Rabu, 02 November 2016

Cloud

Pertanyaan :
Aspek Hukum Penerapan Teknologi Komputasi Awan (Cloud Computing)
Salam! Maraknya perkembangan teknologi informasi salah satunya adalah Cloud-computing (CC). Dengan teknologi CC, data-data pelanggan/pengguna/user dapat disimpan di berbagai lokasi bahkan di luar negeri secara transparan. Selain persoalan teknis keamanan, keabsahan dan privasi, adakah hukum positif di Indonesia yang mengatur (atau melarang) penyimpanan data di luar wilayah NKRI? Siapa saja yang terkena aturan tersebut? Terima kasih.
Jawaban :

Terima kasih atas pertanyaan Anda.
 
Sebelum kami menjawab tentang pertanyaan Anda. Kami mencoba mendefinisikan Cloud Computing (“CC”) atau yang populer di Indonesia disebut sebagai “Komputasi Awan.” National Institute of Standards and Technology (“NIST”) -Departemen Perdagangan Amerika Serikat, mengartikan CC sebagai suatu model untuk menciptakan kenyamanan dalam akses jaringan sesuai keperluan ke dalam wadah bersama sumber daya komputasi (seperti; jaringan, server, penyimpanan, aplikasi dan layanan) yang dapat dikonfigurasi dengan cepat dan dirilis dengan upaya manajemen yang minimal atau minimal interaksi antar-penyedia jasa manajemen (NIST, Special Publication 800-145, 2011).
 
Dengan model sebagaimana definisi tersebut, saat ini sangat memungkinkan bagi sektor publik, privat, maupun individu untuk menempatkan data atau informasi elektronik miliknya ke dalam fasilitas CC dengan pertimbangan bahwa penggunaan CC akan menciptakan fleksibilitas, efisensi biaya, dan mitigasi risiko atas pengelolaan data/informasi elektronik pengguna.
 
Penyimpanan data/informasi elektronik yang dilakukan penyedia layanan CC itu sendiri pada dasarnya merupakan bagian dari sebuah perjanjian layanan atau Service Level Agreement (“SLA”) yang disepakati antara penyelenggara CC dengan customer. Penempatan data/informasi elektronik oleh penyedia layanan CC secara teknis dapat dilakukan di mana saja sesuai dengan pertimbangan masing-masing penyedia.
 
Kewajiban Penempatan/Penyimpanan Data dalam Penyelenggaraan CC
Sebelum kami menjawab hal tersebut, kami akan menguraikan secara umum tentang kewajiban sebuah Penyelenggara Sistem Elektronik (“PSE”). Penyelenggara CC berdasarkan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE”) dan Peraturan Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP PSTE”) pada dasarnya merupakan bagian dari PSE secara umum. Dengan demikian, semua konsekuensi hukum PSE sebagaimana diatur dalam UU ITE dan PP PSTE berlaku juga bagi penyelenggara CC.
 
Konsekuensi Hukum Penyelenggara SE termasuk penyelenggara CC dalam PP PSTE secara ringkas kami kelompokkan sebagai berikut:
1.    Kewajiban Pendaftaran bagi PSE Pelayanan Publik (Pasal 5)
2.    Kewajiban Sertifikasi Kelaikan Hardware (Pasal 6)
3.    Kewajiban didaftarkannya Software bagi PSE Pelayanan Publik(Pasal 7)
4.    Ketentuan tentang Penggunaan Tenaga Ahli (Pasal 10)
5.    Kewajiban-kewajiban dalam tata kelola SE (Pasal 12)
6.    Penerapan manajemen risiko penyelenggaraan SE (Pasal 13)
7.    Kewajiban memiliki kebijakan tata kelola dan SOP (Pasal 14)
8.    Kewajiban dan ketentuan tentang pengelolaan kerahasiaan, keutuhan, dan ketersediaan Data Pribadi (Pasal 15)
9.    Pemenuhan persyaratan tata kelola bagi PSE untuk Pelayanan Publik (Pasal 16)
10.Penempatan Pusat Data dan Pusat Pemulihan Bencana serta mitigasi atas rencana keberlangsungan kegiatan Penyelenggaraan SE (Pasal 17)
11.Pengamanan Penyelenggaraan Sistem Elektronik (Pasal 18 s.d. Pasal 29)
12.Kewajiban Sertifikasi Kelaikan Sistem bagi PSE Pelayanan Publik (Pasal 30 s.d. Pasal 32)
 
Terkait penempatan data elektronik sebagaimana angka 10 di atas, Pasal 17 ayat (2) dan ayat (3) PP PSTE mewajibkan PSE untuk pelayanan publik wajib menempatkan pusat data atau Data Center (“DC”) dan pusat pemulihan bencana atau Disaster Recovery Center (“DRC”) di wilayah Indonesia.
 
