Peretas bernama Bjorka beberapa waktu lalu menjadi buah bibir di internet. Ia diduga adalah otak di balik kebocoran data yang terjadi di Indonesia.
Bjorka mengklaim telah membobol data 1,3 miliar SIM card prabayar. Selain itu, ia juga berhasil membobol data lain seperti data pemilih KPU, PLN, dan pengguna Indidhome.
Di tengah kasus kebocoran data yang terjadi, di Senayan justru terjadi perdebatan cukup hebat antara Komisi I DPR bersama dengan Kementerian Komunikasi dan Informatika.
Dalam rapat dengar yang diadakan oleh DPR, Kominfo mengaku kebocoran data itu bukan tugasnya. Melainkan Kominfo melempar tanggung jawab tersebut pada Badan Siber dan Sandi Negara.
Kominfo memang menjadi instansi yang cukup ramai dibicarakan akhir-akhir ini. Terutama setelah kasus kebocoran data menyeruak ke publik.
Namun ketika publik berharap Kominfo melakukan tindakan nyata, Kominfo justru melempar tanggung jawab tersebut dan membuat himbauan yang tidak perlu.
Misalnya meminta masyarakat untuk setiap hari mengganti password guna menghindari kebocoran data. Selain itu, masyarakat juga diminta untuk menjaga NIK agar aman.
Persoalannya adalah data seperti NIK sudah dikelola oleh Kominfo terutama saat registrasi kartu prabayar. Sepatutnya Kominfo yang harus menjaga NIK masyarakat tetap aman.
Di sisi lain, dengan adanya kasus kebocoran data perlahan-lahan orang mulai mengerti jika data pribadi adalah hal yang berharga. Selain itu, data pribadi juga memiliki nilai ekonomis tinggi.
Di luar itu, banyaknya kasus kebocoran data yang terjadi saat ini menjadi pukulan bagi pemerintah bahwa dunia siber kita lemah. Untuk itu, di tengah kasus kebocoran data saat ini pemerintah dan DPR harus segera mengesahkan RUU Perlindungan Data Pribadi (RUU PDP).
Keberadaan RUU PDP memberi kepastian hukum bagi masyarakat. Terutama untuk "menuntut" lembaga mana yang paling bertanggung jawab atas kebocoran data sehingga saling lempar tanggung jawab tidak terjadi lagi.
Urgensi RUU PDP
Sama seperti produk undang-undang lain yang dibutuhkan masyarakat, RUU PDP sudah dirancang tahun 2016. Namun baru masuk prolegnas pada tahun 2019.
Namun hingga tahun 2021 pembahasan RUU PDP masih mandeg. Hingga pada akhirnya di tahun 2022 ini RUU PDP kembali menjadi perbincangan setelah kasus kebocoran data yang terjadi selalu berulang.
Ada beberapa hal yang menurut saya RUU PDP harus segera disahkan alias sudah urgen. Pertama, dari sisi yuridis keberadaan RUU PDP adalah bentuk nyata negara untuk melindungi hak privasi warganya. Hal itu tercantum dalam Pasal 28 G UUD 1945 dan UU No. 39 Tahun 1999 tentang Hak Asasi Manusia.
Hak atas privasi masyarakat merupakan bagian dari hak asasi manusia yang bersifat universal. Untuk itu, pemerintah wajib melindungi hak asasi warganya agar tetap aman dan tidak disalahgunakan pihak tidak bertanggung jawab.
Bentuk pemenuhan hak tersebut dari pemerintah ialah adanya instrumen hukum yang melindungi hak atas privasi warga, dalam hal ini tentu RUU PDP.
Kedua dari sisi sosiologis. Kebocoran data bukan hal baru dan terus berulang. Kasus kebocoran data akhir-akhir ini sudah cukup untuk membuktikan bahwa masyarakat membutuhkan RUU PDP untuk memberi perlindungan hukum.
Jika kita mengacu lebih jauh, korban doxing bahkan sudah menyentuh pemangku negara seperti menteri, ketua DPR, hingga dokumen negara. Itu artinya berkaca dari kasus di atas RUU PDP sangat dibutuhkan.
