Jakarta –
Dalam Undang-undang Perlindungan Data Pribadi (PDP) diamanatkan pembentukan pengawas PDP yang berperan sebagai ‘wasit’ di era digital. Deadline untuk pembentukan Lembaga ini adalah 17 Oktober 2024.
Dr Pratama Persadha Chairman Lembaga Riset Keamanan Siber CISSReC menyampaikan bahwa adanya potensi pelanggaran Presiden Joko Widodo apabila sampai batas waktunya belum membentuk lembaga tersebut.
Dalam rilis yang diterima detikINET, Jumat (20/9/2024) Pratama menyebut ada banyak insiden siber yang terjadi secara beruntun di Indonesia. Sebutlah kegagalan sistem PDN karena serangam ransomware, penjualan data pribadi dari seorang peretas dengan nama anonim MoonzHaxor di darkweb yang menawarkan data dari Inafis, BAIS, Kemenhub, KPU, peretasan dan pencurian data pribadi dari 4,7 juta ASN yang berasal dari BKN, serta yang paling akhir adalah dugaan kebocoran data Dirjen Pajak oleh Bjorka.
“Maraknya kebocoran data yang terjadi ini juga menyebabkan meningkatnya penipuan-penipuan yang memanfaatkan data pribadi yang bocor tersebut, penggunaan data curian untuk mengambil pinjol, serta menerima pengiriman iklan tentang ajakan bermain judi online,” jabarnya.
Menurut Pratama, salah satu penyebab maraknya kebocoran data yang terjadi adalah belum adanya sanksi, baik sanksi administratif maupun sanksi berupa denda, kepada perusahaan atau organisasi yang mengalami kebocoran data. Sanksi hukuman tersebut hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah, dalam hal ini adalah Presiden.
“Bulan depan, tepatnya pada tanggal 18 Oktober 2024 akan menjadi hari pertama Undang-Undang Pelindungan Data Pribadi (UU PDP) mulai berlaku setelah ditetapkan dan disahkan pada tanggal 17 Oktober 2022. UU ini telah memberikan waktu selama 2 tahun untuk Pengendali Data Pribadi serta Prosesor Data Pribadi dan pihak lain yang terkait dengan pemrosesan data pribadi untuk melakukan penyesuaian,” terangnya.
UU PDP ini memberikan kerangka hukum yang lebih jelas mengenai pengumpulan, penggunaan, dan penyimpanan data pribadi. Ada juga sanksi yang lebih tegas bagi pelanggaran. Namun, Presiden Joko Widodo sampai sekarang belum juga membentuk lembaga ini.
“Apabila Presiden tidak dengan segera membentuk Lembaga Penyelenggara PDP sampai batas waktu 17 Oktober 2024, Presiden Jokowi berpotensi melanggar UU PDP. UU PDP ini mengamanatkan kepada Presiden untuk membentuk Lembaga Penyelenggara PDP seperti yang tertera pada pasal 58 sampai dengan pasal 61 yang mengatur tentang kelembagaan UU PDP ini,” kata Pratama.
Perlindungan Data Pribadi dan UU
Pelindungan Data Pribadi juga masuk ke dalam pelindungan hak asasi manusia. Pelindungan Data Pribadi juga merupakan amanat dari Pasal 28G ayat (1) Undang-Undang Dasar Tahun 1945 yang menyatakan bahwa ‘Setiap orang berhak atas perlindungan data pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi’.
Dengan tidak adanya Lembaga Penyelenggara PDP yang dapat memberikan sanksi tersebut, maka perusahaan atau organisasi yang mengalami kebocoran data pribadi bisa menjadi abai. Mereka juga tidak mempublikasikan laporan terkait insiden tersebut, padahal itu melanggar pasal 46 ayat 1 yang diamanatkan dalam Undang-Undang no 27 Tahun 2022 tentang Pelindungan Data Pribadi.
Aspek hukum lainnya dari UU PDP adalah Pasal 47 yang menjelaskan bahwa pengendali data pribadi memiliki kewajiban untuk membuktikan pemenuhan kewajiban dalam menerapkan prinsip-prinsip pelindungan data pribadi, sehingga pengendali data pribadi yang mengalami insiden kebocoran data wajib memberikan klarifikasi hasil investigasi serta apa saja metode keamanan yang dipergunakan supaya dapat menjamin keamanan data pribadi yang dikendalikannya.
Selain itu aspek hukum lainnya adalah ancaman hukum terhadap pelanggaran terhadap UU PDP seperti Pasal 57 ayat (2) yang mengatur tentang denda administratif paling tinggi sebesar 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran, serta Pasal 65 ayat (1) yang mengatur pidana penjara.
Pemimpin Lembaga Penyelenggara PDP Harus Kompeten
Lebih lanjut, Pratama menekankan bahwa Lembaga Penyelenggara PDP yang dibentuk harus memiliki wewenang dan kewenangan yang kuat untuk mengatur, mengawasi dan menegakkan kepatuhan terhadap standar keamanan data pribadi. Lembaga Penyelenggara PDP harus secara teratur melakukan penilaian risiko terhadap data pribadi yang diolah oleh organisasi publik dan swasta.
“Lembaga Penyelenggara PDP juga harus melakukan audit dan pemeriksaan independen terhadap kepatuhan organisasi atas kebijakan dan dan standar keamanan data pribadi. Kemudian Lembaga Penyelenggara PDP harus mendorong penggunaan teknologi enkripsi dan pengamanan data lainnya untuk melindungi data pribadi dari akses yang tidak sah,” dorongnya.
Kemudian, dia berharap Lembaga Penyelenggara PDP juga dapat mendorong organisasi untuk memiliki rencana yang terperinci untuk mendeteksi, merespon, dan memulihkan diri dari serangan siber. Selain itu Lembaga Penyelenggara PDP juga harus dapat mendorong organisasi untuk melaporkan insiden keamanan siber kepada pihak berwenang sesuai dengan regulasi yang berlaku.
Terakhir dan tak kalah penting, Pratama menegaskan perlunya menunjuk pemimpin yang memiliki kompetensi untuk memimpin Lembaga Penyelenggara PDP. Ini dikarenakan kepemimpinan yang memiliki kompetensi tinggi dibutuhkan, mengingat tantangan dalam ruang siber semakin kompleks dan beragam.
“Pemimpin yang berkompeten akan dapat memimpin tim dengan efisien serta mampu merespons dengan cepat dan tepat dalam mengidentifikasi, menganalisis, dan merespons ancaman siber yang muncul dalam menghadapi ancaman siber yang terus berubah. Kepemimpinan yang kompeten dan efektif akan dapat meningkatkan kepercayaan publik terhadap kemampuan negara dalam melindungi warga dan infrastruktur dari ancaman siber,” tandasnya.
(ask/fay)
