Definisi Cloud
Computing (“CC”) atau yang populer di Indonesia disebut sebagai
“Komputasi Awan.” National Institute
of Standards and
Technology (“NIST”) -Departemen Perdagangan Amerika Serikat, mengartikan CC
sebagai :
“suatu model untuk menciptakan kenyamanan dalam
akses jaringan sesuai keperluan ke dalam wadah bersama sumber daya komputasi
(seperti; jaringan, server, penyimpanan, aplikasi dan layanan) yang
dapat dikonfigurasi dengan cepat dan dirilis dengan upaya manajemen yang
minimal atau minimal interaksi antar-penyedia jasa manajemen” (NIST, Special
Publication 800-145, 2011).
Dengan
model sebagaimana definisi tersebut, saat ini sangat memungkinkan bagi sektor
publik, privat, maupun individu untuk menempatkan data atau informasi
elektronik miliknya ke dalam fasilitas CC dengan pertimbangan bahwa penggunaan
CC akan menciptakan fleksibilitas, efisensi biaya, dan mitigasi risiko atas
pengelolaan data/informasi elektronik pengguna.
Penyimpanan
data/informasi elektronik yang dilakukan penyedia layanan CC itu sendiri pada
dasarnya merupakan bagian dari sebuah perjanjian layanan atau Service Level
Agreement (“SLA”) yang disepakati antara
penyelenggara CC dengan customer. Penempatan data/informasi elektronik
oleh penyedia layanan CC secara teknis dapat dilakukan di mana saja sesuai
dengan pertimbangan masing-masing penyedia.
Kewajiban
Penempatan/Penyimpanan Data dalam Penyelenggaraan CC
Berikut
diuraikan secara umum kewajiban sebuah Penyelenggara Sistem Elektronik (“PSE”).
Penyelenggara CC berdasarkan Undang-Undang Nomor 11 Tahun 2008 tentang
Informasi dan Transaksi Elektronik (“UU ITE”) dan Peraturan Pemerintah
No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik
(“PP PSTE”) pada dasarnya merupakan bagian dari PSE secara umum. Dengan
demikian, semua konsekuensi hukum PSE sebagaimana diatur dalam UU ITE dan PP
PSTE berlaku juga bagi penyelenggara CC.
Konsekuensi
Hukum Penyelenggara SE termasuk penyelenggara CC dalam PP PSTE secara ringkas dikelompokkan
sebagai berikut:
- Kewajiban
Pendaftaran bagi PSE Pelayanan Publik (Pasal 5)
- Kewajiban Sertifikasi Kelaikan Hardware (Pasal 6)
- Kewajiban didaftarkannya Software bagi PSE
Pelayanan Publik(Pasal 7)
- Ketentuan tentang Penggunaan Tenaga Ahli (Pasal 10)
- Kewajiban-kewajiban dalam tata kelola SE (Pasal 12)
- Penerapan manajemen risiko penyelenggaraan SE (Pasal
13)
- Kewajiban memiliki kebijakan tata kelola dan SOP (Pasal
14)
- Kewajiban dan ketentuan tentang pengelolaan kerahasiaan,
keutuhan, dan ketersediaan Data Pribadi (Pasal 15)
- Pemenuhan persyaratan tata kelola bagi PSE untuk
Pelayanan Publik (Pasal 16)
- Penempatan Pusat Data dan Pusat Pemulihan Bencana serta
mitigasi atas rencana keberlangsungan kegiatan Penyelenggaraan SE (Pasal 17)
- Pengamanan Penyelenggaraan Sistem Elektronik (Pasal 18
s.d. Pasal 29)
- Kewajiban Sertifikasi Kelaikan Sistem bagi PSE Pelayanan
Publik (Pasal 30 s.d. Pasal 32).
Terkait penempatan data elektronik sebagaimana
angka 10 di atas, Pasal 17 ayat (2) dan ayat (3) PP PSTE mewajibkan
PSE untuk pelayanan publik wajib menempatkan pusat data atau Data
Center (“DC”) dan pusat pemulihan bencana atau Disaster Recovery Center
(“DRC”) di wilayah Indonesia.
Bunyi lengkap Pasal 17 ayat (2) dan ayat (3) PP
PSTE adalah sebagai berikut:
(2) Penyelenggara Sistem Elektronik untuk pelayanan
publik wajib menempatkan pusat data dan pusat pemulihan bencana di wilayah
Indonesia untuk kepentingan penegakan hukum, perlindungan, dan penegakan
kedaulatan negara terhadap data warga negaranya.
(3) Ketentuan lebih lanjut mengenai kewajiban
penempatan pusat data dan pusat pemulihan bencana di wilayah Indonesia
sebagaimana dimaksud pada ayat (2) diatur oleh Instansi Pengawas dan Pengatur
Sektor terkait sesuai dengan ketentuan peraturan perundang-undangan setelah
berkoordinasi dengan Menteri.
