Radu tak lagi menyematkan nomor ponsel pribadinya pada poster acara yang ia selenggarakan. Sudah cukup baginya mendapat teror dari nomor-nomor tak dikenal. Sebagian pesan asing yang masuk tampak “sepele” dan mengindikasikan bahwa pelaku teror “iseng” belaka. Namun ihwal ini tetap tak dapat dibiarkan. Terlebih, ancaman menyasar nomor pribadi bukan hanya satu-dua kali terjadi.
Sebagai aktivis yang mengadvokasi kasus kekerasan terhadap perempuan, Radu menyadari posisinya rentan. Di tengah dunia yang berkiblat pada kuasa patriarkal, pekerjaan yang ia dan kawan-kawan di lembaganya lakukan tak melulu berjalan mulus. Tak jarang, mereka mendapat serangan balik dari terduga pelaku atas kasus kekerasan yang tengah ditangani.
Pewujudan Hak Privasi Tak Dipikul Seorang Diri
Kondisi yang dialami Radu dan kawan-kawannya kian pelik, terlebih ketika mereka tak sepenuhnya menyadari hak atas privasi diri. Mereka sempat berada pada satu masa di mana nomor pengaduan serta layanan konsultasi menggunakan nomor pribadi staf. Alhasil, nomor mereka tersebar tanpa bisa mereka kontrol. Para staf tak memiliki batasan yang jelas antara ranah pekerjaan dan kehidupan pribadi. Begitu pula dengan serangan, termasuk teror, yang menyasar masuk ke nomor privat mereka.
“Untuk pendampingan kasus kami memberikan nomor hotline. Kami memutuskan jangan lagi-lagi pakai nomor pribadi. Kalau dulu begitu, jadi (nomor kami-red) bisa sampai ke jaksa, dan lain-lain,” ungkap Radu.
Refleksi di atas Radu sampaikan pada seri luring perdana “Pelatihan Pelindungan Data Pribadi (PDP) untuk Organisasi Masyarakat Sipil (OMS)”. Kegiatan berlangsung di Jakarta selama dua hari penuh, yakni 5-6 September 2023. Pelatihan intensif yang diprakarsai oleh Yayasan Tifa dan Combine Resource Institution tersebut, kian menyadarkan Radu untuk memberi porsi pelindungan yang sama, baik kepada penyintas maupun diri sendiri sebagai pegiat OMS.
Harianto, dkk. (2023: 6) dalam Modul Pelindungan Data Pribadi bagi Organisasi Masyarakat Sipil menerangkan bahwa privasi ialah hak dasar yang melekat pada tiap-tiap individu guna melindungi martabat dan otonomi diri. Seseorang dapat dikatakan memiliki privasi ketika orang lain tidak dapat mengakses informasi pribadi tanpa seizin subjek informasi. Namun pelimpahan privasi tak lantas menjadi perkara individu semata. Diperlukan daya dukung yang memadai, kesadaran kolektif, hingga akuntabilitas infrastruktur guna membangun kebijakan privasi yang berkeadilan.
Serupa Radu, Mola tak memiliki privilese untuk menentukan batasan yang tetap antara ranah pekerjaan dan pribadi. Himpunan data kantor terpaksa Mola simpan dalam laptop miliknya sendiri. Sebagai pegiat OMS yang mengadvokasi kasus orang hilang dan korban pelanggaran Hak Asasi Manusia (HAM), Mola menyimpan banyak data pribadi korban dan pelbagai informasi kasus. Namun Mola kehilangan laptopnya, yang berarti pula lembaga Mola kehilangan data-data mereka.
“Sekitar tahun 2021, waktu itu advokasi isu yang agak sensitif, laptop kemudian hilang, isinya semua data lembaga,” terang Mola, salah satu peserta pelatihan luring perdana.
