Kekosongan Hukum Dalam Perlindungan Data Pribadi Rekam Medis

Oleh: Dwi Fitria

Kasus bocor-nya rekam medis dari sistem Kementerian Kesehatan Republik Indonesia pada tahun 2022 menjadi salah satu dari contoh kebocoran data pribadi yang banyak terjadi di Indonesia. Menurut pakar keamanan siber Alfons Tanujaya, kebocoran data rekam medis, dapat menimbulkan risiko eksploitasi data, dan berujung pada disalahgunakan-nya data tersebut, serta dapat mengakibatkan kerugian yang besar bagi pemiliknya. Sebagai contoh, Jika pasien yang mengalami kebocoran data mengidap penyakit, atau kondisi medis tertentu yang sifatnya rahasia, dan diketahui oleh publik, risikonya akan mengakibatkan dirinya dijauhi, atau bisa diberhentikan dari pekerjaannya.

Menanggapi hal tersebut, pemerintah, melalui Kementerian Kesehatan menerbitkan Peraturan Menteri Kesehatan Republik Indonesia Nomor 24 Tahun 2022 tentang Rekam Medis Peraturan tersebut, diterbitkan dengan salah satu ratio legis, untuk mengantisipasi perkembangan teknologi digital dalam masyarakat, termasuk transformasi digitalisasi pelayanan kesehatan, sehingga memerlukan diselenggarakannya rekam medis secara elektronik dengan prinsip keamanan dan kerahasiaan data dan informasi.

Selain itu, berkaitan dengan kebocoran data atau pemanfaatan dan tindakan koleksi data secara ilegal, bukan berarti pemerintah Indonesia tidak memiliki instrumen hukum untuk mengatasi hal tersebut. Misalnya, diatur melalui ketentuan Pasal 26 Undang-Undang Republik Indonesia Nomor 29 Tahun 2016 tentang Perubahan Atas Undang-Undang Republik Indonesia Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) bahwa penggunaan data pribadi harus dilakukan dengan persetujuan pemilik data tersebut.

Hal yang sama juga diatur pada Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Selain itu, dalam pengaturan yang lebih rinci, hal ini dapat diperhatikan melalui ketentuan Pasal 14 Peraturan Pemerintah Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSE) pada pokoknya mengatur kewajiban pada penyelenggara sistem elektronik untuk menjaga keamanan data. Selain itu, melalui Pasal 14 tersebut, juga diatur pentingnya persetujuan dari pemilik data ketika akan dimanfaatkan oleh PSE.

Permasalahannya, beberapa kasus yang terjadi menunjukkan bahwa, kebocoran data atau pemanfaatan dan tindakan koleksi data secara ilegal tidaklah dilakukan oleh penyelenggara sistem elektronik yang legal, melainkan oleh pihak ke-3 yang sama sekali tidak berhubungan dengan sistem elektronik tersebut.

Sederhananya, contoh kasus yang disebutkan sebelumnya, bukan menunjukkan penyalahgunaan data oleh penyelenggara sistem elektronik. Melainkan, adanya kelalaian dari penyelenggara sistem elektronik dalam menjaga keamanan sistem database mereka.

Berkaitan dengan kelalaian tersebut, instrumen hukum yang ada di Indonesia, yaitu PP PSE hanya mewajibkan penyelenggara sistem elektronik, melalui Pasal 14, untuk memberitahukan ketika terdapat kebocoran data. Lebih jauh, PP PSE hanya mengatur sanksi administratif bagi penyelenggara sistem elektronik sebagaimana diatur melalui ketentuan Pasal 100 ayat (2) PP PSE, yaitu berupa: Teguran tertulis; Denda administratif; Penghentian sementara; Pemutusan akses; dan/atau Dikeluarkan dari daftar.

Bentuk-bentuk sanksi administratif yang diatur dalam PP PSE tersebut merupakan bentuk nyata pemerintah dalam mengawasi perlindungan data, namun, jika diperhatikan, paradigma perlindungan data tersebut hanya berorientasi pada sanksi terhadap penyelenggara sistem elektronik, bukan pada perlindungan terhadap korban atau kompensasi terhadap korban kebocoran data.

Selanjutnya, berkaitan dengan data rekam medis, hingga saat ini belum terdapat instrumen hukum tertentu yang dapat menjadi dasar perlindungan hukum bagi korban atas kasus kebocoran data rekam medis yang pernah terjadi di Indonesia—dan karena ketiadaan instrumen hukum tersebut, kementerian kesehatan sebagai salah satu penyelenggara sistem elektronik (dalam hal ini berkaitan dengan data rekam medis), tunduk pada PP PSE, karenanya, cukup jelas terdapat kekosongan hukum berkaitan dengan perlindungan hukum bagi korban kebocoran data rekam medis yang pernah di Indonesia.

Pada dasarnya, perlindungan terhadap privasi merupakan salah satu hak asasi manusia yang fundamental. Hal tersebut juga dijamin melalui konstitusi Indonesia, yaitu pada ketentuan Pasal 28G Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 (Selanjutnya UUD NRI 1945) yang mengatur bahwa:
“Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda tang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”

Lebih jauh, secara filosofis, adalah merupakan kewajiban negara melalui pemerintah untuk melindungi warga negaranya dari suatu hal yang dapat mengancam dirinya—hal ini juga termasuk pada terancam-nya warga negara dari kebocoran data rekam medis miliknya. Premis tersebut sejalan dengan pendapat Mills yang menyatakan bahwa, “the only purpose for which power can be rightfully exercised over any member of a civilised community, against his will, is to prevent harm to others”.

Kewajiban untuk melindungi data pribadi warga negara (dalam hal ini rekam medis), lebih jauh juga dituangkan melalui ketentuan Pasal 99 ayat (2) PP PSE, yang pada pokoknya mewajibkan institusi yang memiliki data elektronik strategis untuk melakukan perlindungan data tersebut, salah satunya institusi dalam sektor kesehatan—dalam logika ini, kementerian kesehatan sebagai salah satu penyelenggara sistem elektronik dalam bidang rekam medis, memiliki kewajiban perlindungan data tersebut. Sayangnya, adanya kekosongan hukum berkaitan dengan perlindungan bagi korban kebocoran data rekam medis sendiri menjadi satu masalah tersendiri yang perlu untuk diselesaikan.

Dwi Fitria adalah anggota Himpunan Pengusaha Muda Indonesia (HIPMI). Kini sedang menempuh studi Magister Hukum Kesehatan Universitas Hang Tuah Surabaya.