Langkah-langkah untuk menjamin hak asasi manusia dalam transformasi digital

Perlindungan data pribadi adalah perlindungan hak asasi manusia dan kebebasan mendasar terkait data.

Pada tanggal 17 April 2023, Pemerintah menerbitkan Keputusan No. 13/2023/ND-CP (Keputusan) tentang perlindungan data pribadi, berlaku mulai tanggal 1 Juli 2023, yang memenuhi persyaratan untuk melindungi hak data pribadi; mencegah tindakan pelanggaran data pribadi, yang memengaruhi hak dan kepentingan individu dan organisasi.

Highlight

Peraturan Pemerintah ini merupakan dokumen hukum yang mengatur perlindungan data pribadi dan tanggung jawab instansi, organisasi, dan individu terkait untuk melindungi data pribadi.

Pertama, perlindungan data pribadi adalah perlindungan hak asasi manusia dan kebebasan fundamental terkait data. Ketentuan dalam Peraturan Perlindungan Data Pribadi saat ini bertujuan untuk mencegah pelanggaran hak dan kebebasan pribadi setiap orang.

Pada saat yang sama, keamanan data pribadi sangatlah penting karena jika data tersebut dicuri, maka dapat menimbulkan kerugian ekonomi dan sosial, berbagai risiko seperti: pemerasan, penipuan, perampasan hak milik, pencemaran nama baik, pelanggaran kehormatan, martabat, pelecehan seksual..., yang dapat menimbulkan akibat baik material maupun spiritual, yang secara langsung mempengaruhi hak dan kepentingan sah suatu lembaga, organisasi, bisnis, dan individu.

Kedua, promosikan dan hormati hak-hak subjek data pribadi. Hak-hak subjek data pribadi meliputi hak untuk mengakses, hak untuk menyetujui atau tidak pemrosesan data pribadi, hak untuk mendapatkan informasi, dan hak untuk meminta penghapusan data.

Lebih lanjut, subjek data juga berhak untuk melindungi diri dari subjek lain yang melanggar data pribadinya. Subjek berhak menuntut ganti rugi apabila terjadi pelanggaran terhadap ketentuan dalam Peraturan ini yang mengakibatkan kerugian terhadap hak atas perlindungan data pribadi. Peraturan ini juga secara tegas menyatakan bahwa pengumpulan, pengalihan, atau pembelian dan penjualan data pribadi tanpa persetujuan subjek merupakan pelanggaran hukum.

Namun demikian, hak subjek untuk melindungi data pribadi bukanlah hak yang mutlak, melainkan dapat dibatasi dalam keadaan darurat untuk melindungi nyawa dan kesehatan individu itu sendiri atau orang lain; keadaan darurat yang menyangkut pertahanan negara, keamanan nasional, ketertiban dan keselamatan sosial; pelaksanaan kewajiban kontraktual yang telah ditentukan, atau melayani kegiatan lembaga negara yang telah ditentukan oleh undang-undang khusus.

Ketentuan pengecualian bertujuan untuk melaksanakan prinsip menjamin hak-hak individu dan organisasi tetapi tidak melanggar kepentingan sah individu, organisasi, atau kepentingan nasional lain dalam rangka menjalankan hak-hak tersebut.

Ketiga, mendorong proses integrasi internasional dalam isu perlindungan data pribadi. Keputusan ini selaras dengan praktik dan peraturan internasional tentang perlindungan data pribadi. Banyak negara maju telah melegalkan isu perlindungan data pribadi, yang menjadi dasar bagi Vietnam untuk mempelajari dan merujuk.

Selain itu, organisasi internasional di mana Vietnam menjadi anggota atau bekerja sama dengan Vietnam telah mengeluarkan konvensi, rekomendasi, dan standar tentang privasi dan perlindungan informasi dan data pribadi. Ini termasuk prinsip-prinsip privasi Organisasi untuk Kerja Sama Ekonomi dan Pembangunan (OECD), Konvensi Dewan Eropa tentang Perlindungan Individu Terkait Pemrosesan Otomatis Informasi dan Data Pribadi, Pedoman PBB tentang Data Pribadi Terkomputerisasi dan Berkas Informasi, Kerangka Kerja Privasi Kerja Sama Ekonomi Asia -Pasifik (APEC), standar internasional tentang privasi dan perlindungan informasi dan data pribadi (Resolusi Madrid), Peraturan Perlindungan Data Umum Uni Eropa (GDPR)...