Kasus yang dialami Mola menjadi preseden penting bahwa PDP mesti sungguh-sungguh diperhatikan, diterapkan, bahkan dilembagakan prosedurnya. Siti Yuniarti, S.H., M.Hum., menegaskan bahwa pelindungan data pribadi merupakan bagian dari privasi. Dosen Hukum Siber Universitas Bina Nusantara tersebut mengulik kelindan keduanya, pada hari pertama (5/9) pelatihan di Jakarta.
Menjadi Pengendali Sekaligus Pelindung: Peran Penting Pegiat OMS
Deba sudah lebih dulu terlatih untuk melindungi data para lansia yang ia dampingi. Sebagai pegiat OMS yang bergerak di isu pelanggaran HAM berat 1965, ia dan kawan-kawan di lembaganya harus selalu waspada atas serangan yang menghadang. Data pribadi yang mereka lindungi, termasuk dan tidak terbatas pada foto diri hingga data pusara para korban.
“Situasi politik untuk korban 1965 kan riskan. Data kuburan massal harus rapat tertutup dan tidak sembarang orang tahu. Bahaya bagi kelangsungan hidup dari si sumber data tersebut. Begitu juga dengan foto kalau vulgar mukanya, pasti dilihat aparat. Mereka akan mengenali, bahkan mengintimidasi dan bertanya-tanya langsung ke mbah-mbah ini. Ancamannya di-intel, (aparat-red) tahu data rumah korban di mana, kegiatannya apa. Kasihan mbah-mbah ini, mereka kan ada trauma masa lalu,” ungkap Deba yang mengikuti pelatihan luring kedua di Yogyakarta.
Ketika wacana PDP masif digaungkan, maka pegiat OMS kian pula memahami peran-peran yang melekat pada diri mereka, baik sebagai subjek maupun pengendali dan prosesor data. Pada seri pelatihan luring kedua yang berlangsung pada 10-11 Oktober 2023, Masitoh Indriani, S.H., LL.M. dengan komprehensif memaparkan aktor-aktor yang berperan dalam siklus pemrosesan data pribadi.
“Nah di sinilah posisi teman-teman, OMS dapat bertindak sebagai pengendali juga prosesor data pribadi,” ujar Dosen Hukum Internasional Universitas Airlangga tersebut pada hari pertama (10/10) pelaksanaan pelatihan PDP di Yogyakarta. Masitoh merujuk pada Undang-Undang Pelindungan Data Pribadi (UU PDP) yang menyebutkan bahwa pengendali data ialah “setiap orang, badan publik dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi” (Pasal 1 Angka 4).
Masitoh menegaskan pula bahwa para pengendali dan pemroses perlu patuh pada legal basis pemrosesan data pribadi yang telah termaktub dalam Pasal 20 UU PDP. Dasar-dasar pemrosesan tersebut memuat pengaturan atas consent (persetujuan sah secara eksplisit), contractual obligation (pemenuhan kewajiban perjanjian), regulation obligation (pemenuhan kewajiban hukum), vital interest (kepentingan vital subjek data pribadi), public interest (pelaksanaan tugas dalam rangka kepentingan umum), serta legitimate interest (pemenuhan kepentingan sah lainnya).
Ferdhi F. Putra, manajer program Combine, kemudian membantu para peserta dalam menajamkan perspektif serta mengaitkan relevansi PDP terhadap kerja-kerja aktivisme yang mereka lakukan. Ferdhi menekankan bahwa tiap-tiap aktivitas yang dilakukan oleh OMS, setidaknya perlu memperhatikan alur pemrosesan data pribadi. Alur PDP tersebut, meliputi landasan dan tujuan pengumpulan data, jenis data yang dikumpulkan, bentuk penyimpanan data, hak akses atas data-data yang telah dikumpulkan, masa retensi, hingga saluran komunikasi bagi subjek data.
Bila OMS mematuhi alur dengan memperhatikan kewajiban mereka sebagai pengumpul, pengendali, sekaligus prosesor data, maka OMS bukan sekadar subjek kuasa yang “mengendalikan data”, melainkan juga “pelindung” yang bertanggung jawab atas setiap data yang mereka kelola. Terlebih, bila isu yang OMS advokasi tergolong sensitif dan marginal. Maka pewujudan keamanan data bagi para penerima manfaat, termasuk para aktivis di dalamnya, merupakan ihwal yang penting disiasati bersama.