Jika suatu penyelenggara CC masuk dalam kategori
PSE Pelayanan Publik, maka penyelenggara CC tersebut wajib menempatkan pusat
data atau DC dan pusat pemulihan bencana atau DRC di wilayah Indonesia.
Pusat Data (Data Center) yang dimaksud
Pasal 17 ayat (2) PP PSTE didefinisikan dalam penjelasan Pasal 17 ayat (2)
PP PSTE yaitu,
“suatu fasilitas yang
digunakan untuk menempatkan Sistem Elektronik dan komponen terkaitnya untuk
keperluan penempatan, penyimpanan, dan pengolahan data.” Sedangkan, yang
dimaksud dengan Pusat Pemulihan Bencana (Disaster Recovery Center)
adalah “suatu fasilitas yang digunakan untuk memulihkan kembali data atau
informasi serta fungsi-fungsi penting Sistem Elektronik yang terganggu atau rusak
akibat terjadinya bencana yang disebabkan oleh alam atau manusia.”
Sayangnya, sanksi atas pelanggaran Pasal 17 ayat
(2) PP PSTE tersebut tidak diatur secara tegas. Pasal 84 PP PSTE
tentang sanksi administratif, hanya memberikan sanksi jika PSE Pelayanan publik
tidak memiliki rencana keberlangsungan kegiatan untuk menanggulangi gangguan
atau bencana sesuai dengan risiko dari dampak yang ditimbulkannya (Pasal
17 ayat [1] PP PSTE). Sementara, ketidakpatuhan atas kewajiban penempatan
DC/DRC di Indonesia apakah dapat dikategorikan sebagai perbuatan “tidak
memiliki rencana keberlangsungan kegiatan” sebagaimana Pasal 17 ayat (1) PP
PSTE masih belum dapat dijelaskan lebih lanjut.
Pasal 17 PP PSTE tersebut tentu saja masih
membutuhkan penjabaran yang lebih komprehensif dalam bentuk Peraturan Menteri
atau peraturan dari masing-masing sektor terkait, mengingat penempatan DC atau
DRC dalam Pasal 17 belum cukup jelas mengatur tentang batasan teknis tentang
fasilitas apa yang dapat disebut sebagai DC/DRC, bagaimana jika PSE untuk
pelayanan publik tidak memiliki DC/DRC (misalkan, menggunakan layanan hosting
karena data elektronik yang disimpan hanya berskala kecil), apakah semua
fasilitas yang terdapat dalam sebuah DC/DRC wajib ditempatkan di Indonesia atau
hanya yang sebagaian saja yang terkait terkait data pelayanan publik, bagaimana
pengaturannya jika ditempatkan secara virtual pada layanan cloud,
dan masih banyak lagi pertanyaan yang perlu dijabarkan secara rinci dalam
peraturan turunan pasal tersebut.
Terkait penempatan data/infomasi elektronik, tentu
timbul pertanyaan apakah penyelenggara CC masuk dalam kategori PSE
Pelayanan Publik? Secara normatif, yang dimaksud Pelayanan Publik berdasarkan Undang-Undang
Nomor 25 Tahun 2009 tentang Pelayanan Publik dan Peraturan Pemerintah
Nomor 96 Tahun 2012 tentang Pelaksanaan Undang-Undang Nomor 25 Tahun 2009
tentang Pelayanan Publik (“PP Pelayanan Publik”) adalah
”kegiatan atau
rangkaian kegiatan dalam rangka pemenuhan kebutuhan pelayanan sesuai dengan
peraturan perundang-undangan bagi setiap warga negara dan penduduk atas barang,
jasa, dan/ atau pelayanan administratif yang disediakan oleh penyelenggara
pelayanan publik.”
Sedangkan, definisi Penyelenggara Pelayanan
Publik adalah setiap institusi penyelenggara negara, korporasi, lembaga
independen yang dibentuk berdasarkan undang-undang untuk kegiatan pelayanan
publik, dan badan hukum lain yang dibentuk semata-mata untuk kegiatan pelayanan
publik (Pasal 1 angka [2] PP Pelayanan Publik).
Ruang lingkup Pelayanan Publik meliputi:
a.
pelayanan barang publik;
b.
pelayanan jasa publik; dan
c.
pelayanan administratif.
Penyelenggaraan SE Pelayanan Publik, berdasarkan
PP Pelayanan Publik masuk dalam kategori pelayanan jasa publik yang
pembiayaannya tidak bersumber dari anggaran pendapatan dan belanja negara atau
anggaran pendapatan dan belanja daerah tetapi ketersediaannya
menjadi Misi Negara yang ditetapkan dalam peraturan perundang-undangan (Pasal 5
huruf c PP Pelayanan Publik).
