Isu kebocoran data pribadi milik masyarakat masih kerap terjadi. Pemerintah dengan beragam instrumennya telah berupaya melakukan pencegahan. Salah satunya, RUU tentang Perlindungan Data Pribadi. Itu sebabnya, pentingnya RUU Perlindungan Data Pribadi yang masih berstatus pembahasan agar dapat segera dirampungkan untuk disahkan menjadi UU.
Direktur Eksekutif Elsam, Wahyudi Djafar menilai berulangnya peristiwa kebocoran data pribadi menunjukan semakin pentingnya akselerasi pengesahan RUU Perlindungan Data Pribadi menjadi UU. Sebab, kekosongan hukum perlindungan data pribadi yang komprehensif telah memunculkan sejumlah permasalahan dalam tata kelola pelindungan data baik sektor publik maupun privat.
Dia melihat peraturan pelindungan data pribadi yang ada belum spesifik menjamin hak-hak dari subjek data. Termasuk langkah-langkah hukum saat terjadi peristiwa kebocoran data pribadi. Situasi ini dapat dilihat dari ketidakjelasan proses notifikasi (kebocoran), ketidakjelasan proses penanganan, ketidakjelasan proses investigasi, ketidakjelasan pembagian tanggung jawab dalam penanganan, ketidakjelasan mekanisme komplain, dan ketidakjelasan proses penyelesaian.
“Akibatnya, insiden serupa terus berulang, karena ketiadaan proses pengungkapan yang tuntas dan akuntabel dari setiap insiden sebagai upaya mencegah terjadinya insiden serupa di masa mendatang,” ujar Wahyudi Djafar melalui keterangan tertulis, Senin (24/5/2021). (Baca Juga: Kebocoran Data Pribadi Peringatan bagi Ketahanan Siber)
Kondisi tersebut diperparah dengan kuatnya sektoralisme pengaturan perlindungan data pribadi yang berlaku di Indonesia saat ini. Setidaknya, terdapat 46 UU sektoral yang materi muatannya terkait data pribadi. Mulai sektor kependudukan, kesehatan, teknologi informasi dan komunikasi, perdagangan, hingga perbankan. Tak heran, berbagai legislasi sektoral tersebut belum ada rumusan definisi data pribadi dan jenis data pribadi yang seragam dan memadai.
Termasuk materinya belum selaras dengan prinsip-prinsip dalam perlindungan data; ketidakjelasan dasar hukum pemrosesan data; ketidaksatuan pengaturan pemrosesan data; ketidakjelasan pengaturan perihal kewajiban pengendali dan pemroses data. Kemudian kekosongan jaminan perlindungan hak-hak subjek data; dan ketiadaan lembaga yang secara khusus berfungsi sebagai regulator, pengendali, dan pengawas, termasuk penyelesaian sengketa perlindungan data.
Sebagai contoh problem definisi data pribadi dalam UU Administrasi Kependudukan yang mengkualifikasikan data pribadi hanya terbatas pada data pribadi yang spesifik. Sedangkan elemen data kependudukan lainnya, dikatakan sebagai data kependudukan, bukan bagian dari data pribadi yang tunduk pada instrumen dan mekanisme perlindungan data.
“Keberadaan UU Perlindungan Data Pribadi akan mengatur secara lebih jelas kewajiban pengendali dan pemroses data pribadi, termasuk juga di dalamnya badan publik-lembaga negara, dan sektor swasta,” kata dia.
Beragam peristiwa berulangnya insiden kebocoran data pribadi milik masyarakat, Kementerian Komunikasi dan Informatika (kemenkominfo) harus meminta pihak BPJS Kesehatan untuk memberikan informasi lebih lanjut. Seperti jumlah data pribadi penduduk yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh BPJS Kesehatan untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi.
Menurutnya, Kemenkominfo harus mengoptimalkan keseluruhan regulasi dan prosedur yang diatur dalam PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Tujuannya untuk mengambil langkah dan tindakan terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik, termasuk mitigasi dan langkah pemulihannya. Terpenting, DPR dan pemerintah agar segera mempercepat proses pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan dan tetap memperhatikan kualitas substansinya.
