Hukum internasional tentang perlindungan data pribadi dan implikasinya bagi Vietnam

Sebagai salah satu negara dengan tingkat perkembangan dan adopsi internet tertinggi di dunia , dengan hampir 80% penduduk menggunakan internet, data pribadi dua pertiga penduduk Vietnam disimpan, diunggah, dibagikan, dan dikumpulkan secara daring dalam berbagai bentuk dan dengan tingkat detail yang berbeda-beda.

Pada tahun 2022 dan 2023, Vietnam menuntut lima kasus pidana yang melibatkan jual beli ribuan GB data dan miliaran informasi pribadi. Hal ini menyoroti kebutuhan mendesak untuk memperbaiki undang-undang perlindungan data pribadi berdasarkan penelitian dan rujukan pada hukum internasional.

Hukum internasional tentang perlindungan data pribadi

GDPR dianggap sebagai langkah maju hukum yang besar, menciptakan mekanisme paling ketat di dunia untuk melindungi informasi pribadi saat ini.

Peraturan Perlindungan Data Umum (GDPR) Uni Eropa (UE) dianggap sebagai langkah maju hukum yang besar, menciptakan mekanisme paling ketat di dunia untuk melindungi informasi pribadi dan berlaku untuk semua organisasi dan bisnis yang memproses data pribadi warga negara UE.

GDPR menerapkan sanksi seragam untuk pelanggaran bisnis di seluruh blok tersebut. Secara spesifik, sanksi maksimum adalah 2% dari pendapatan atau €10 juta untuk pelanggaran ringan, dan 4% dari pendapatan atau €20 juta untuk pelanggaran berat. Selain denda, bisnis yang melanggar GDPR juga dapat menghadapi sanksi lain seperti dipaksa untuk menghentikan operasi pemrosesan data atau menghapus data yang telah diproses melanggar GDPR.

Otoritas perlindungan data pribadi Uni Eropa adalah Otoritas Pengawasan Perlindungan Data Uni Eropa (EDPS) – sebuah badan independen yang anggotanya terdiri dari pengacara berpengalaman, profesional TI, dan administrator.

Fungsi utama lembaga ini adalah untuk mengawasi pemrosesan data pribadi di dalam lembaga-lembaga Uni Eropa dan untuk memberikan nasihat tentang hal-hal yang berkaitan dengan data pribadi. GDPR juga mensyaratkan pembentukan Otoritas Perlindungan Data Pribadi di setiap negara anggota, seperti Komisi Perlindungan Data Pribadi Nasional (Prancis, Irlandia, dll.) atau inspektorat perlindungan data (Finlandia, Latvia, dll.).

Bersamaan dengan EDPS, Uni Eropa juga membentuk Komisi Perlindungan Data Eropa (EDPB), yang terdiri dari perwakilan dari badan perlindungan data nasional negara-negara anggota dan perwakilan Uni Eropa. Fungsinya adalah untuk bertindak sebagai badan penasihat independen utama tentang masalah perlindungan data pribadi, yang bertanggung jawab atas penerapan GDPR secara konsisten di seluruh Uni Eropa.

GDPR memberikan sanksi yang kuat dan bersifat jera, baik berupa kerugian materiil maupun non-materiil. Selain itu, badan perlindungan data pribadi Uni Eropa beroperasi berdasarkan model Komisi/Komisioner, yang memberikannya wewenang dan independensi yang signifikan untuk menjatuhkan sanksi kepada organisasi yang melanggar peraturan perlindungan data pribadi dan untuk secara independen menilai serta memutuskan penanganan data pribadi.

Undang-Undang Perlindungan Data Pribadi (UU PPK) Tiongkok , yang diberlakukan pada tahun 2021, dianggap sebagai undang-undang perlindungan data pribadi tingkat nasional komprehensif pertama di Tiongkok. UU PPK memberikan pandangan yang relatif terpadu tentang data pribadi/informasi pribadi sebagai informasi yang dimaksudkan untuk mengidentifikasi atau mengenali individu tertentu, khususnya menargetkan individu di Tiongkok (Pasal 4, Bab 1 UU PPK). Secara bersamaan, UU PPK mengatur data pribadi yang sensitif, sehingga menetapkan aturan mengenai hak dan kewajiban para pihak terkait kelompok data yang lebih spesifik.

Sanksi atas pelanggaran hak data pribadi berdasarkan peraturan PIPL sangat berat, termasuk perbaikan wajib, penyitaan pendapatan ilegal, penangguhan layanan, pencabutan izin operasi atau usaha, dan denda hingga 50 juta RMB atau 5% dari pendapatan tahunan organisasi pada tahun fiskal sebelumnya. Selain itu, pelanggaran juga dapat dicatat dalam "catatan kredit" unit pengolah data di bawah sistem kredit sosial nasional.