Penyelenggara Pelayanan Publik dapat berupa badan
hukum lain (selain instansi pemerintah, BUMN, atau lembaga independen) yang
menyelenggarakan Pelayanan Publik dalam rangka pelaksanaan Misi Negara (Pasal
10 ayat [1] huruf b PP Pelayanan Publik). Yang dimaksud dengan "badan
hukum lain" dalam penjelasan pasal tersebut ini adalah badan swasta
baik berbentuk korporasi maupun yayasan yang menyelenggarakan Pelayanan Publik
dalam rangka pelaksanaan Misi Negara. Pelaksanaan Misi Negara dalam hal ini
meliputi pelayanan yang seharusnya diselenggarakan oleh pemerintah, tetapi
karena keterbatasan kemampuan pemerintah, sehingga dilaksanakan oleh badan
swasta dengan biaya dari pemerintah yang disebut subsidi.
Badan hukum lain tersebut dapat dikategorikan
Pelayanan Publik apabila memiliki besaran nilai aktiva paling
sedikit 50 (lima puluh) kali besaran pendapatan per kapita per tahun
di wilayah administrasi pemerintahan Penyelenggara pada tahun berjalan dan
jaringan pelayanan yang pengguna pelayanannya tidak dibatasi oleh wilayah
administrasi pemerintahan (Pasal 10 ayat [2] PP Pelayanan Publik).
Sebagai contoh, misalnya sebuah perusahaan CC
memberikan pelayanan penggunaan infrastruktur dan platform kepada sebuah
rumah sakit yang memiliki nilai aktiva (aset) sebesar Rp100 miliar. Dengan
asumsi pendapatan per kapita nasional sebesar Rp31,8 juta (tahun 2011), maka nilai
minimal pengkategorian sebuah badan hukum yang menjalankan misi negara sebagai
penyelenggara pelayanan publik adalah sebesar
Rp1.590.000.000,- (Rp31,8 juta dikali 50).
Dengan demikian, rumah sakit
tersebut dikategorikan sebagai penyelenggaara layanan publik. Sedangkan,
perusahaan CC tersebut, menurut pendapat kami, dapat dikatakan penyelenggara
pelayanan publik tidak langsung, sehingga hal-hal yang berkaitan dengan
penempatan data/informasi elektronik milik rumah sakit tersebut harus
berada di wilayah Indonesia (Pasal 17 ayat [2] UU ITE).
Contoh lain, jika Penyelenggara CC tersebut
misalkan hanya memberikan pelayanan CC kepada perusahaan pertambangan untuk
keperluan internal sistem informasi manajemen perusahaan, maka penyelenggara CC
tersebut bukan PSE Pelayanan Publik dan tidak ada kewajiban bagi
penyelenggara CC tersebut terhadap pasal-pasal dalam PP PSTE terkait
Penyelenggaraan PSE bagi Pelayanan Publik. Dengan demikian, penyedia layanan CC
tersebut berhak menempatkan di manapun data/informasi elektronik
pelanggannya sesuai dengan SLA yang disepakati.
Meskipun PP Pelayanan Publik sudah diterbitkan,
menurut pendapat subyektif kami, pengkategorian PSE Pelayanan Publik terkait
pelaksanaan Misi Negara berdasarkan PP Pelayanan Publik tersebut masih perlu
untuk dijabarkan lebih lanjut dalam peraturan turunannya. Mengingat masih
terdapat beberapa pemahaman yang kurang lengkap bahkan misleading. Misalnya,
perlu adanya definisi yang lebih tegas tentang apa yang dimaksud dengan “Misi
Negara”.
Dalam hal ini, apakah suatu badan hukum swasta bisa menjadi
penyelenggara pelayanan publik jika menjalankan Misi Negara, namun tidak
mendapatkan subsidi pemerintah? Apakah penyelenggara pelayanan masyarakat
dengan nilai aktiva di bawah 50 kali pendapatan per kapita nasional seperti
puskesmas atau sekolah dasar tetap dikategorikan penyelenggara pelayanan publik
dll?
Dasar
Hukum:
- Undang-Undang
Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik
- Undang-Undang Nomor 25 Tahun 2009 tentang Pelayanan
Publik
- Peraturan
Pemerintah No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi
Elektronik
- Peraturan
Pemerintah Nomor 96 Tahun 2012 tentang Pelaksanaan Undang-Undang Nomor 25 Tahun
2009 tentang Pelayanan Publik
Referensi:
NIST, Special Publication 800-145, 2011
Source : http://www.hukumonline.com/klinik/detail/lt50c97b8b0dc50/aspek-hukum-penerapan-teknologi-komputasi-awan-%28cloud-computing%29