Langkah maju untuk memastikan hak asasi manusia dalam transformasi digital

Perlindungan data pribadi adalah perlindungan hak asasi manusia dan kebebasan mendasar terkait data.

Pada tanggal 17 April 2023, Pemerintah menerbitkan Keputusan No. 13/2023/ND-CP (Keputusan) tentang perlindungan data pribadi, berlaku mulai tanggal 1 Juli 2023, yang memenuhi persyaratan untuk melindungi hak data pribadi; mencegah tindakan pelanggaran data pribadi, yang memengaruhi hak dan kepentingan individu dan organisasi.

Highlight

Peraturan Pemerintah ini merupakan dokumen hukum yang mengatur perlindungan data pribadi dan tanggung jawab instansi, organisasi, dan individu terkait untuk melindungi data pribadi.

Pertama, perlindungan data pribadi adalah perlindungan hak asasi manusia dan kebebasan fundamental terkait data. Ketentuan dalam Peraturan Perlindungan Data Pribadi saat ini bertujuan untuk mencegah pelanggaran hak dan kebebasan pribadi setiap orang.

Pada saat yang sama, keamanan data pribadi sangatlah penting karena jika data tersebut dicuri, maka dapat menimbulkan kerugian ekonomi dan sosial, berbagai risiko seperti: pemerasan, penipuan, perampasan hak milik, pencemaran nama baik, pelanggaran kehormatan, martabat, pelecehan seksual..., yang dapat menimbulkan akibat baik material maupun spiritual, yang secara langsung mempengaruhi hak dan kepentingan sah suatu lembaga, organisasi, bisnis, dan individu.

Kedua, promosikan dan hormati hak-hak subjek data pribadi. Hak-hak subjek data pribadi meliputi hak untuk mengakses, hak untuk menyetujui atau tidak pemrosesan data pribadi, hak untuk mendapatkan informasi, dan hak untuk meminta penghapusan data.

Lebih lanjut, subjek data juga memiliki hak untuk melindungi diri dari subjek lain yang melanggar data pribadinya. Subjek berhak menuntut ganti rugi apabila terjadi pelanggaran terhadap ketentuan dalam Peraturan ini yang mengakibatkan kerugian terhadap hak atas perlindungan data pribadi. Peraturan ini juga secara tegas menyatakan bahwa pengumpulan, pemindahan, atau pembelian dan penjualan data pribadi tanpa persetujuan subjek merupakan pelanggaran hukum.

Namun demikian, hak subjek untuk melindungi data pribadi bukanlah hak yang mutlak, melainkan dapat dibatasi dalam keadaan darurat untuk melindungi kehidupan dan kesehatan individu itu sendiri atau orang lain; keadaan darurat yang berkaitan dengan pertahanan, keamanan, ketertiban dan keselamatan nasional; pelaksanaan kewajiban kontraktual yang ditentukan, atau melayani kegiatan lembaga negara sebagaimana ditentukan oleh undang-undang khusus.

Ketentuan pengecualian bertujuan untuk melaksanakan prinsip menjamin hak-hak individu dan organisasi tetapi tidak melanggar hak dan kepentingan sah individu dan organisasi lain atau kepentingan nasional dalam menjalankan hak-hak tersebut.

Ketiga, mendorong proses integrasi internasional dalam isu perlindungan data pribadi. Keputusan ini selaras dengan praktik dan peraturan internasional tentang perlindungan data pribadi. Banyak negara maju telah melegalkan isu perlindungan data pribadi, yang menjadi dasar bagi Vietnam untuk mempelajari dan merujuk.

Selain itu, organisasi internasional di mana Vietnam menjadi anggota atau bekerja sama dengan Vietnam telah mengeluarkan konvensi, rekomendasi, dan standar tentang privasi dan perlindungan informasi dan data pribadi. Ini termasuk prinsip-prinsip privasi Organisasi untuk Kerja Sama Ekonomi dan Pembangunan (OECD), Konvensi Dewan Eropa tentang perlindungan individu terkait pemrosesan otomatis informasi dan data pribadi, pedoman PBB tentang data pribadi terkomputerisasi dan berkas informasi, Kerangka Kerja Privasi Kerja Sama Ekonomi Asia -Pasifik (APEC), standar internasional tentang privasi dan perlindungan informasi dan data pribadi (Resolusi Madrid), Peraturan Perlindungan Data Umum Uni Eropa (GDPR)...