Mengenali Risiko, Menangani Insiden: Bersiap pada Segala Kemungkinan Ancaman
Pelatihan PDP untuk OMS merupakan agenda kolaborasi yang diprakarsai oleh Yayasan Tifa dan Combine. Pelatihan ini dilaksanakan berseri selama tiga kali dengan melibatkan total 102 peserta dari 51 OMS yang tersebar di seluruh nusantara. Seri luring pertama diadakan di Jakarta pada 5-6 September 2023, sementara seri luring kedua terselenggara pada 10-11 Oktober 2023 di Yogyakarta. Pelatihan ini juga menerapkan sistem daring yang telah diselenggarakan pada 21-23 November lalu.
Rangkai jejak pelatihan ini tak lain merupakan program berkelanjutan dari pembuatan modul pelatihan “Melindungi Data Pribadi, Melindungi Hak Asasi Manusia” yang diterbitkan oleh Yayasan Tifa pada Mei 2023. Ketiga seri pelatihan, intensif menerapkan metode diskusi kelompok guna menggali ragam perspektif sekaligus menawarkan ruang bagi peserta untuk saling berbagi pengalaman.
Antusiasme diskusi kelompok terjadi pada sesi Manajemen Risiko serta Manajemen Insiden Keamanan Data Pribadi. Kedua sesi ini difasilitasi oleh staf program Combine, Aris Harianto. Para peserta mulai berlatih dalam mengidentifikasi dan menganalisis risiko-risiko kunci yang dihadapi oleh masing-masing lembaga. Setelah itu, mereka menyusun prioritas penanganan serta mengimplementasikannya secara jelas dan terstruktur. Kepada para peserta, Aris menekankan pula pentingnya mekanisme monitoring berkala dan penguatan kapasitas internal guna memperkokoh pelindungan.
Namun di tengah dunia yang tak pernah ideal, kelompok rentan dituntut untuk terus memasang pelindungan ekstra. Begitu pula dengan kiat mengelola insiden saat terjadi kebocoran data, pegiat OMS perlu segera tanggap, bahkan telah lebih dulu bersiap atas segala ancaman yang melingkar. Nado, peserta pelatihan daring, membagikan pengalamannya saat komunitas yang ia dampingi mengalami kasus kebocoran data pribadi.
“Aku mendampingi teman yang positif HIV, tapi ada petugas lapangan yang tahu tentang statusnya dia dan komentar di medsos. Dia (petugas lapangan-red) ngomong tentang obat di tempat umum. Temanku ini nggak terima. Setelah diskusi panjang lebar, petugas itu akhirnya diberhentikan,” terang Nado pada sesi asesmen pra-pelatihan daring.
HIV/AIDS bukanlah sesuatu yang tercela, bahkan wacana ini perlu lebih masif dibicarakan di ruang publik guna membongkar stigma yang ada. Sayangnya, stereotip negatif yang melekat pada ODHIV (orang dengan HIV) membuat mereka rentan menjadi sasaran diskriminasi. Lagipula mengungkapkan data spesifik, termasuk riwayat penyakit, merupakan pelanggaran privasi. ODHIV memiliki hak pelindungan yang setara sebagai subjek data, begitu pula dengan Kawan-kawan yang memiliki pelbagai identitas spesifik lain yang distigmakan. Bila data mereka bocor, maka mereka akan terdampak dan mengalami marginalisasi berlapis.
Oleh sebab itu, sangat penting bahwa semua pengendali dan pemroses data yang terlibat, patuh pada pelindungan data pribadi. Peran menyeluruh, tak hanya dari staf, melainkan juga mitra kerja, pihak donor, dewan pengawas, dan sebagainya, perlu dikerahkan dalam kerja-kerja kemanusiaan ini.
