Jakarta –
Lembaga Studi & Advokasi Masyarakat (ELSAM) mengungkapkan dugaan kebocoran sekitar enam juta data nomor pokok wajib pajak (NPWP) yang berasal dari sistem database Direktorat Jenderal Pajak (DJP) Kementerian Keuangan, menambah catatan panjang kegagalan perlindungan data pribadi di sektor publik.
Selain NPWP, data yang turut terekspos di darkweb dengan dijual USD 10 ribu ini mencakupi nama, alamat, email, nomor HP, dan tanggal lahir. Data Presiden Joko Widodo (Jokowi), Menteri Keuangan Sri Mulyani, hingga Menkominfo Budi Arie Setiadi pun diperjualbelikan.
Masih segar dalam ingatan, belum selesainya kasus serangan ransomware yang melumpuhkan Pusat Data Nasional Sementara (PDNS) 2 sampai soal bocornya data pribadi Aparatur Sipil Negara (ASN) yang diduga berasal dari sistem database BKN yang merupakan institusi publik. Hal ini memberi sinyal mengkhawatirkan.
“Berulangnya kasus kebocoran data yang melibatkan institusi pemerintah ini, kian menambah catatan panjang kegagalan perlindungan data pribadi sektor publik, sekaligus alarm terkait kesiapan sektor publik untuk menjalankan seluruh standar kepatuhan pelindungan data pribadi, dalam kapasitas mereka sebagai pengendali data,” ujar ELSAM dalam keterangan tertulisnya, Jumat (20/9/2024).
Selain itu, dari rentetan insiden yang terjadi, juga memperlihatkan tidak siapnya institusi-institusi terkait, untuk memastikan adanya proses investigasi dan penyelesaian yang tuntas dari setiap insiden kegagalan pelindungan data pribadi.
Bahkan, hampir seluruh insiden data breach yang diduga melibatkan institusi pemerintah, tidak pernah sekalipun dilakukan upaya penegakan hukum yang tuntas.
“Situasi ini tentu mengkhawatirkan, khususnya terkait dengan pembentukan lembaga pelindungan data pribadi, yang dimandatkan oleh UU No 27/2022 tentang Pelindungan Data Pribadi (UU PDP), yang juga merupakan bagian dari institusi pemerintah,” ungkap ELSAM.
Lebih jauh, mencermati insiden data breach yang diduga berasal dari sistem database DJP, Lembaga Studi dan Advokasi Masyarakat (ELSAM) mencatat beberapa permasalahan dan tantangan.
Pertama, berdasarkan Pasal 4 UU PDP, data keuangan pribadi merupakan bagian dari data spesifik atau sensitif, yang dalam pemrosesannya masuk kategori berisiko tinggi, karena terdapat risiko moneter yang dapat berdampak pada kerugian finansial dari pemrosesan data ini, sehingga membutuhkan tingkat pengamanan yang lebih tinggi.
“Dengan risiko tersebut, apabila terjadi kebocoran data sensitif, maka risiko kerugian yang mungkin dialami oleh subjek data juga lebih besar. Apalagi insiden ini diduga mengungkap beberapa elemen data sekaligus, yang memungkinkan diambil alih oleh pihak lain, untuk melakukan autentikasi dan verifikasi layanan yang digunakan oleh subjek data, termasuk layanan keuangan,” jelasnya.
Kedua, mengacu pada ketentuan peralihan UU PDP, masa transisi atau engagement period undang-undang ini akan segera berakhir pada Oktober 2024, artinya mulai Oktober 2024 seharusnya seluruh standar kepatuhan pelindungan data pribadi harus diimplementasikan oleh pengendali dan prosesor data.
“Termasuk juga seluruh mekanisme penegakan hukum terkait dengan pelaksanaan kepatuhan, harus mulai dijalankan. Namun demikian insiden ini sekali lagi memperlihatkan belum siapnya institusi publik dalam mengimplementasikan kewajiban kepatuhan sebagai pengendali dan prosesor data pribadi,” kata ELSAM.
Ketiga, meskipun dalam Penjelasan Pasal 15 huruf c UU PDP tertulis bahwa perpajakan masuk dalam ruang lingkup pengecualian dengan alasan untuk kepentingan umum dalam rangka penyelenggaraan negara, bukan berarti DJP dikecualikan dari kewajiban kepatuhan sebagai pengendali data pribadi, dan bukan berarti pula data pribadi subjek data dikecualikan.
“Pengecualian ini hanya dimaksudkan berkaitan dengan penyelenggaraan fungsi pengawasan dalam penyelenggaraan negara, termasuk yang terkait dengan pengawasan perpajakan. Artinya, data-data pribadi subjek pajak yang diduga terungkap, merupakan dari data pribadi yang dilindungi, dan DJP sebagai pihak pengendali data bertanggung jawab dalam pelindungan tersebut,” pungkasnya.
(agt/fay)