Selain itu, unit pengolahan akan bertanggung jawab atas kerugian jika mereka melanggar hak dan kepentingan organisasi dan individu. Sanksi pidana untuk jenis pelanggaran ini juga secara khusus diatur dalam Kitab Undang-Undang Pidana Tiongkok, yang menetapkan tanggung jawab pidana yang lebih berat bagi mereka yang berkewajiban menjaga kerahasiaan, menambahkan bentuk penyitaan aset, dan menetapkan hukuman penjara seumur hidup sebagai hukuman penjara tertinggi.

Undang-Undang Perlindungan Data Pribadi (PDPA) Singapura , yang disahkan pada tahun 2012 (diamandemen pada tahun 2020), mengakui hak untuk melindungi data pribadi dan perlunya organisasi untuk mengumpulkan, menggunakan, dan mengungkapkan informasi untuk tujuan yang sesuai dengan keadaan tertentu.

PDPA juga menetapkan sanksi finansial yang ketat untuk pelanggaran data. Individu yang melanggar hukum akan menghadapi denda atau hukuman penjara. Besarnya denda tergantung pada sifat dan tingkat keparahan pelanggaran, mulai dari S$2.000 hingga S$100.000 (sekitar VND 1,6 miliar) dan/atau hukuman penjara hingga 12 bulan, atau hingga 3 tahun dalam kasus serius; untuk organisasi dan perusahaan yang melanggar, hukumannya bisa mencapai 10% dari pendapatan tahunan mereka.

Lembaga yang memainkan peran penting dalam memastikan penegakan PDPA adalah Komisi Perlindungan Data Pribadi (PDPC). Lembaga khusus ini memiliki wewenang yang luas dan kemampuan penegakan hukum yang beragam, termasuk kewenangan untuk meminta individu dan organisasi untuk memberikan informasi dan dokumen terkait pengolahan data pribadi, mengenakan sanksi finansial atas pelanggaran, dan mengambil tindakan perbaikan lainnya.

Pembentukan lembaga khusus, yaitu Komisi Perlindungan Data Pribadi Singapura, yang bekerja secara independen dan proaktif dalam mendeteksi dan menangani pelanggaran serta menerapkan sanksi, merupakan salah satu syarat untuk perlindungan data pribadi yang efektif di Singapura.

Rekomendasi untuk meningkatkan hukum perlindungan data pribadi di Vietnam

Saat ini di Vietnam terdapat 69 dokumen hukum yang secara langsung berkaitan dengan masalah perlindungan data pribadi, yang diatur dalam berbagai dokumen termasuk Konstitusi, Kode (4), Undang-Undang (39), Peraturan (1), Keputusan (2), Surat Edaran/Surat Edaran Bersama (4), Keputusan Menteri (1).

Dokumen-dokumen ini pada dasarnya membahas isu perlindungan data pribadi dengan menekankan prinsip memastikan privasi individu; namun, dokumen-dokumen tersebut memuat peraturan yang berbeda mengenai informasi terkait data pribadi, membahas isu hak dan kewajiban individu, pengolahan informasi, dan metode perlindungan data pribadi. Hukum Vietnam yang mengatur perlindungan data pribadi telah mencapai beberapa hasil yang patut diperhatikan, khususnya penerbitan Keputusan No. 12/2023/ND-CP tentang perlindungan data pribadi pada tanggal 17 April 2023 – sebuah dokumen unik yang mengatur isu ini di negara kita. Dokumen-dokumen hukum ini telah menciptakan kerangka hukum untuk perlindungan data pribadi. Dokumen-dokumen ini menetapkan hak-hak subjek data serta pihak pengolah data, menetapkan sanksi untuk pelanggaran perlindungan data pribadi, dan mengidentifikasi lembaga khusus untuk perlindungan data pribadi sebagai Departemen Keamanan Siber dan Pencegahan Kejahatan Teknologi Tinggi di bawah Kementerian Keamanan Publik ...

Vietnam menghadapi berbagai risiko, tantangan, dan ancaman dari dunia maya, khususnya kebocoran dan pencurian informasi serta data pribadi, yang menyebabkan kerugian signifikan bagi warga negara dan masyarakat.

