Kewenangan Otoritas Pengawas Data Pribadi Tetap Perlu Diperkuat
Masyarakat sipil mengharapkan agar otoritas lembaga pengawas pelindungan data pribadi didukung kewenangan yang kuat. Sebab, kebocoran data tidak hanya ada di institusi swasta, tetapi juga terjadi di pemerintahan.
Oleh
DIAN DEWI PURNAMASARI
·3 menit baca
JAKARTA, KOMPAS — Pembentukan otoritas lembaga pengawas pelindungan data pribadi atau PDP oleh pemerintah akan sangat menentukan efektivitas penegakan aturan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Meski demikian, hal itu perlu didukung oleh kewenangan yang kuat untuk mengatasi kebocoran data di Indonesia.
Berdasarkan catatan Safenet, sepanjang 2022 terjadi setidaknya 40 kali kebocoran data dari 60 lembaga publik di Indonesia. Ini diyakini merupakan fenomena gunung es karena hanya didasarkan pada laporan yang masuk dan diliput oleh media. Data riilnya diprediksi jauh lebih banyak.
Pada Januari 2022, 6 juta data pribadi termasuk data kesehatan pribadi, seperti hasil CT Scan dan rontgen, bocor dari website Kementerian Kesehatan. Lebih dari 3,5 juta data pemegang paspor yang meliputi nama lengkap, kode negara, jenis kelamin, tanggal lahir, nomor paspor, tanggal diterbitkan, dan tanggal kedaluwarsa juga bocor dari Direktorat Jenderal Imigrasi Kementerian Hukum dan Hak Asasi Manusia.
Kemudian, pada Februari 2022 juga ada 52 juta data yang berisi detail konsumen otomotif berupa tanda nomor kendaraan bermotor (TNKB), nomor mesin dan rangka kendaraan, nama lengkap pemilik, alamat lengkap, warna kendaraan, tahun kendaraan, dan jenis kendaraan juga bocor dari Kementerian Perhubungan.
Kebocoran data terus berlanjut pada Agustus 2022 saat 17 juta data pribadi pelanggan PLN berisi nama, alamat, dan tipe langganan bocor dari PT PLN. Sebanyak 1,3 miliar data nomor surat izin mengemudi (SIM) yang meliputi nama, jenis pelanggaran, nomor induk kependudukan (NIK), operator, dan tanggal registrasi juga bocor dari Kementerian Komunikasi dan Informatika. Selanjutnya, ada 150 juta data penduduk Indonesia berisi nama, NIK, nomor kartu keluarga (KK), jenis kelamin, tempat tanggal lahir, alamat, dan usia juga bocor. Insiden tersebut terus berlanjut hingga pengujung tahun 2022.
Shevierra Damadiyah dari Koalisi Advokasi Pelindungan Data Pribadi, Sabtu (25/2/2023), mengatakan, masyarakat sipil saat ini terus mengawal masa transisi dua tahun sebelum aturan UU PDP diterapkan sepenuhnya. Salah satunya adalah mengawal pembentukan otoritas pengawas data pribadi yang independen. Ini merupakan sebuah prasyarat penting untuk bisa menerapkan regulasi secara komprehensif dan efektif.
”Walaupun, kita tahu di Pasal 58 UU PDP itu disebutkan bahwa lembaganya akan bertanggung jawab kepada presiden di mana itu akan berada di rumpun kekuasaan eksekutif atau di bawah pemerintah,” tuturnya.
Koalisi berharap lembaga pengawas itu tidak berada di bawah Kementerian Kominfo. Lebih baik dibuat format lembaga pemerintah nonpemerintah, seperti Badan Siber dan Sandi Negara (BSSN). Ini supaya lembaga terhindar dari potensi konflik kepentingan atau menjadi tidak bertaji saat berhadapan dengan pengendali data publik dari lembaga pemerintah sendiri.
Koalisi berharap lembaga pengawas itu tidak berada di bawah Kementerian Kominfo.
”Independensi itu bisa diwujudkan dengan kemandirian keuangan juga pengisian komisioner atau anggotanya diambil dari unsur masyarakat sipil yang memiliki kompetensi di bidang itu sehingga perspektif menjadi lebih kaya,” paparnya.
Menurut dia, di UU PDP sudah dilekatkan fungsi dan wewenang dari otoritas lembaga pengawas untuk melakukan investigasi dan membantu subyek data saat terjadi kebocoran. Agar bisa bekerja secara optimal, lembaga perlu diberi kewenangan yang besar, terutama untuk menegakkan aturan di lintas kementerian dan lembaga.
”Kalau dia tidak punya kewenangan, otomatis dia tidak bisa menegur atau mengingatkan kementerian/lembaga yang mengalami kebocoran data,” katanya.
Direktur Jenderal Aplikasi Informatika Semuel Abrijani Pangerapan mengungkapkan, saat ini pemerintah sedang menyusun peraturan pemerintah (PP) dan peraturan presiden (perpres) sebagai aturan turunan dari UU PDP. Itu akan menjadi payung hukum, termasuk lembaga otoritas pelindungan data pribadi. Kominfo telah membentuk tim, konsultan, dan meminta masukan dari sejumlah pihak untuk itu.
”Harapannya, drafnya bisa segera selesai sehingga bisa dibahas antarkementerian dan lembaga secepatnya,” katanya.
Selama otoritas lembaga pengawas itu belum terbentuk, sanksi administratif berupa denda terhadap lembaga yang tidak memiliki keamanan siber yang baik belum bisa diterapkan. Namun, sanksi lain, seperti pidana, sudah bisa diberlakukan.
Masih ada celah dalam penegakan hukum di UU PDP tersebut. Sanksi pidana hanya diterapkan untuk pelaku peretasan.
Peneliti Periksa Data, Arie Sembiring, berpandangan, UU PDP adalah awal mula yang baik bagi subyek data pribadi di Indonesia. Meskipun demikian, dia melihat masih ada celah dalam penegakan hukum di UU PDP tersebut. Sanksi pidana hanya diterapkan untuk pelaku peretasan.
Bagi lembaga yang mengalami kebocoran data karena tidak punya sistem keamanan data yang baik baru sebatas diberi sanksi administratif berupa denda. Penerapan denda ini pun masih multitafsir karena normanya seolah-olah hanya bisa diterapkan ke perusahaan swasta yang memiliki laba.
”Padahal, sebenarnya subyek data itu juga bisa menuntut apabila datanya bocor atau diproses tanpa persetujuan darinya. Ini ibaratnya kami memarkir mobil di mal, kemudian hilang, apakah bisa menuntut pengelola parkirnya? Bisa, karena sudah ada beberapa gugatan seperti itu dan menang,” tuturnya.