Presiden Joko Widodo (Jokowi) masih ada waktu untuk membentuk Lembaga/Komisi Penyelenggara Pelindungan Data Pribadi (Lembaga/Komisi PDP) meski masa pemerintahannya berakhir pada tanggal 20 Oktober 2024.

Apalagi, keberadaan Lembaga/Komisi PDP merupakan amanat Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Undang-undang ini mulai berlaku pada tanggal 18 Oktober 2024.

Undang-Undang PDP bahkan telah memberikan waktu selama 2 tahun untuk pengendali data pribadi serta prosesor data pribadi dan pihak lain yang terkait dengan pemrosesan data pribadi untuk melakukan penyesuaian.

Karena undang-undang ini ditetapkan dan disahkan pada tanggal 17 Oktober 2022, menurut pakar keamanan siber Dr. Pratama Persadha, batas waktu pembentukan Lembaga/Komisi PDP sampai 17 Oktober 2024.

UU PDP memberikan kerangka hukum yang lebih jelas mengenai pengumpulan, penggunaan, dan penyimpanan data pribadi serta memberikan sanksi yang lebih tegas bagi pelanggaran. Namun, sangat disayangkan sampai sekarang belum juga ada Lembaga/Komisi PDP. Padahal, sanksi hukuman tersebut hanya dapat dijatuhkan oleh lembaga/komisi yang dibentuk oleh Pemerintah dalam hal ini adalah Presiden.

Tak pelak lagi, kebocoran data kian marak karena belum adanya sanksi administratif berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif.

Kabar terkini ada dugaan kebocoran data Direktorat Jenderal Pajak (DJP) Kementerian Keuangan oleh Bjorka. Pada hari Rabu (18/9), DJP Kementerian Keuangan menyatakan tengah mendalami kasus dugaan kebocoran data nomor pokok wajib pajak (NPWP).

Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP Kemenkeu Dwi Astuti menginformasikan bahwa tim teknis DJP sedang melakukan pendalaman.

Dugaan bocornya data NPWP mencuat usai pendiri Ethical Hacker Indonesia Teguh Aprianto mengunggah tangkapan layar situs Breach Forums.

Melalui akun X @secgron, disebutkan bahwa sebanyak 6.000.000 data NPWP diperjualbelikan dalam situs itu oleh akun bernama Bjorka pada tanggal 18 September 2024.

Selain NPWP, data yang juga terseret di antaranya nomor induk kependudukan (NIK), alamat, nomor handphone, email, dan data lainnya. Harga jual seluruh data itu mencapai Rp150 juta.

Dalam cuitan yang sama, Teguh mengatakan bahwa data yang bocor juga termasuk milik Presiden RI Joko Widodo (Jokowi) serta putranya Gibran Rakabuming Raka dan Kaesang Pangarep.

Selain mereka, sejumlah menteri juga termasuk dalam daftar seperti Menteri Komunikasi dan Informasi (Menkominfo) Budi Arie Setiadi, Menteri Keuangan (Menkeu) Sri Mulyani Indrawati, Menteti BUMN Erick Thohir, Menteri Koordinator Bidang Pembangunan Manusia dan Kebudayaan (Menko PMK) Muhadjir Effendy, Menteri Agama (Menag) Yaqut Cholil Qoumas, Menteri Perdagangan (Mendag) Zulkifli Hasan, hingga Menteri Koordinator Bidang Perekonomian Airlangga Hartarto.

Informasi mengenai kebocoran data NPWP itu juga diunggah oleh perusahaan keamanan siber Falcon Feeds di platform X. Namun, dalam pernyataannya, mereka menyebut keaslian informasi itu belum terverifikasi.

Sebelumnya, Lembaga Riset Keamanan Siber CISSReC mengungkapkan berbagai insiden siber terjadi secara beruntun di Indonesia, mulai dari kegagalan sistem Pusat Dana Nasional Sementara (PDNS) karena serangan ransomware, penjualan data pribadi dari seorang peretas dengan nama anonim MoonzHaxor di darkweb yang menawarkan data dari Inafis, Badan Intelijen Strategis (Bais), Kemenhub, KPU, hingga peretasan dan pencurian data pribadi dari 4,7 juta aparatur sipil negara (ASN) yang berasal dari Badan Kepegawaian Negara (BKN).

Maraknya kebocoran data yang terjadi ini, menurut Pratama yang juga dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN), juga menyebabkan meningkatnya penipuan yang memanfaatkan data pribadi yang bocor tersebut, penggunaan data curian untuk mengambil pinjol, serta menerima pengiriman iklan tentang ajakan bermain judi daring (online).

Apalagi, kata dia, pelindungan data pribadi juga masuk ke dalam pelindungan hak asasi manusia karena pelindungan data pribadi juga merupakan amanat dari Pasal 28G Ayat (1) Undang-Undang Dasar (UUD) NRI Tahun 1945 yang menyatakan bahwa setiap orang berhak atas perlindungan data pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.

Dengan tidak adanya Lembaga/Komisi PDP yang dapat memberikan sanksi tersebut, perusahaan atau organisasi yang mengalami kebocoran data pribadi seolah-olah abai terhadap insiden keamanan siber.