Ketiga, memberi kepatian bagi pelaku usaha. Seperti yang kita ketahui, pengelola data tidak hanya pada sektor pemerintah semata tapi pelaku swasta dalam hal ini pelaku usaha.
Misalnya, e-commerce hingga fitur paylater dan aplikasi lain yang meminta data pribadi. Dengan adanya RUU PDP tentu bisa memberi legalitas bagi pelaku usaha untuk mengelola data pribadi.
Di luar itu, jika terjadi kebocoran data yang dilakukan oleh pengelola data, maka tidak akan saling lempar tanggung jawab. Hal itu seharusnya menjadi tanggung jawab pengelola data.
Kepastian tersebut tercantum dalam Pasal 67 sampai Pasal 70. Secara garis besar pasal tersebut mengatur pihak yang bertanggung jawab atas kebocoran data. Hal itu bisa terjadi pada individu atau korporasi.
Sanksi bagi individu yang membocorkan atau memanfaatkan data pribadi orang lain beragam mulai dari penjara hingga denda sebanyak Rp. 5 miliar.
Sementara itu, jika korporasi yang membocorkan atau menyalahgunakan data tidak sebagaimana mestinya, maka hal itu dibebankan pada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau Korporasi.
Sementara itu, jika korporasi lalai atas kebocoran data maka dapat dijatuhkan denda sebagaimana diatur dalam Pasal 70 RUU PDP. Selain itu, korporasi juga bisa dikenakan sanksi tambahan seperti perampasan keuntungan, pencabutan ijin usaha, hingga pembubaran.
Tentu keberadaan pasal tersebut cukup untuk memberi kepastian bagi publik. Utamanya dalam menuntut pihak mana yang paling bertanggung jawab jika kasus kebocoran data kembali terjadi.
Lembaga pengawas
Salah satu hal yang membuat pembahasan RUU PDP mandeg adalah terkait posisi lembaga pengawas. Kominfo menegaskan jika lembaga pengawas data pribadi berada di bawah pemerintah.
Sementara DPR memiliki pandangan lain yakni lembaga pengawas data pribadi harus independen. Menurut hemat saya, sebaiknya lembaga pengawas data pribadi independen.
Hal itu karena dalam penerapannya lembaga independen juga diharapkan bisa mengawasi pengolaan data yang dilakukan kementerian atau lembaga lain.
Tentu yang menjadi pertanyaan adalah apakah RUU PDP ini juga mencakup pula data yang dikelola pemerintah atau tidak? Jika RUU PDP mencakup pula data yang dikelola pemerintah maka sebaiknya lembaga pengawas independen.
Hal itu karena untuk menimbulkan pandangan jika nantinya dalam memberi sanksi tidak pandang bulu. Misalnya jika kebocoran data terjadi di lingkungan pemerintahan, maka di sini akan terjadi kekhawatiran sanksi tidak maksimal.
Apalagi jika lembaga yang dijatuhi sanksi kedudukannya jauh lebih tinggi dibanding lembaga yang memberi sanksi. Untuk itu saya berharap lembaga pengawas data pribadi independen dan kedudukannya setara dengan lembaga lain.
Tentu kita berharap pembahasan RUU PDP tidak lagi mandeg. Memang dalam satu aturan tidak ada yang sempurna karena hasil dari daya pikir manusia. Setidaknya aturan yang dbuat harus mencerminkan keinginan publik, RUU PDP saat ini amat dibutuhkan publik.
Harus diakui, perihal perlindungan data pribadi negara kita tertinggal jauh dari negara lain. China yang dikenal otoriter sekalipun sudah memiliki undang-undang data pribadi.
Di negara demokrasi seperti Indonesia perlindungan data pribadi justru belum ada. Dengan kata lain, kebijakan negara yang dicap otoriter tidak selamanya otoriter. Bisa juga sebaliknya, negara yang demokrasi bisa saja mengeluarkan kebijakan yang dinilai otoriter.
