Sekilas Mengenai Regulasi Layanan Cloud Computing

HOME / ARTIKEL HUKUM

Sekilas Mengenai Regulasi Layanan Cloud Computing

Layanan Komputasi Awan atau  “Cloud Computing” dapat dikatakan sebagai salah satu bisnis paling berkibar di Indonesia saat ini. Pasalnya, layanan ini merupakan pondasi ekonomi digital di era industri 4.0. Bersinarnya industri Cloud Computing ini juga dapat dirasakan dengan masuknya raksasa e-commerce dunia di awal tahun 2018. Tercatat per tanggal 15 Maret, Alibaba resmi mengoperasikan pusat data-nya di Indonesia sekaligus menggelontorkan investasi senilai Rp1.1 Milyar ke salah satu unicorn Indonesia, Tokopedia.

Amazon pun tak mau ketinggalan, di pertengahan tahun 2018 ini terdengar kabar bahwa Amazon akan mengoperasikan layanan Cloud Computing melalui Amazon Web Service  (“AWS”) dengan total investasi senilai Rp14.1Trilliun. Masuknya raksasa ecommerce dunia seperti Alibaba,Amazon dan tumbuhnya penyedia layanan Cloud Computing lokal tentu merupakan sinyal baik bagi perekonomian Indonesia dan harus didukung oleh pemerintah. Namun, kepatuhan terhadap perizinan dan regulasi terkait tetap harus diperhatikan pasalnya industri ini berkaitan dengan keamanan dan perlindungan data. Lalu dimana dan bagaimana sebenarnya Cloud Computing diatur?

Hingga saat ini belum ada peraturan yang mengatur secara spesifik  industri penyedia Cloud Computing di Indonesia. Namun, karateristik Cloud Computing yang menyediakan layananan komputer baik sebagai server, media penyimpanan, database dll akan bersinggungan secara tidak langsung dengan beberapa peraturan yang berkaitan dengan perlindungan data pribadi serta ITE (informasi dan teknologi elektronik) seperti :

  1. Undang -Undang No.19 tahun 2016 tentang Perubahan atas Undang-Undang No.11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (“UU ITE”) dan Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP 82/2012”).

 

UU ITE dan PP 82/2012 tidak memberikan definisi terhadap Cloud Computing. Namun, fungsi Cloud Computing masuk ke dalam karateristika  Penyelenggara Sistem Elektronik (“PSE”).  Pasal 1 ayat (4) PP 82/2012  mendefinisikan PSE sebagai pihak yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendirisendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.

 

Sedangkan Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan,dan/atau menyebarkan Informasi Elektronik.

 

Merujuk pada definisi PSE dan Sistem Elektroni tersebut diatas, Cloud Computing yang memiliki cara kerja dan fungsi penyediaan akses jaringan ke dalam wadah bersama guna mendapatkan sumber daya komputasi berupa jaringan, server, aplikasi dan layanan penyimpnanan data dapat dikategorikan sebagai PSE. Oleh sebab itu, ketentuan yang mengatur PSE baik dalam UU ITE maupun PP No.82/2012 juga berlaku bagi penyedia jasa Cloud Computing, diantaranya sebagai berikut:

 

  1. Kewajiban Pendaftaran bagi PSE Pelayanan Publik (Pasal 5)
  2. Kewajiban Sertifikasi Kelaikan Hardware(Pasal 6)
  3. Kewajiban didaftarkannya Software bagi PSE Pelayanan Publik(Pasal 7)
  4. Ketentuan tentang Penggunaan Tenaga Ahli (Pasal 10)
  5. Kewajiban-kewajiban dalam tata kelola Sistem Elektronik (Pasal 12)
  6. Penerapan manajemen risiko penyelenggaraan Sistem Elektronik (Pasal 13)
  7. Kewajiban memiliki kebijakan tata kelola dan SOP (Pasal 14)
  8. Kewajiban dan ketentuan tentang pengelolaan kerahasiaan, keutuhan, dan ketersediaan Data Pribadi (Pasal 15)
  9. Pemenuhan persyaratan tata kelola bagi PSE untuk Pelayanan Publik (Pasal 16)
  10. Penempatan Pusat Data dan Pusat Pemulihan Bencana serta mitigasi atas rencana keberlangsungan kegiatan PSE (Pasal 17)
  11. Pengamanan Penyelenggaraan Sistem Elektronik (Pasal 18 s.d. Pasal 29)
  12. Kewajiban Sertifikasi Kelaikan Sistem bagi PSE Pelayanan Publik (Pasal 30 s.d. Pasal 32)

 

Satu hal yang mungkin masih dalam perdebatan terkait kewajiban PSE bagi penyedia Cloud Computing adalah apakah kewajiban yang melekat pada PSE Pelayanan Publik juga melekat pada penyediaan Cloud Computing yang tidak terkait dengan fungsi Pelayanan Publik? Penyelenggara Layanan Publik sendiri dalam  Pasal 1 angka (2) Peraturan Pemerintah Nomor 96 Tahun 2012 tentang Pelaksanaan Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik (“PP Pelayanan Publik”) didefinisikan sebagai institusi penyelenggara negara, korporasi, lembaga independen yang dibentuk berdasarkan undang-undang untuk kegiatan pelayanan publik, dan badan hukum lain yang dibentuk semata-mata untuk kegiatan pelayanan public.

 

Apabila ternyata penyedia Cloud Computing hanya menyediakan cloud untuk penyimpanan internal perusahaan tanpa ada kaitannya dengan Pelayanan Publik, apakah PSE tersebut juga harus memiliki kewajiban untuk menempatkan Pusat Data dan Pusat Pemulihan Bencana serta mitigasi seperti yang diatur dalam Pasal 17 PP No.82/2012?

Secara normatif, semestinya ketentuan PSE Pelayanan Publik selayaknya tidak berlaku untuk PSE Non-Pelayanan Publik. Akan tetapi, berdasarkan pengalaman kami mendampingi Klien bidang marketplace, ternyata kewajiban-kewajiban yang diberlakukan untuk PSE Pelayanan Publik ternyata juga diberlakukan untuk PSE marketplace. Maka, tak heran saat Alibaba masuk ke Indonesia, ia menempatkan 1 (satu)  pusat data-nya di Indonesia.

Namun, kewajiban ini tidak secara ekplisit diatur dalam peraturan dan/atau edaran tertentu dari pemerintah. Hasilnya, hingga saat ini terdapat beberapa PSE di bidang-bidang tertentu yang tidak mengikuti ketentuan PSE Publik, terutama terkait penempatan pusat data dan pusat pemulihan data di Indonesia. Kekosongan hukum ini tentu perlu diperhatikan oleh pemerintah terutama guna menciptakan kepastian hukum bagi pelaku usaha.

2.  Peraturan Menteri Komunikasi dan Informatika No.20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (“Perkominfo 20/2016”)

Dalam Perkominfo diatur bahwa setiap PSE harus menjaga informasi pemilik data dan tidak menggunakan data pribadi selain daripada tujuan penggunaan yang telah disebutkan pada saat PSE mengumpulkan data pribadi tersebut. Pengolahan, penyebaran, pemanfaatan  data pribadi pun harus berdasarkan persetujuan dari pemilik data. Lebih lanjut diatur secara spesifik dalam Pasal 15 bahwa data pribadi yang disimpan harus dalam bentuk data terenkripsi. Kegagalan untuk menjaga data pribadi dari pemberi data pribadi, maka akan dikenakan sanksi administratif berdasarkan Perkominfo 20/2016 dan sanksi pidana berdasarkan UU ITE.

 

3. Kewajiban perlindungan data pribadi juga diatur dalam peraturan perundang-undangan sektoral sesuai dengan jenis data yang diterima misalnya:

1.Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan.

Dalam Pasal Pasal 57 ayat (1) diatur bahwa, “Setiap orang berhak atas rahasia kondisi kesehatan pribadinya yang telah dikemukakan kepada penyelenggara pelayanan kesehatan.”

2. Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (“UU Adminduk“)

Pasal 1 ayat (22) mendefinisikan Data Pribadi sebagai, “data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.”

Data pribadi yang dimaksud dalam UU Adminduk ini antara lain:

  1. Nomor Kartu Keluarga;
  2. Nomor Induk Kependudukan (NIK);
  3. Tanggal/Bulan/Tahun lahir
  4. Keterangan tentang kecatatan fisik dan/atau mental
  5. NIK Ibu dan ayah kandung
  6. Beberapa catatan peristiwa penting.

Sumber :

  1. Undang-Undang No.19 tahun 2016 tentang Perubahan atas Undang-Undang No.11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik
  2. Undang-Undang Nomor 36 Tahun 2009 tentang Kesehatan
  3. Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan.
  4. Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
  5. Peraturan Pemerintah Nomor 96 Tahun 2012 tentang Pelaksanaan Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik
  6. Peraturan Menteri Komunikasi dan Informatika No.20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik
  7. Aspek Hukum Penerapan Teknologi Komputasi Awan Cloud Computing <https://www.hukumonline.com/klinik/detail/lt50c97b8b0dc50/aspek-hukum-penerapan-teknologi-komputasi-awan-cloud-computing > edisi 23 Januari 2013
  8. NIST, Special Publication 800-145, 2011
  9. Berbagai Peraturan Perlindungan Peraturan Data Pribadi di Indonesia <https://kliklegal.com/ini-berbagai-peraturan-perlindungan-data-pribadi-di-indonesia/ > edisi 18 Juli 2017
  10. Menunggu Amazon Menanam Awan di Indonesia <https://tirto.id/menunggu-amazon-menanam-awan-di-indonesia-c2gW > edisi 25 September 2018
  11. sumber gambar: internet

 

 

 

 

 

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Pencarian
Artikel Terbaru

Artikel Terkait