Bunyi lengkap Pasal 17 ayat (2) dan ayat (3) PP PSTE adalah sebagai berikut:
 
(2) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan kedaulatan negara terhadap data warga negaranya.
(3) Ketentuan lebih lanjut mengenai kewajiban penempatan pusat data dan pusat pemulihan bencana di wilayah Indonesia sebagaimana dimaksud pada ayat (2) diatur oleh Instansi Pengawas dan Pengatur Sektor terkait sesuai dengan ketentuan peraturan perundang-undangan setelah berkoordinasi dengan Menteri.
 
Jika suatu penyelenggara CC masuk dalam kategori PSE Pelayanan Publik, maka penyelenggara CC tersebut wajib menempatkan pusat data atau DC dan pusat pemulihan bencana atau DRC di wilayah Indonesia.
 
Pusat Data (Data Center) yang dimaksud Pasal 17 ayat (2) PP PSTE didefinisikan dalam penjelasan Pasal 17 ayat (2) PP PSTE yaitu, “suatu fasilitas yang digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk keperluan penempatan, penyimpanan, dan pengolahan data.” Sedangkan, yang dimaksud dengan Pusat Pemulihan Bencana (Disaster Recovery Center) adalah “suatu fasilitas yang digunakan untuk memulihkan kembali data atau informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak akibat terjadinya bencana yang disebabkan oleh alam atau manusia.”
 
Sayangnya, sanksi atas pelanggaran Pasal 17 ayat (2) PP PSTE tersebut tidak diatur secara tegas. Pasal 84 PP PSTE tentang sanksi administratif, hanya memberikan sanksi jika PSE Pelayanan publik tidak memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya (Pasal 17 ayat [1] PP PSTE). Sementara, ketidakpatuhan atas kewajiban penempatan DC/DRC di Indonesia apakah dapat dikategorikan sebagai perbuatan “tidak memiliki rencana keberlangsungan kegiatan” sebagaimana Pasal 17 ayat (1) PP PSTE masih belum dapat dijelaskan lebih lanjut.
 
Pasal 17 PP PSTE tersebut tentu saja masih membutuhkan penjabaran yang lebih komprehensif dalam bentuk Peraturan Menteri atau peraturan dari masing-masing sektor terkait, mengingat penempatan DC atau DRC dalam Pasal 17 belum cukup jelas mengatur tentang batasan teknis tentang fasilitas apa yang dapat disebut sebagai DC/DRC, bagaimana jika PSE untuk pelayanan publik tidak memiliki DC/DRC (misalkan, menggunakan layanan hosting karena data elektronik yang disimpan hanya berskala kecil), apakah semua fasilitas yang terdapat dalam sebuah DC/DRC wajib ditempatkan di Indonesia atau hanya yang sebagaian saja yang terkait terkait data pelayanan publik, bagaimana pengaturannya jika ditempatkan secara virtual pada layanan cloud, dan masih banyak lagi pertanyaan yang perlu dijabarkan secara rinci dalam peraturan turunan pasal tersebut.
 
Terkait penempatan data/infomasi elektronik, tentu timbul pertanyaan apakah penyelenggara CC masuk dalam kategori PSE Pelayanan Publik? Secara normatif, yang dimaksud Pelayanan Publik berdasarkan Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik dan Peraturan Pemerintah Nomor 96 Tahun 2012 tentang Pelaksanaan Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan Publik (“PP Pelayanan Publik”) adalah kegiatan atau rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang, jasa, dan/ atau pelayanan administratif yang disediakan oleh penyelenggara pelayanan publik.
 
Sedangkan, definisi Penyelenggara Pelayanan Publik adalah setiap institusi penyelenggara negara, korporasi, lembaga independen yang dibentuk berdasarkan undang-undang untuk kegiatan pelayanan publik, dan badan hukum lain yang dibentuk semata-mata untuk kegiatan pelayanan publik (Pasal 1 angka [2] PP Pelayanan Publik).
 
Ruang lingkup Pelayanan Publik meliputi:
a. pelayanan barang publik;
b. pelayanan jasa publik; dan
c. pelayanan administratif.
 