Pengadaan SOP, Ikhtiar Nyata Lindungi Hak Asasi
Pada tiap sesi akhir pelatihan, peserta diajak untuk menerapkan kiat-kiat tata kelola data yang aman, hingga mengantisipasi celah kebocoran yang mungkin terjadi. Pada luring pertama, materi tersebut disampaikan oleh Heru Tjatur dari ICT Watch. Kemudian pada gelaran luring kedua, presentasi mengenai kiat tata kelola data dituturkan oleh Wahyu Bimo Sukarno dari NgeSEC.id. Sementara Rony Agung mengisi sesi akhir di hari ketiga (23/11) pelatihan daring.
Ketiga pembicara di atas dengan kompak menggemakan prinsip dasar yang sama mengenai pengelolaan keamanan data. Keamanan berbanding terbalik dengan kenyamanan, begitulah aksioma yang perlu dipegang dan diterapkan, bahkan diinstitusionalisasi melalui kebijakan lembaga masing-masing. Penyusunan SOP (Standar Operasional Prosedur) khusus tentang Pelindungan Data Pribadi kemudian menjadi salah satu rekomendasi kuat dari rangkaian pelatihan ini.
“Pelatihan ini sesuatu hal yang baru, karena selama ini (kami-red) selalu membuat strategi sendiri dalam mengamankan data,” ujar Didik, salah satu peserta dari Solo, Jawa Tengah. Terdapat banyak pengalaman dan pembelajaran yang menjadi bekal para peserta untuk menerapkan PDP di lingkungan kerja mereka. Para peserta juga kian peduli dan mulai memikirkan pengadaan SOP PDP untuk diterapkan di OMS masing-masing.
Inggrid dari Humanum Maluku mengaku terbantu dengan adanya edukasi mengenai keberadaan, implementasi, hingga bagaimana mengawal UU PDP agar tetap berdasar pada asas keadilan data. “Ini hal yang sangat baru bagi kami, menjadi satu informasi edukasi bagi kami, terutama soal UU PDP,” ungkap Inggrid.
Ihwal senada disampaikan pula oleh Harun, peserta pelatihan luring kedua yang mewakili Papuan Voices. Ia mengungkapkan bahwa pelatihan dari Yayasan Tifa dan Combine ini kian melatih kepedulian sekaligus memantik diri untuk berefleksi. “Dengan pelatihan ini sa juga mulai menahan diri. Ternyata kita banyak sekali lalai menyebarkan informasi pribadi kita tanpa kita juga pahami,” terang Harun.
Jejaring pendukung sebagai salah satu elemen kunci dalam penanganan insiden kebocoran data juga menjadi sorotan Sudiani. Pegiat Lembaga Bantuan Hukum (LBH) Bali Women Crisis Center (WCC) tersebut mengungkapkan bahwa mendapat perkawanan baru serta perspektif beragam dari sesi berbagi pengalaman lintas OMS, merupakan momen berharga, “sehingga sangat penting untuk membuka kembali informasi dan jejaring dari kawan-kawan,” pungkas Sudiani.
Semangat menciptakan iklim pelindungan data pribadi yang aman, adil, dan inklusif perlu digiatkan. Utamanya bagi organisasi masyarakat sipil yang dalam kerja-kerja kemanusiaannya kerap melakukan pengumpulan, penyimpanan, serta pemrosesan data pribadi. Pelbagai langkah mulai dari meningkatkan kesadaran dan tanggung jawab, mengidentifikasi ancaman, menganalisis risiko, memperkuat kapasitas dan jejaring lintas aktor, menangani insiden dengan tepat, hingga melembagakan SOP PDP, merupakan upaya nyata yang bisa diterapkan. Keseluruhan poin di atas relevan dan tak bisa dipisahkan dalam kerja advokasi yang dilakukan OMS. Sebab melindungi data pribadi, tak lain ialah bagian integral dari melindungi hak asasi manusia.