Namun, implementasi praktis dokumen-dokumen ini juga telah mengungkapkan banyak keterbatasan, seperti fakta bahwa dokumen hukum terpisah saat ini hanya berada pada tingkat Keputusan, sehingga gagal memenuhi pentingnya perlindungan data pribadi; banyak ketentuan saat ini yang masih samar dan tidak jelas, sehingga menyebabkan kurangnya panduan spesifik untuk setiap kasus; dan sanksi yang diberikan masih terlalu ringan dan tidak cukup bersifat jera…

Mengingat situasi ini, peningkatan lebih lanjut kerangka hukum untuk perlindungan data pribadi di Vietnam telah dan terus menjadi hal yang membutuhkan perhatian dan penelitian, berdasarkan pengalaman negara lain. Secara khusus:

Pertama, perlu diberlakukan undang-undang tentang perlindungan data pribadi . Dalam konteks Revolusi Industri Keempat, 80 negara di tingkat regional dan nasional telah memberlakukan dokumen hukum mereka sendiri yang melindungi data pribadi. Vietnam perlu segera meneliti dan memberlakukan undang-undang umum dan khusus tentang data, serupa dengan undang-undang privasi data di Uni Eropa, Tiongkok, dan Singapura, yang akan mendefinisikan isu-isu dan prinsip-prinsip mendasar untuk melindungi data pribadi. Pemberlakuan undang-undang terpisah tentang data pribadi akan memberikan dasar hukum yang penting untuk melindungi data pribadi, karena dokumen hukum saat ini di Vietnam kurang seragam dalam terminologi dan isi.

Kedua, sanksi untuk pelanggaran perlindungan data pribadi harus direvisi dan ditambah agar lebih berat, sesuai dengan sifat dan tingkat keparahan pelanggaran. Meskipun sanksi untuk pelanggaran data pribadi di negara kita meliputi sanksi administratif, perdata, dan pidana, sanksi tersebut umumnya cukup ringan dan kurang memiliki efek jera yang kuat. Metode utama saat ini masih menerapkan sanksi administratif, tetapi sanksi ini tersebar di banyak peraturan dengan denda yang relatif rendah, tertinggi sebesar 100 juta VND untuk individu dan 200 juta VND untuk organisasi.

Meskipun kerugian yang disebabkan oleh pelanggaran administratif terhadap data pribadi tidak hanya terbatas pada kerugian materiil tetapi juga memengaruhi kehormatan dan martabat, sanksi pidana untuk pelanggaran data pribadi saat ini hanya terdapat dalam ketentuan tentang privasi dan teknologi informasi serta keamanan siber, khususnya Pasal 159 dan 288 KUHP saat ini, dengan hukuman penjara yang relatif rendah yaitu tidak lebih dari 7 tahun dan denda tidak melebihi 1 miliar VND. Dibandingkan dengan 20 juta Euro di Uni Eropa, 1 juta SGD di Singapura, atau hukuman penjara seumur hidup di Tiongkok, hukuman ini masih sangat rendah dan tidak proporsional dengan banyak pelanggaran.

Pada saat yang sama, perlu untuk mengatur lebih banyak kategori perilaku yang saat ini belum disebutkan dalam undang-undang, seperti perdagangan data skala besar, pembentukan sistem untuk melakukan pelanggaran data, pelanggaran dalam layanan pemasaran, dan lain sebagainya.

Ketiga, mengenai model lembaga perlindungan data pribadi di Vietnam : Saat ini, Departemen Keamanan Siber dan Pencegahan Kejahatan Teknologi Tinggi di bawah Kementerian Keamanan Publik adalah lembaga khusus untuk perlindungan data pribadi. Merujuk pada peraturan internasional, kita dapat mempertimbangkan untuk membentuk lembaga perlindungan data pribadi independen yang bertanggung jawab untuk menegakkan Undang-Undang Perlindungan Data Pribadi, melakukan inspeksi dan audit, mengeluarkan pedoman, membuat rekomendasi, dan menerapkan sanksi atas pelanggaran.

Kita dapat belajar dari model-model di Uni Eropa atau Singapura… untuk memastikan bahwa kegiatan penegakan hukum yang melindungi data pribadi sangat efektif, dengan menyeimbangkan perlindungan hak individu dan jaminan keamanan siber.

Melindungi data pribadi bukanlah perkara sederhana, terutama dalam konteks integrasi, di mana pemantauan dan pengumpulan data pribadi berskala besar sedang berlangsung, dan sistem hukum Vietnam yang mengatur masalah ini masih dalam tahap pengembangan dan penyempurnaan.

Mempelajari hukum internasional mengenai masalah ini bersamaan dengan situasi praktis di Vietnam akan membantu kita untuk dengan cepat mengembangkan kerangka hukum komprehensif untuk perlindungan data pribadi yang sesuai dengan hukum internasional dan dapat ditegakkan secara efektif.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html