersebut, akhirnya konsep baru pun dibentuk. Alhasil, pemerintah Malaysia menunjuk Profesor Munir membuat konsepnya. Setelah digodok selama 2 tahun, pada 2010 Malaysia telah memiliki undang-undang mengenai perlindungan data pribadi, yaitu Personal Data Protection Act 2010. Munir pun membeberkan enam prinsip yang terkandung dalam Personal Data Protection Act 2010. Prinsip pertama adalah prinsip umum. Menurutnya, setiap negara harus mengatur mengenai hal umum, contohnya mengenai persetujuan. Artinya, pemberian data pribadi kepada pihak lain perlu mendapatkan persetujuan dari orang yang memilikinya. Prinsip kedua adalah disclosure pinciple. Prinsip ini mengatur mengenai tujuan pengumpulan data. Pengumpulan data tersebut harus spesifik. Artinya, data yang diperoleh tidak boleh digunakan untuk tujuan lain, kecuali pemilik data menyetujui si pemegang data untuk menggunakannya ke pihak lain. Munir pun mencontohkan peminjaman kredit bank. Bank memiliki kewenangan untuk menghimpun data nasabahnya untuk tujuan pemberian kredit. Namun, bank tidak dapat memberikan data tersebut kepada pihak lain untuk tujuan lain. Prinsip ketiga yang harus ada dalam perlindungan data adalahsecurity principle. Prinsip ini menghendaki perusahaan untuk melindungi data tersebut seperti dari pencurian, hack, dan kebakaran. “Intinya memastikan data tersebut aman,” ucap Munir. Namun, undang-undang di Malaysia itu tidak menentukan standard keamanannya. Undang-undang memberikan kebebasan kepada institusi dalam menentukan ukurannya. Namun, undang-undang tetap memberikan unsur-unsur yang harus diperhatikan dalam keamanan tersebut, seperti jumlah data yang dikumpul, lokasi data, dan kemampuan operator. Tidak diaturnya standar ini dalam undang-undang karena Munir memperhatikan perusahaan kecil. Munir merasakan tidak adil jika perusahaan kecil juga dibebankan pengadaan sistem yang mahal, sementara data yang dimiliki masih terlalu sedikit. “Jadi, undang-undang tidak menetapkan standard tersebut,” tuturnya. Hal lain yang perlu diperhatikan adalah prinsip retensi. Prinsip ini mengatur mengenai jangka waktu suatu data dapat dimusnahkan.
Jika data tersebut sudah digunakan sesuai dengan tujuannya, data tersebut harus segera dimusnahkan. Sedangkan prinsip lainnya adalah data yang terintegritas. Prinsip ini meminta agar setiap perusahaan memutakhirkan data. Perusahaan harus memastikan data tersebut terintegritas. Misalnya, perusahaan dapat meng-update data tersebut setiap 6 bulan atau 1 tahun sekali. Prinsip terakhir adalah akses. Undang-undang harus memberikan hak kepada individu agar mereka dapat mengakses data. Pengguna berhak mendapatkan satu salinan data mereka. ” Itu adalah kewajiban institusi untuk memberikan data kepada pemilik data,” tukasnya. Terpisah, Kepala Pusat Informasi dan Humas Kementerian Komunikasi dan Informatika (Kominfo) Gatot S Dewa Broto mengatakan Undang-Undang Perlidungan Data Pribadi belum menjadi prioritas utama dalam waktu dekat untuk dibuat. Pasalnya, regulasi perlindungan data telah di-back-up dalam Undang-Undang ITE dan Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Untuk itu, Gatot mengatakan Kominfo untuk sementara akan mengatur mengenai perlindungan data dalam level peraturan pemerintah. Namun ia mengaku belum tahu apa saja yang akan diatur dalam peraturan pemerintah itu.
