Beberapa waktu lalu Pemerintah Bersama DPR telah mengesahkan RUU Pelindungan Data Pribadi menjadi UU. Aturan hukum tersebut memang sangat diperlukan mengingat serangan siber beberapa tahun terakhir melonjak drastis, ditambah antar lembaga saat ini Kementerian Komunikasi dan Informatika dan Badan Siber dan Sandi Negara (BSSN) saling lempar tanggung jawab. Regulasi yang mengatur secara khusus terkait perlindungan data pribadi di Indonesia sebetulnya sudah ada namun hanya sebatas pada peraturan Menteri dan belum mampu mengakomodir, mengingat kebocoran data masih terus terjadi dan meresahkan masyarakat.
Apabila melihat dari RUU PDP versi final, pasal 46 ayat (1) menyatakan “Dalam hal terjadi kegagalan pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis dalam waktu paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada: Subjek Data Pribadi; dan Lembaga. Dalam Pasal 58 ayat (2), (3) dan (4) menyebutkan, Penyelenggaraan Perlindungan Data Pribadi sebagaimana dimaksud pada ayat (1) dilaksanakan oleh Lembaga, Lembaga sebagaimana dimaksud pada ayat (2) ditetapkan oleh Presiden, bertanggung jawab kepada Presiden.
Sebelum terbit Perpres Nomor 53 tahun 2017 yang selanjutnya disempurnakan dengan Perpres Nomor 133 tahun 2017, sebagaimana diubah terakhir kali dengan Perpres Nomor 28 tahun 2021 mengenai pembentukan Badan Siber dan Sandi Negara (BSSN) yang berada di bawah presiden dan bertanggung jawab kepada Presiden. Apabila dikaitkan dengan tupoksi kelembagaan, BSSN diidentifikasikan untuk memperkuat tugas dan fungsi Lembaga Sandi Negara dan melakukan kontrol pengawasan berkaitan dengan keamanan siber yang merupakan salah satu bidang pemerintahan yang perlu didorong dan diperkuat sebagai upaya meningkatkan pertumbuhan ekonomi nasional dan mewujudkan keamanan nasional.
Baca juga:
- UU PDP Era Baru Tata Kelola Data Pribadi di Indonesia
- Menkominfo Beberkan 4 Poin Penting yang Diatur dalam UU PDP
- Tantangan Implementasi UU PDP
Kehadiran BSSN tersebut merupakan bagian dari langkah strategis upaya negara untuk menjaga kedaulatan ruang siber negara melalui tata kelola pengamanan yang kuat. Penguatan di bidang keamanan siber adalah wujud usaha pemerintah untuk melahirkan keamanan nasional. Apabila mengingat tugas pokok dan fungsi atau tupoksi kelembagaan, berkaitan dengan kontrol pengawasan terkait dengan keamanan PDP idealnya menjadi tanggung jawab secara penuh BSSN sebagai penanggung jawab keamanan siber nasional.
Hanya saja memang perlu diperkuat dan lebih dipertegas kembali berkaitan dengan independensi lembaga untuk memperkuat tata kelola dan sektor publik tersebut agar kewenangan antar lembaga tidak terjadi tumpang tindih dalam menjalankan tugas masing-masing kelembagaan. Tujuannya agar upaya pencegahan dan penanganan tindak pidana siber lebih pasti dan optimal.
Sayangnya kehadiran BSSN hanya didasarkan pada Perpres dan secara hierarki tidak bisa melewati kewenangan Kemenkominfo yang diatur dalam UU PDP. Sudah seharusnya Indonesia memiliki perangkat hukum dan tupoksi tata kelembagaan yang pasti sebagai otoritas pengawas perlindungan data pribadi berkaitan dengan maraknya kebocoran dan penyalahgunaan data pribadi ini, perlu lebih dipertegas terkait independensi kelembagaan seperti tanggung jawab BSSN dan Kemenkominfo terkait hal ini.
Tak hanya itu juga dalam penegakan hukumnya diperlukan tindakan tegas yang tidak hanya sebatas sanksi adiministratif, namun diperlukan mulai dari penegakan sanksi pidana, hingga denda jika terjadi disclosure data secara tidak sah agar penegakan hukum berjalan efektif, dan efisien serta dapat memberikan efek jera.
Dalam UU PDP sendiri sebenarnya sudah diatur pada bab XIV mengenai ketentuan pidana penjara, pidana denda serta pidana tambahan, mulai dari Pasal 10 ayat (2), Pasal 12 ayat (2), Pasal 13 ayat (3), Pasal 16 ayat (3), Pasal 34 ayat (3), Pasal 48 ayat (5), Pasal 54 ayat (3), Pasal 56 ayat (5) dan Pasal 57 ayat (5). Pasal 61 ketentuan mengenai tata cara pelaksanaan wewenang lembaga untuk peraturan pelaksanaannya masih harus diperlukan suatu peraturan turunan, yaitu Peraturan Pemerintah. Serta dalam Pasal 58 ayat (5) ketentuan mengenai lembaga terkait masih harus diperlukan suatu peraturan turunan, yaitu Peraturan Presiden.
Maka itu, agar tercipta kepastian hukum dari UU PDP tersebut maka akan lebih baik ditentukan kurun waktu maksimal berapa lama setelah diundangkannya RUU PDP untuk peraturan turunan tersebut harus diterbitkan, demi terwujudnya suatu kemanfaatan dan kepastian hukum mengingat beberapa negara sudah memiliki Undang-Undang tersendiri.