Penyelenggaraan SE Pelayanan Publik, berdasarkan PP Pelayanan Publik masuk dalam kategori pelayanan jasa publik yang pembiayaannya tidak bersumber dari anggaran pendapatan dan belanja negara atau anggaran pendapatan dan belanja daerah  tetapi ketersediaannya menjadi Misi Negara yang ditetapkan dalam peraturan perundang-undangan (Pasal 5 huruf c PP Pelayanan Publik).
 
Penyelenggara Pelayanan Publik dapat berupa badan hukum lain (selain instansi pemerintah, BUMN, atau lembaga independen) yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara (Pasal 10 ayat [1] huruf b PP Pelayanan Publik). Yang dimaksud dengan "badan hukum lain" dalam penjelasan pasal tersebut ini adalah badan swasta baik berbentuk korporasi maupun yayasan yang menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara. Pelaksanaan Misi Negara dalam hal ini meliputi pelayanan yang seharusnya diselenggarakan oleh pemerintah, tetapi karena keterbatasan kemampuan pemerintah, sehingga dilaksanakan oleh badan swasta dengan biaya dari pemerintah yang disebut subsidi.
 
Badan hukum lain tersebut dapat dikategorikan Pelayanan Publik apabila memiliki besaran nilai aktiva paling sedikit 50 (lima puluh) kali besaran pendapatan per kapita per tahun di wilayah administrasi pemerintahan Penyelenggara pada tahun berjalan dan jaringan pelayanan yang pengguna pelayanannya tidak dibatasi oleh wilayah administrasi pemerintahan (Pasal 10 ayat [2] PP Pelayanan Publik).
 
Sebagai contoh, misalnya sebuah perusahaan CC memberikan pelayanan penggunaan infrastruktur dan platform kepada sebuah rumah sakit yang memiliki nilai aktiva (aset) sebesar Rp100 miliar. Dengan asumsi pendapatan per kapita nasional sebesar Rp31,8 juta (tahun 2011), maka nilai minimal pengkategorian sebuah badan hukum yang menjalankan misi negara sebagai penyelenggara pelayanan publik adalah sebesar Rp1.590.000.000,- (Rp31,8 juta dikali 50). Dengan demikian, rumah sakit tersebut dikategorikan sebagai penyelenggaara layanan publik. Sedangkan, perusahaan CC tersebut, menurut pendapat kami, dapat dikatakan penyelenggara pelayanan publik tidak langsung, sehingga hal-hal yang berkaitan dengan penempatan data/informasi elektronik milik rumah sakit tersebut harus berada di wilayah Indonesia (Pasal 17 ayat [2] UU ITE).
 
Contoh lain, jika Penyelenggara CC tersebut misalkan hanya memberikan pelayanan CC kepada perusahaan pertambangan untuk keperluan internal sistem informasi manajemen perusahaan, maka penyelenggara CC tersebut bukan PSE Pelayanan Publik dan tidak ada kewajiban bagi penyelenggara CC tersebut terhadap pasal-pasal dalam PP PSTE terkait Penyelenggaraan PSE bagi Pelayanan Publik. Dengan demikian, penyedia layanan CC tersebut berhak menempatkan di manapun data/informasi elektronik pelanggannya sesuai dengan SLA yang disepakati.
 
Meskipun PP Pelayanan Publik sudah diterbitkan, menurut pendapat subyektif kami, pengkategorian PSE Pelayanan Publik terkait pelaksanaan Misi Negara berdasarkan PP Pelayanan Publik tersebut masih perlu untuk dijabarkan lebih lanjut dalam peraturan turunannya. Mengingat masih terdapat beberapa pemahaman yang kurang lengkap bahkan misleading. Misalnya, perlu adanya definisi yang lebih tegas tentang apa yang dimaksud dengan “Misi Negara”. Dalam hal ini, apakah suatu badan hukum swasta bisa menjadi penyelenggara pelayanan publik jika menjalankan Misi Negara, namun tidak mendapatkan subsidi pemerintah? Apakah penyelenggara pelayanan masyarakat dengan nilai aktiva di bawah 50 kali pendapatan per kapita nasional seperti puskesmas atau sekolah dasar tetap dikategorikan penyelenggara pelayanan publik dll?
 
Demikian jawaban kami, semoga membantu.
 
Dasar Hukum:
 
Referensi:
NIST, Special Publication 800-145, 2011

Tidak ada komentar:

Posting Komentar