Keamanan data pribadi di Indonesia masih jadi persoalan yang perlu terus dibenahi. Belakangan muncul dugaan kebocoran data nasabah Bank Syariah Indonesia (BSI) setelah sebelumnya sempat mengalami serangan ransomware yang dilakukan oleh kelompok hacker Lockbit 3.0 pada Senin (8/5). Data nasabah yang diduga bocor terdiri atas nama, nomor handphone, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, serta tanggal pembukaan rekening. Akibat serangan ini, layanan anjungan tunai mandiri (ATM) dan BSI Mobile lumpuh beberapa hari.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, periode transisi UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi memang menjadi masa kritis dalam memastikan kepatuhan pengendali dan prosesor data untuk menerapkan standar pelindungan data pribadi. Termasuk respon otoritas dari setiap insiden yang terjadi.
“Risiko pembiaran kemungkinan besar terjadi karena aturan peralihan UU PDP mengharuskan adanya penyesuaian berbagai regulasi terkait pelindungan data pribadi, termasuk kelembagaannya,” ujarnya kepada Hukumonline, Selasa (16/5/2023).
Baca juga:
- Data Nasabah BRI Life Bocor, RUU Perlidungan Data Pribadi Mendesak Disahkan
- Sejumlah Langkah Mitigasi dalam Kebocoran Data Pribadi
Apalagi khusus di sektor keuangan dan perbankan, telah ada sejumlah regulasi dan kebijakan yang relatif mature dalam penerapannya. Seperti Peraturan OJK No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI), Surat Edaran (SE) OJK No. 21/SEOJK.03/2017 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum.
Kemudian, SE OJK No. 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum. Berbagai kebijakan tersebut secara khusus mengatur pelindungan data pribadi. Seperti PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik dan Permenkominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Wahyudi menyampaikan, untuk memastikan pelindungan terhadap hak-hak subjek data, semestinya otoritas berwenang tetap merujuk pada sejumlah regulasi di atas. Malahan kehadiran UU 27/2022 dapat menjadi rujukan tambahan dalam mengoptimalkan langkah-langkah pelindungan data pribadi. Misalnya terkait dengan langkah-langkah yang harus dilakukan ketika terjadi kegagalan dalam pelindungan data pribadi, termasuk kewajiban untuk memberikan notifikasi.