Maraknya kasus kebocoran data pribadi masih menjadi persoalan. Di tengah kondisi tersebut, penegakan hukum terhadap kebocoran data pribadi juga lemah. Pengesahan Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP) dan Keamanan dan Ketahanan Siber (KKS) mendesak, salah satunya untuk mencegah terjadinya kebocoran data berulang.
Sehingga, ketika terjadi kebocoran data, kerangka regulasi yang menjadi acuan saat ini masih bertumpu pada level Peraturan Pemerintah, yaitu melalui PP 71/2019 mengenai Penyelenggaraan Sistem dan Transaksi Elektronik yang merupakan turunan dari UU ITE.
Dilihat dari kerangka regulasi ini, fokus utamanya masih bertumpu pada sistem dan transaksi elektronik. Padahal, persoalan data pribadi masyarakat dalam konteks ekonomi digital tidak hanya sebatas kebutuhan transaksi. Ekonomi digital juga membutuhkan terjaminnya hak-hak konsumen digital termasuk menyangkut hak atas kerahasiaan dan keamanan data.
Peneliti Center for Indonesian Policy Studies (CIPS), Pingkan Audrine Kosijungan, memaparkan hasil penelitian CIPS memperlihatkan secara gamblang PP 71/2019 mewajibkan PSE lingkup publik (instansi pemerintahan seperti BPJS Kesehatan) dan PSE lingkup privat untuk menjaga kerahasiaan dan keamanan data ini. Hanya saja, sanksi yang diberikan hanya sebatas administratif dan kewajiban PSE lingkup publik juga belum termaktub dengan rinci. (Baca: Beragam Sebab Kebocoran Data Pribadi Terus Berulang)
Menurutnya, RUU PDP dan RUU KKS menjadi sangat relevan. RUU PDP nantinya akan mengatur aspek keamanan dan kerahasiaan data pribadi masyarakat, yang jauh lebih luas dari yang tertera dalam PP 71/2019. Sedangkan RUU KKS diharapkan dapat memberikan landasan hukum yang mengikat terkait dengan peran serta tanggung jawab lembaga terkait dalam menyikapi serangan siber maupun kejahatan siber, termasuk kasus pencurian data maupun peretasan seperti yang kerap kali kita alami di Indonesia beberapa waktu belakangan ini.
“Urgensi pengesahan kedua RUU ini perlu terus digaungkan mengingat hanya RUU PDP yang masuk dalam program legislasi nasional DPR untuk tahun 2021. Masyarakat perlu terus memantau dan mendesak pemerintah untuk menuntaskan pembahasan kedua RUU tersebut. Jangan sampai kita harus menunggu kejadian kebocoran data pribadi yang lebih besar lagi terjadi dan membawa kerugian di kemudian hari,” imbuh Pingkan.
Seperti diketahui, rangkaian kasus kebocoran pribadi telah terjadi dalam beberapa tahun terakhir. Pemberitaan ramai menyoroti bocornya data milik 91 juta akun pengguna platform e-commerce Tokopedia pada 2020. Hal tersebut sudah diklarifikasi pada Maret 2020 bahwa terjadi upaya pencurian data pengguna oleh pihak yang tidak bertanggung jawab. Sementara penyelidikan masih berjalan, Tokopedia mengimbau para penggunanya untuk segera mengganti password mereka.
Beberapa kejadian serupa kembali terulang beberapa kali sepanjang tahun 2020, seperti bocornya 13 juta data akun pengguna Bukalapak hingga data 2,3 juta pemilih dalam Pemilihan Umum 2014 yang dimiliki oleh Komisi Pemilihan Umum (KPU). Data 230 ribu data pasien Covid-19 juga diduga bocor. Tidak tertutup kemungkinan terjadi kejadian-kejadian lainnya yang luput dari pantauan media maupun masyarakat luas.
Setahun berselang, masyarakat Indonesia kembali digegerkan oleh realita pahit ditengah tetap absennya RUU PDP dan RUU KKS. Lagi-lagi masyarakat dihadapkan pada kebocoran data 279 juta pelanggan BPJS Kesehatan pada pertengahan Mei 2021.
Pingkan menambahkan, belum disahkannya RUU PDP dan RUU KKS juga turut mengancam keberlangsungan ekosistem ekonomi digital Indonesia. Disadari atau tidak, masyarakat akan dirugikan jika kerangka regulasi mengenai perlindungan data pribadi masih berada dalam status quo.
Selama lima tahun terakhir, ekonomi digital Indonesia tumbuh cukup signifikan, dari taksiran valuasi US$ 8 miliar pada tahun 2015, menjadi US$ 44 miliar di tahun 2020. Valuasi di sektor ini pun diperkirakan akan terus tumbuh, terlebih di tengah situasi pandemi Covid-19 yang mendorong kegiatan secara daring melalui sistem elektronik dan aplikasi digital. Pandemi mempercepat transformasi digital.
Kehadiran regulasi di sektor ini sangat penting, terutama RUU PDP dan RUU KKS, agar dapat menjamin perlindungan data dan keamanan siber. Selain itu, harmonisasi dengan aturan-aturan yang sudah ada pun seperti UU ITE, UU Perlindungan Konsumen, dan UU Perpajakan masih perlu ditindaklanjuti oleh Kementerian/Lembaga terkait.
Sebelumnya, Direktur Eksekutif Elsam, Wahyudi Djafar menilai berulangnya peristiwa kebocoran data pribadi menunjukan semakin pentingnya akselerasi pengesahan RUU Perlindungan Data Pribadi menjadi UU. Sebab, kekosongan hukum perlindungan data pribadi yang komprehensif telah memunculkan sejumlah permasalahan dalam tata kelola pelindungan data baik sektor publik maupun privat.
Dia melihat peraturan pelindungan data pribadi yang ada belum spesifik menjamin hak-hak dari subjek data. Termasuk langkah-langkah hukum saat terjadi peristiwa kebocoran data pribadi. Situasi ini dapat dilihat dari ketidakjelasan proses notifikasi (kebocoran), ketidakjelasan proses penanganan, ketidakjelasan proses investigasi, ketidakjelasan pembagian tanggung jawab dalam penanganan, ketidakjelasan mekanisme komplain, dan ketidakjelasan proses penyelesaian.
“Akibatnya, insiden serupa terus berulang, karena ketiadaan proses pengungkapan yang tuntas dan akuntabel dari setiap insiden sebagai upaya mencegah terjadinya insiden serupa di masa mendatang,” ujar Wahyudi Djafar, Senin (24/5).