Selain itu, dalam proses mendorong kerja sama antara negara kita dan negara serta wilayah lain, lebih dari 80 negara telah menerbitkan dokumen hukum tentang perlindungan data pribadi, yang banyak di antaranya memiliki ketentuan yang berlaku bagi organisasi dan individu Vietnam. Oleh karena itu, peraturan khusus dan terperinci tentang perlindungan data pribadi bertujuan untuk menciptakan lingkungan yang setara dan supremasi hukum di Vietnam, termasuk bagi individu dan organisasi asing.

Tantangan

Saat ini, masih terdapat tantangan yang signifikan dalam penerapan Keputusan tersebut.

Pertama, tantangan dalam manajemen karyawan perusahaan. Saat ini, banyak perusahaan membangun model perusahaan induk dan anak perusahaan dengan ekosistem manajemen yang sama, sehingga informasi karyawan dapat diakses dengan mudah dari sistem yang sama.

Namun, berdasarkan hukum Vietnam, setiap perusahaan (termasuk perusahaan induk dan anak perusahaan) dianggap sebagai badan hukum yang terpisah dan independen, sehingga pemindahan data pribadi karyawan oleh perusahaan dalam ekosistem yang sama untuk melayani proses manajemen internal perusahaan juga dapat dianggap sebagai pelanggaran tanggung jawab perusahaan untuk melindungi data pribadi.

Di sisi lain, saat ini banyak perusahaan yang menghadapi kesulitan dalam melaksanakan Keputusan tersebut, dan belum melengkapi mekanisme serta ketentuan dalam pengelolaan dan perlindungan data pribadi karyawan sesuai dengan Keputusan tersebut.

Kedua, hal ini tidak sejalan dengan peraturan perundang-undangan tentang operasional lembaga perkreditan. Saat ini, operasional lembaga perkreditan diatur oleh peraturan perundang-undangan khusus seperti: Undang-Undang Lembaga Perkreditan 2010 (diubah dan ditambah pada tahun 2014); Undang-Undang Anti Pencucian Uang; Keputusan 117/2018/ND-CP tentang kerahasiaan dan penyediaan informasi nasabah lembaga perkreditan dan cabang bank asing; Surat Edaran Bank Negara 09/2020/TT-NHNN yang mengatur keamanan sistem informasi dalam operasional perbankan pada tingkat di bawah Undang-Undang.

Di sisi lain, untuk kegiatan perbankan, pemrosesan data mempengaruhi data pribadi, seperti: Mengumpulkan, merekam, menganalisis, mengonfirmasi, menyimpan, mengedit, mempublikasikan, menggabungkan, mengakses, mengambil, mengingat, mengenkripsi, mendekripsi, menyalin, berbagi, mengirimkan, menyediakan, mentransfer, menghapus, memusnahkan data pribadi atau tindakan terkait lainnya yang penting untuk memberikan layanan kepada pelanggan dan mengelola risiko dalam kegiatan perbankan, memastikan keselamatan dan keamanan sistem moneter, sehingga banyak kegiatan pemrosesan data pribadi pelanggan tidak dapat dan tidak memerlukan persetujuan pelanggan, sementara Klausul 2, Pasal 3 dan Klausul 1, Pasal 9 Dekrit tersebut menetapkan bahwa subjek memiliki hak untuk mengetahui tentang pemrosesan data pribadi mereka, kecuali dalam kasus di mana Undang-Undang lain menentukan lain.

Atau pada Pasal 9 Ayat 2 disebutkan bahwa subjek berhak untuk tidak menyetujui pengolahan data pribadinya; subjek berhak untuk menghapus, mengakses, meminta pembatasan pengolahan data, dan menolak pengolahan data, kecuali dalam hal Peraturan Perundang-undangan lain memiliki ketentuan lain pada Pasal 9. Dengan demikian, akan membingungkan dan tidak tepat apabila Peraturan Perundang-undangan ini diterapkan secara kaku dan tanpa arahan yang terpadu.

Selain itu, penyediaan layanan dan produk oleh lembaga kredit dilakukan melalui banyak proses pada satu produk. Setiap proses pada satu produk mencakup banyak langkah berbeda dan berkaitan dengan pengumpulan, evaluasi, analisis, dan penyediaan data pada berkas nasabah yang sangat besar. Keputusan tersebut mewajibkan Pengendali dan Pemroses Data Pribadi untuk mendapatkan persetujuan dari subjek data (nasabah) dalam semua prosedur pemrosesan saat melakukan aktivitas pemrosesan data apa pun (Pasal 11); dan sebelum melakukan aktivitas pemrosesan data, subjek data pribadi harus diberitahu (Pasal 13). Hal ini terus menjadi hambatan lain bagi operasional lembaga kredit.