“Akselerasi ini penting mengingat banyaknya peristiwa dan insiden terkait dengan eksploitasi data pribadi. Oleh karenanya, materi yang dihasilkan nantinya juga harus dapat menjawab berbagai permasalahan yang ada,” katanya.
Momentum pengesahan RUU PDP
Ketua Komite I Dewan Perwakilan Daerah (DPD) Fachrul Razi meminta pihak terkait bertanggung jawab atas bocornya data identitas kependudukan warga negara Indonesia. Dia berpendapat era digital menjadikan data kependudukan sangat vital yang harus dijaga kerahasiaanya agar tidak disalahgunakan oleh pihak yang tidak bertanggung jawab. “Karenanya, setiap penyelenggara sistem elektronik harus mempunyai aturan internal perlindungan data pribadi,” pintanya.
Dia mengatakan peristiwa yang kesekian kalinya ini menjadi momentum tepat bagi pemerintah dan DPR untuk segera mengesahkan RUU Perlindungan Data Pribadi. Sebab, banyaknya kasus yang terjadi menunjukan regulasi yang ada tak mampu mengatasi persoalan perlindungan data pribadi secara optimal. “Harus segera disahkan RUU ini, mengingat RUU PDP ini penting untuk perlindungan data pribadi kita. Ini harus dipastikan,” kata dia.
Ditargetkan RUU Perlindungan Data Pribadi dapat rampung awal 2022. RUU ini bakal mengatur hak dan kewajiban pemilik data dan individu atau lembaga yang mengumpulkan dan memproses data. “Melalui regulasi ini akan ditetapkan data protection officer atau pengawas perlindungan data pribadi."
Lemahnya perlindungan
Anggota Komisi I DPR, Muhammad Iqbal menegaskan berbagai kasus menunjukan betapa lemahnya keamanan dan perlindungan data pribadi nasional. Karena itu, menjadi keharusan DPR mendorong Kemenkominfo/lembaga terkait serta perusahana swasta melakukan penguatan keamanan data pribadi agar kasus kebocoran data tak lagi terulang.
Politisi Partai Persatuan Pembangunan itu mengakui banyak kasus serupa menyadarkan semua pihak betapa pentingnya keberadaan UU Perlindungan Data Pribadi. Meski masih RUU Perlindungan Data Pribadi masih dalam tahap pembahasan, DPR dan pemerintah bisa saja berkomitmen mempercepat pembahasan agar dapat segera disahkan.
“RUU PDP ini sangat urgen mengingat banyaknya masyarakat yang terhubung dengan berbagai layanan online dan aplikasi. Kami mendorong DPR dan Pemerintah agar bisa mengesahkan RUU PDP tahun ini,” harapnya.
Anggota Komisi I DPR lainnya, Sukamta berpendapat, langkah urgen yang harus dilakukan segera menyelesaikan RUU Perlindungan Data Pribadi. Dia mengakui pembahasannya sedang stagnan. Sebab terdapat perbedaan pandangan dalam hal penentuan bentuk otoritas perlindungan data pribadi, apakah lembaga independen atau dikelola oleh Kementerian Kominfo.
“Pembahasan sangat alot. Seharusnya kasus dugaan bocornya data BPJS Kesehatan menjadi tamparan bagi semua pihak. Khususnya pembentukan otoritas yang paling tepat adalah lembaga independen untuk mengawasi penerapan perlindungan data pribadi,” lanjutnya.
Menjadi persoalan bila badan publik yang karena kelalaiannya menyebabkan terjadinya kegagalan dalam pelindungan data pribadi. “Aneh rasanya kemudian badan publik menghukum sesama badan publik. Bab ini harus segera ketemu kesepakatannya agar upaya pelindungan data pribadi bisa segera memiliki payung hukum yang kuat terhadap badan privat, masyarakat, termasuk badan publik,” ujar politisi Partai Keadilan Sejahtera itu.