Selain itu, dalam proses mendorong kerja sama antara negara kita dan negara serta wilayah lain, lebih dari 80 negara telah menerbitkan dokumen hukum tentang perlindungan data pribadi, yang banyak di antaranya memiliki ketentuan yang berlaku bagi organisasi dan individu Vietnam. Oleh karena itu, peraturan khusus dan terperinci tentang perlindungan data pribadi bertujuan untuk menciptakan lingkungan yang setara dan menghormati hukum di Vietnam, termasuk bagi individu dan organisasi asing.

Tantangan

Saat ini masih banyak tantangan yang cukup berarti dalam pelaksanaan Keputusan tersebut.

Pertama, tantangan dalam manajemen karyawan perusahaan. Saat ini, banyak perusahaan membangun model perusahaan induk dan anak perusahaan dengan ekosistem manajemen yang sama, sehingga informasi karyawan dapat diakses dengan mudah dari sistem yang sama.

Namun, berdasarkan hukum Vietnam, setiap perusahaan (termasuk perusahaan induk dan anak perusahaan) dianggap sebagai badan hukum yang terpisah dan independen, sehingga pemindahan data pribadi karyawan oleh perusahaan dalam ekosistem yang sama untuk melayani proses manajemen internal perusahaan juga dapat dianggap sebagai pelanggaran tanggung jawab perusahaan untuk melindungi data pribadi.

Di sisi lain, saat ini banyak perusahaan yang menghadapi kesulitan dalam melaksanakan Keputusan tersebut dan belum melengkapi mekanisme serta ketentuan dalam pengelolaan dan perlindungan data pribadi karyawan sesuai dengan Keputusan tersebut.

Kedua, hal ini tidak sejalan dengan peraturan perundang-undangan tentang operasional lembaga perkreditan. Saat ini, operasional lembaga perkreditan diatur oleh peraturan perundang-undangan khusus seperti: Undang-Undang Lembaga Perkreditan 2010 (diubah dan ditambah pada tahun 2014); Undang-Undang Anti Pencucian Uang; Keputusan 117/2018/ND-CP tentang kerahasiaan dan penyediaan informasi nasabah lembaga perkreditan dan cabang bank asing; Surat Edaran Bank Negara 09/2020/TT-NHNN yang mengatur keamanan sistem informasi dalam operasional perbankan pada tingkat di bawah Undang-Undang.

Di sisi lain, untuk kegiatan perbankan, pemrosesan data mempengaruhi data pribadi, seperti: Mengumpulkan, merekam, menganalisis, mengonfirmasi, menyimpan, mengedit, mempublikasikan, menggabungkan, mengakses, mengambil, mengingat, mengodekan, mendekode, menyalin, berbagi, mengirimkan, menyediakan, mentransfer, menghapus, memusnahkan data pribadi atau tindakan terkait lainnya yang penting untuk memberikan layanan kepada pelanggan dan mengelola risiko dalam kegiatan perbankan, memastikan keselamatan dan keamanan sistem moneter, sehingga banyak kegiatan pemrosesan data pribadi pelanggan tidak dapat dan tidak memerlukan persetujuan pelanggan, sementara Klausul 2, Pasal 3 dan Klausul 1, Pasal 9 Dekrit tersebut menetapkan bahwa subjek memiliki hak untuk mengetahui tentang pemrosesan data pribadi mereka, kecuali dalam kasus di mana Undang-Undang lain menentukan lain.

Atau pada Pasal 9 Ayat 2 disebutkan bahwa subjek berhak untuk tidak menyetujui pengolahan data pribadinya; subjek berhak untuk menghapus, mengakses, meminta pembatasan pengolahan data, dan menolak pengolahan data, kecuali dalam hal Undang-Undang lain memiliki ketentuan lain pada Pasal 9. Dengan demikian, akan membingungkan dan tidak tepat apabila Peraturan Pemerintah ini diterapkan secara kaku dan tanpa arahan yang terpadu.

Selain itu, penyediaan layanan dan produk oleh lembaga kredit dilakukan melalui banyak proses pada satu produk, yang masing-masing proses pada satu produk mencakup banyak langkah berbeda dan berkaitan dengan pengumpulan, evaluasi, analisis, dan penyediaan data pada berkas nasabah yang sangat besar. Keputusan tersebut mewajibkan Pengendali dan Pengolah Data Pribadi untuk mendapatkan persetujuan dari subjek data (nasabah) dalam semua prosedur pemrosesan saat melakukan aktivitas pemrosesan data apa pun (Pasal 11); dan sebelum melakukan aktivitas pemrosesan data, wajib memberi tahu subjek data pribadi (Pasal 13). Hal ini terus menjadi hambatan lain bagi operasional lembaga kredit.