Lebih jauh lagi, lembaga kredit harus menyesuaikan sistem teknologi informasi dan dokumen sub-undang-undang lainnya yang terkait dengan operasi lembaga kredit; templat kontrak dan perjanjian harus direvisi agar sesuai dengan Keputusan tersebut, yang akan menciptakan kesulitan yang signifikan bagi operasi perbankan.

Ketiga, sebagian masyarakat belum memahami dan belum sadar akan pentingnya menjaga data pribadinya, sehingga mudah sekali membagikan data pribadi di media sosial, sehingga tanpa disadari dapat dimanfaatkan oleh orang yang tidak bertanggung jawab untuk hal-hal yang tidak baik.

Sebagian masyarakat belum memahami dengan jelas nilai perlindungan data pribadi sebagai jaminan privasi pribadi, dan juga takut memberikan informasi pribadi, sehingga menyulitkan pihak berwenang untuk melaksanakan pengelolaan negara atas perlindungan data pribadi, maupun melayani penyidikan dan penanganan pelanggaran undang-undang tentang perlindungan data pribadi.

Selain itu, situasi jual beli data pribadi, risiko kebocoran informasi, menimbulkan konsekuensi besar yang memengaruhi masalah sosial-ekonomi. Fenomena penipuan, iklan spam melalui panggilan telepon dan pesan masih rumit dan memengaruhi kehidupan masyarakat.

Keamanan data pribadi sangatlah penting karena jika data dicuri, hal tersebut dapat menimbulkan kerugian ekonomi dan sosial, yang secara langsung memengaruhi hak dan kepentingan sah lembaga, organisasi, bisnis, dan individu. (Sumber: Shutterstock)

Menerapkan Keputusan tersebut

Vietnam adalah salah satu negara dengan perkembangan internet dan kecepatan aplikasi tertinggi di dunia dengan lebih dari 70 juta pengguna. Data pribadi lebih dari 2/3 penduduk negara kita telah dan sedang disimpan, diunggah, dibagikan, dan dikumpulkan di lingkungan digital, dunia maya, dengan berbagai bentuk dan tingkat detail.

Keputusan tersebut merupakan terobosan dalam memastikan hak asasi manusia dalam transformasi digital, mengatasi kekurangan dan ketidakcukupan dalam praktik memastikan, melindungi, dan mengamankan data pribadi, dan meningkatkan tanggung jawab bagi lembaga, organisasi, dan individu dalam dan luar negeri yang terlibat langsung dalam atau terkait dengan aktivitas pemrosesan data pribadi di Vietnam.

Agar Keputusan ini benar-benar efektif dalam praktiknya, maka perlu difokuskan pada hal-hal berikut:

Pertama, tingkatkan tanggung jawab perusahaan dalam melindungi hak-hak pekerja. Dalam pemanfaatan tenaga kerja, perusahaan harus mengumpulkan dan menyimpan informasi karyawan. Untuk memenuhi tujuan manajemen ketenagakerjaan, perusahaan dan perusahaan menerima dan mengelola banyak informasi pribadi dari karyawan. Namun, jika pengelolaan dan pemrosesan informasi tersebut ceroboh, hal itu akan mengakibatkan konsekuensi yang tidak terduga.

Perusahaan perlu mempelajari dan mengevaluasi secara cermat dampak keseluruhan dari Keputusan tersebut, segera meninjau dan memperbarui prosedur serta petunjuk penanganan data pribadi sesuai dengan peraturan baru; mempertimbangkan untuk menetapkan mekanisme dan membangun peraturan tata kelola berdasarkan ketentuan Keputusan tersebut; memelihara dan mematuhi mekanisme serta peraturan tersebut di seluruh proses operasi.

Kedua, menghilangkan kesulitan bagi kegiatan perkreditan lembaga kredit . Bank Negara perlu berkoordinasi erat dengan kementerian terkait, terutama Kementerian Keamanan Publik, untuk memberikan panduan terpadu tentang perlindungan data pribadi di sektor perkreditan, baik untuk memastikan peningkatan tanggung jawab operasional lembaga kredit dalam melindungi data nasabah maupun untuk memenuhi persyaratan dan tugas khusus.

Ketiga, agar Peraturan Pemerintah ini benar-benar berlaku, perlu dilakukan upaya sosialisasi dan edukasi hukum yang baik. Khususnya, perlu ditegaskan perlunya penerbitan Peraturan Pemerintah ini dengan tujuan utama menghormati dan melindungi hak-hak sipil dan hak asasi manusia. Dan yang terpenting, subjek data pribadi harus memahami dan meningkatkan kesadaran serta tanggung jawabnya dalam melindungi data pribadi.