Bahkan, mereka juga tidak memublikasikan laporan terkait dengan insiden tersebut. Padahal, hal tersebut melanggar UU PDP Pasal 46 ayat (1). Dalam undang-undang ini menyebutkan bahwa dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi dan lembaga.

Adapun data apa yang perlu diungkapkan diatur dalam Pasal 46 ayat (2) UU PDP, yaitu minimal terkait dengan data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, serta upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.

Aspek hukum lainnya, masih kata Pratama, dari UU PDP adalah Pasal 47. Pasal ini menjelaskan bahwa pengendali data pribadi memiliki kewajiban untuk membuktikan pemenuhan kewajiban dalam menerapkan prinsip-prinsip pelindungan data pribadi.

Dengan demikian, pengendali data pribadi yang mengalami insiden kebocoran data wajib memberikan klarifikasi hasil investigasi serta apa saja metode keamanan yang dipergunakan supaya dapat menjamin keamanan data pribadi yang dikendalikannya.

Selain itu, aspek hukum lainnya adalah ancaman hukum terhadap pelanggaran terhadap UU PDP, sebagaimana diatur dalam Pasal 57 ayat (2) yang menyebutkan denda administratif paling tinggi sebesar 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.

Ancaman pidana penjara paling lama 5 tahun atau denda paling banyak Rp5 miliar, sebagaimana ketentuan pidana dalam Pasal 67 ayat (1) UU PDP.


Tiga Perspektif

Oleh karena itu, pembentukan Lembaga/Komisi PDP merupakan sebuah urgensi yang harus segera diselesaikan oleh Pemerintah, terutama jika dilihat dari tiga perspektif.

Perspektif pertama, menurut Pratama, adalah perspektif keamanan siber karena pembentukan Lembaga/Komisi PDP akan dapat memberikan perlindungan kepada data sensitif, memberikan pencegahan terhadap serangan siber, melakukan penegakan hukum terhadap pelanggaran, peningkatan kesadaran dan edukasi, kolaborasi dengan pihak terkait serta meningkatkan kepercayaan investor serta konsumen.

Perspektif selanjutnya adalah perspektif keamanan nasional, Lembaga/Komisi PDP akan dapat memberikan perlindungan infrastruktur kritis di Indonesia, mencegah spionase dan mata-mata digital, membangun ketahanan terhadap ancaman siber, serta mengurangi kerentanan terhadap serangan asimetris atau perang siber.

Perspektif terakhir adalah dari perspektif ketahanan nasional. Lembaga/Komisi PDP akan dapat menjaga kedaulatan negara dan kedaulatan ekonomi, meningkatkan stabilitas sosial serta menjamin kontinuitas operasional yang menyangkut layanan kepada masyarakat luas.

Pakar keamanan siber Pratama berharap pembentukan Lembaga/Komisi PDP sesuai dengan best practice (praktik terbaik) yang ada, di antaranya adalah lembaga/komisi ini harus memiliki wewenang dan kewenangan yang kuat untuk mengatur, mengawasi dan menegakkan kepatuhan pada standar keamanan data pribadi.

Lembaga/Komisi PDP harus secara teratur melakukan penilaian risiko terhadap data pribadi yang diolah oleh organisasi publik dan swasta. Di samping itu, lembaga/komisi ini juga harus melakukan audit dan pemeriksaan independen terhadap kepatuhan organisasi atas kebijakan dan dan standar keamanan data pribadi.

Hal lainnya yang patut mendapat perhatian adalah Lembaga/Komisi PDP harus mendorong penggunaan teknologi enkripsi dan pengamanan data lainnya untuk melindungi data pribadi dari akses yang tidak sah.

Lembaga/komisi ini juga harus mendorong organisasi untuk memiliki rencana yang terperinci untuk mendeteksi, merespons, dan memulihkan diri dari serangan siber. Selain itu, juga harus bisa mendorong organisasi untuk melaporkan insiden keamanan siber kepada pihak berwenang sesuai dengan regulasi yang berlaku.

Namun, yang perlu diperhatikan oleh Pemerintah dan Presiden tidak hanya terkait dengan kelembagaannya, tetapi juga sangat penting menunjuk pemimpin yang memiliki kompetensi untuk memimpin Lembaga/Komisi PDP.

Pasalnya, kepemimpinan yang memiliki kompetensi tinggi sangatlah krusial mengingat tantangan dalam ruang siber yang makin kompleks dan beragam sehingga memerlukan pemimpin yang memahami secara mendalam berbagai aspek keamanan siber, termasuk ancaman yang berkembang, teknologi terbaru, dan regulasi terkait.

Pemimpin yang berkompeten akan dapat memimpin tim dengan efisien serta mampu merespons dengan cepat dan tepat dalam mengidentifikasi, menganalisis, dan merespons ancaman siber yang muncul dalam menghadapi ancaman siber yang terus berubah.

Kepemimpinan yang kompeten dan efektif akan dapat meningkatkan kepercayaan publik terhadap kemampuan negara dalam melindungi warga dan infrastruktur dari ancaman siber.

Editor: Achmad Zaenal M
 

 

Pewarta: D.Dj. Kliwantoro

Editor : Admin Antarakalbar


COPYRIGHT © ANTARA News Kalimantan Barat 2024