Lebih jauh lagi, lembaga kredit harus menyesuaikan sistem teknologi informasi dan dokumen sub-undang-undang lainnya yang terkait dengan operasi lembaga kredit; templat kontrak dan perjanjian harus direvisi agar sesuai dengan Keputusan tersebut, yang akan menciptakan kesulitan besar bagi operasi perbankan.

Ketiga, masih banyaknya masyarakat yang belum memahami dan belum sadar akan pentingnya menjaga data pribadinya, sehingga dengan mudahnya membagikan data pribadi di media sosial, tanpa disadari dapat dimanfaatkan oleh orang yang tidak bertanggung jawab untuk kepentingan yang tidak baik.

Sebagian masyarakat belum memahami dengan jelas nilai perlindungan data pribadi sebagai jaminan privasi pribadi, dan juga takut memberikan informasi pribadi, sehingga menimbulkan kesulitan bagi pihak berwenang dalam melaksanakan pengelolaan negara atas perlindungan data pribadi, maupun dalam melayani penyidikan dan penanganan pelanggaran undang-undang tentang perlindungan data pribadi.

Selain itu, situasi jual beli data pribadi, risiko kebocoran informasi, menimbulkan konsekuensi besar yang memengaruhi masalah ekonomi dan sosial. Fenomena penipuan, iklan spam melalui panggilan telepon dan pesan masih rumit dan memengaruhi kehidupan masyarakat.

Keamanan data pribadi sangatlah penting karena jika data dicuri, hal tersebut dapat menimbulkan kerugian ekonomi dan sosial, yang secara langsung memengaruhi hak dan kepentingan sah lembaga, organisasi, bisnis, dan individu. (Sumber: Shutterstock)

Menerapkan Keputusan tersebut

Vietnam adalah salah satu negara dengan perkembangan internet dan kecepatan aplikasi tertinggi di dunia dengan lebih dari 70 juta pengguna. Data pribadi lebih dari 2/3 penduduk negara kita telah dan sedang disimpan, diunggah, dibagikan, dan dikumpulkan di lingkungan digital, dunia maya, dengan berbagai bentuk dan tingkat detail.

Keputusan tersebut merupakan terobosan dalam memastikan hak asasi manusia dalam transformasi digital, mengatasi kekurangan dan ketidakcukupan dalam praktik memastikan, melindungi, dan mengamankan data pribadi, meningkatkan tanggung jawab bagi lembaga, organisasi, dan individu dalam dan luar negeri yang secara langsung berpartisipasi dalam atau terkait dengan aktivitas pemrosesan data pribadi di Vietnam.

Agar Keputusan ini benar-benar efektif dalam praktiknya, maka perlu difokuskan pada hal-hal berikut:

Pertama, tingkatkan tanggung jawab perusahaan dalam melindungi hak-hak pekerja. Dalam pemanfaatan tenaga kerja, perusahaan harus mengumpulkan dan menyimpan informasi karyawan. Untuk menjalankan manajemen ketenagakerjaan, perusahaan dan perusahaan menerima dan mengelola banyak informasi pribadi dari karyawan. Namun, jika mereka ceroboh dalam mengelola dan memproses informasi, hal ini akan mengakibatkan konsekuensi yang tidak terduga.

Perusahaan perlu mempelajari dengan cermat dan mengevaluasi secara komprehensif dampak dari Keputusan tersebut, segera meninjau dan memperbarui prosedur dan instruksi untuk menangani data pribadi sesuai dengan peraturan baru; mempertimbangkan untuk menetapkan mekanisme dan membangun peraturan tata kelola berdasarkan ketentuan Keputusan tersebut; memelihara dan mematuhi mekanisme dan peraturan tersebut di seluruh proses operasi.

Kedua, menghilangkan kesulitan bagi kegiatan perkreditan lembaga kredit . Bank Negara perlu berkoordinasi erat dengan kementerian terkait, terutama Kementerian Keamanan Publik, untuk menerbitkan pedoman terpadu tentang perlindungan data pribadi di sektor perkreditan, yang menjamin peningkatan tanggung jawab operasional lembaga kredit dalam melindungi data nasabah sekaligus memenuhi persyaratan dan tugas khusus.

Ketiga, agar Keputusan ini benar-benar berlaku, propaganda dan edukasi untuk memasyarakatkan undang-undang ini perlu dilakukan dengan baik. Khususnya, perlu ditegaskan perlunya menyebarluaskan Keputusan ini dengan tujuan tertinggi untuk menghormati dan melindungi hak-hak sipil dan hak asasi manusia. Dan yang terpenting, subjek data pribadi harus memahami dan meningkatkan kesadaran serta tanggung jawabnya dalam melindungi data pribadi.