Di era data dan informasi yang semakin berkembang ini, perlindungan data pribadi merupakan suatu keniscayaan. Meningkatnya pemanfaatan teknologi internet melahirkan tantangan baru dalam perlindungan atas data pribadi, terutama praktik pengumpulan, pemanfaatan dan penyebaran data pribadi seseorang. Pengelola Nama Domain Internet Indonesia (PANDI) selaku Registri Nama Domain Indonesia (.ID) melakukan penyesuaian terkait perlindungan data pribadi di Indonesia maupun Global.

Jaminan atas data pribadi diatur dalam legislasi dan regulasi, yaitu Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE 2008) dan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE 2016) Pasal 26 Ayat 1 bahwa kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.

Selain itu, Peraturan Menteri (Permen) Kominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (PM 20/2016) Pasal 26 yang berlaku sejak Desember 2016, Pemilik data pribadi, berhak atas kerahasiaan data miliknya; berhak mengajukan pengaduan dalam rangka penyelesaian sengketa data pribadi; berhak mendapatkan akses untuk memperoleh historis data pribadinya; dan berhak meminta pemusnahan data perseorangan tertentu miliknya dalam sistem elektronik. Data pribadi yang dilindungi oleh PANDI adalah Data Registran (Pengguna Nama Domain) yang ada di dalam sistem elektronik PANDI dan data pribadi ini disimpan di yurisdiksi Indonesia atau di tempat di mana hukum Indonesia berlaku.

­­Perlindungan Data Pribadi harus dilakukan, karena rentan untuk disalahgunakan, dan penyalahgunaan data pribadi dapat berakibat fatal. Untuk itu beberapa langkah sudah dilakukan oleh PANDI untuk melindungi Data Pribadi Registran.

 
PANDI memperbarui Kebijakan Nama Domian secara tematik terkait perlindungan data pribadi

Pada 6 Februari 2018, PANDI menerbitkan Kebijakan Privasi pada Layanan PANDI yang mengadopsi Permen Kominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi. Kebijakan tersebut terdiri atas 15 butir ketentuan yang menjangkau materi pengaturan tentang pengumpulan Data Pribadi, tujuannya, penyimpanannya, pemusnahannya, pengungkapannya, hak kontrol atasnya serta larangan-larangan dan konteks perselisihan atasnya.

PANDI merupakan salah satu Penyelenggara Sistem Elektronik yang secara jelas mengadopsi satu-satunya dokumen hukum yang secara spesifik mengatur tentang Perlindungan Data Pribadi tersebut.

“Perubahan kebijakan ini bertujuan agar para Registran merasa Data Pribadinya terlindungi, selain itu PANDI ingin menjadi leader dalam menerapkan kebijakan  Perlindungan Data Pribadi,” ujar Andi.

Menjelang masa berlaku European Union General Data Protection Regulation (EU GDPR) pada tanggal 25 Mei 2018, Registri dan Registrar Nama Domain di seluruh dunia mengangkat diskursus perlindungan data pribadi pada Layanan WHOIS. Searah perkembangan tersebut, PANDI kembali berkaca dan mengevaluasi implementasinya pada isu perlindungan data pribadi Pengguna Nama Domain Indonesia. Hasilnya, pada bulan Mei itu pula, PANDI memperbarui kebijakan yang berkaitan dengan Layanan WHOIS sehingga tidak seluruh Data Whois dapat secara bebas diakses publik.

“Bagi PANDI, perlindungan data pribadi merupakan momentum untuk lebih mendalami konsesi perlindungan data pribadi dalam pengelolaan Nama Domain berkode negara Indonesia (.ID). PANDI sebagai Registri .ID memiliki otonomi untuk tidak senantiasa terikat dengan preferensi pengaturan ICANN walaupun di saat yang sama memegang amanat perundang-undangan untuk mengelola .ID searah pemutakhiran situasi global,” kata Andi.

Pada konteks tersebut PANDI memandang bahwa diperlukan tinjauan yang menyeluruh terhadap Kebijakan Nama Domain untuk menjamin perlindungan data pribadi dalam pengelolaan Nama Domain. Tinjauan tersebut secara rinci ditujukan untuk menyusun sistematika perlindungan data pribadi, menjangkau prinsip-prinsipnya yang mendasar, serta menyetarakan isi ketentuannya dengan konsesi global perlindungan data pribadi yang diselenggarakan PANDI sebagai Registri .ID.

 

Selain melakukan perubahan atas Kebijakan Nama Domain, PANDI telah menerapkan Sistem Manajemen Kemanan Informasi (SMKI) menggunakan standar SNI ISO/IEC 20071:2013. Sistem manajemen ini sebuah pendekatan sistematis untuk mengelola informasi sensitif, sehingga tetap aman. Termasuk pada informasi proses, orang dan informasi pada sistem teknologi menggunakan azas manajemen risiko.

 

Penerapan ini juga telah dijamin penerapannya oleh auditor eksternal sehingga PANDI mendapatkan sertifikat SNI ISO/IEC 20071:2013 dilingkup manajemen keamanan informasi dalam pengelolaan operasional system Registri dan DNS Domain .ID pada kantor dan data center utama di luar Registrar, Reseller dan Registran yang secara efektif berlaku sejak tanggal 18 April 2016.

 

Andi berkata, “Penerapan SMKI mengubah pola kerja PANDI baik dari sisi kebijakan, prosedur kerja, personel yang terlibat dan pihak lain yang berhubungan dengan PANDI, sehingga PANDI mampu dan terjamin dalam mengamankan informasi dari sisi kerahasiaan, ketersediaan, dan integritasnya.”

 

Penerapan SMKI yang sudah tersertifikasi ini diharapkan dapat membantu mempercepat proses integrasi dalam pemenuhan peraturan perundang-undangan yang mengatur tentang perlindungan data pribadi.