Misal data pribadi di Singapura, dilindungi oleh The Personal Data protection Act No. 26 of 2012 Singapore (PDPA 2012 Singapura). PDPA 2012 Singapura serta Public Sector Governance Act 2018 Data-data pengguna tersebut dilindungi oleh Public Sector Governance Act 2018 (selanjutnya disebut PSGA) dimana ketentuan keamanan data dimasukkan dalam Undang-Undang tersebut. Lahirnya PSGA ini ditujukan untuk lebih memperkuat tata kelola data sektor publik sambil memfasilitasi berbagi data antar lembaga untuk meningkatkan pembuatan kebijakan dan pemberian layanan.
Untuk praktik perlindungan data privasi di Singapura itu sendiri, dalam melakukan penegakan dan efektifitas berlakunya aturan untuk melindungi data pribadi terdapat Personal Data Protection Commission (PDPC) atau undang-undang data pribadi yang diberlakukan secara khusus, dimana apabila melihat kebocoran data di Singapura termasuk rendah karena selain memiliki regulasi yang komprehensif juga terkenal memiliki teknologi yang mapan, dan framework yang memadai.
Dalam penanganan cyber attack selain diperlukan memiliki perangkat hukum dan tupoksi tata kelembagaan yang pasti sebagai otoritas pengawas perlindungan data pribadi, sinergi kelembagaan antar negara juga diperlukan, karena saat ini penanganan cyber attack di Indonesia masih lemah, di Singapura terdapat Monetary Authority of Singapore (atau disebut dengan MAS) sebagai Bank Sentral dan Otoritas Keuangan di Singapura, Di Indonesia diperlukan Knowledge Sharing untuk mengembangkan cyber security dalam penanganan cyber attack mengingat cyber di Indonesia masih termasuk hal baru baik dari segi piranti hukumnya, sumber daya manusianya, dan kesiapan teknologinya.
Dalam draft UU PDP Pasal 60 huruf e lembaga terkait sudah diberikan kewenangan untuk melakukan kerja sama dengan lembaga Pelindungan Data Pribadi negara lain dalam rangka penyelesaian dugaan pelanggaran Pelindungan Data Pribadi lintas negara, tinggal bagaimana pelaksanaannya.
Menurut Van Vollenhoven dalam tulisannya “het adatrecht van nederland indie’’ mengemukakan bahwa hukum adalah suatu gejala dalam pergaulan hidup yang bergolak terus menerus dalam keadaan saling berbenturan dengan gejala-gejala lainnya. Berkaitan dengan pernyataan tersebut persoalan kompleksitas Cyber Crime yang menjadi perhatian beberapa akhir pekan ini yaitu terkait dengan kebocoran Data Pribadi sebanyak 1,3 miliar Data SIM Card.
Hacker yang mengatasnamakan dirinya Bjorka mengatakan, dirinya telah menjual sebanyak 105 juta data milik warga negara Indonesia (WNI) yang berasal dari Komisi Pemilihan Umum (KPU). Ia juga mengklaim telah mempunyai 1,3 miliar data registrasi SIM card prabayar Indonesia, yang terdiri atas NIK, nomor telepon, operator seluler, hingga tanggal registrasi. Dalam fakta keseharian, tidak adanya mekanisme perlindungan terhadap privasi, terutama data pribadi, yang dapat berimbas pada penawaran kepada konsumen, bermacam produk, mulai dari properti, asuransi, fasilitas pinjaman online, sampai dengan kartu kredit, bahkan hingga penawaran judi online disisi lain konsumen sama sekali tidak pernah menyerahkan data pribadinya kepada produsen yang bersangkutan.
Berkaitan dengan hal tersebut kiat menguatkan wacana perihal urgensi penguatan perlindungan hak atas privasi yang sebenarnya telah dijamin oleh konstitusi pada Pasal 28 G ayat (1) UUD 1945 yang menyatakan, “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang dibawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”
Hal demikian bahwa privasi sebagai bagian dari diri setiap warga negara yang sangat krusial yang harus turut dilindungi negara sebagai bentuk tanggung jawab negara, memiliki kewajiban untuk melakukan mekanisme kontrol, apabila tidak konsekuensi logis dari semua itu ialah terancamnya keamanan dan kedamaian negara. Risiko akan penyalahgunaan data yang bersifat privasi berpengaruh pada pertahanan kedaulatan informasi negara, keamanan masyarakat dalam cakupan yang lebih luas.
Berdasarkan data yang dilansir oleh Kominfo, mengungkapkan bahwa tingkat serangan siber di Indonesia masuk dalam peringkat kedua di dunia. Dari data yang dilansir oleh BSSN pada tahun 2020 tercatat 88,4 juta serangan siber yang ada di Indonesia, dan dalam kurun waktu Januari-Juli 2021 tercatat terdapat 741 kasus serangan siber (cyber attack), Sebelumnya dalam laporan hanya sampai pada tahun 2013 lalu oleh United Nations Conference On Trade and Development (UNCTAD) mencatat bahwa, sebanyak 2.100 kejadian telah memakan banyak kerugian pada data privasi dengan taksiran 822 juta data privasi telah terekam dalam kegiatan e-commerce dan telah dikumpulkan dalam online marketplace system, bahkan di indonesia pun jika ditelusuri dapat dikatakan hampir sebagian besar situs-situs di Indonesia mengumpulkan data privasi konsumen, bahkan ada beberapa situs jual beli online di Indonesia yang tidak mencantumkan ketentuan privacy policy.
*)Wulan Fitriana adalah seorang advokat di Daerah Istimewa Yogyakarta.
Artikel Kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |