Pelatihan hukumonline bertema “Strategi Keamanan Siber: Penanganan, Pencegahan, dan Penanggulangan Serangan Siber”, Rabu (19/6) mengulas keamanan dan perlindungan data dari ancaman keamanan. Berkaitan dengan pelaku usaha, ada ketentuan mengenai perlindungan data pribadi yang tidak bisa dianggap remeh.
Ketua Indonesia Cyber Law Community (ICLC), Teguh Arifiyadi, menjelaskan bahwa setiap perusahaan memiliki tanggung jawab untuk mengupayakan perlindungan data pribadi yang disimpannya. Kelalaian dalam upaya mengamankan berbagai data pribadi bisa saja membuat perusahaan berurusan dengan UU No. 11 Tahun 2008 sebagaimana dkiubah dengan UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE) dan berbagai peraturan pelaksanaanya.
Jika membaca sekilas perbuatan yang dilarang dalam UU ITE, sanksi pidana hanya ditujukan kepada pelaku kejahatan siber yang secara sengaja dan tanpa hak mengakses data pribadi. Padahal, ada kewajiban yang tetap harus dipenuhi agar perusahaan tidak ikut terjerat UU ITE.
Pasal 32 juncto Pasal 48 UU ITE menyebutkan setiap orang dengan sengaja dan tanpa hak atau melawan hokum dengan cara apapun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu informasi elektronik dan/atau dokumen elektronik milik orang lain atau milik publik diancam pidana paling lama 8 tahun dan/atau denda dua miliar rupiah. Jika perbuatannya adalah memindahkan atau mentransfer informasi atau dokumen elektronik ke sistem elektronik orang lain hukumannya naik menjadi maksimal 9 tahun penjara dan/atau denda 3 miliar rupiah. Jika aktivitas itu membuka rahasia yang seharusnya disimpan, ancamannya dinaikkan menjadi 10 tahun penjara dan/atau denda hingga 5 miliar rupiah.
Teguh berbagai tips agar perusahaan bebas dari kemungkinan ikut dijatuhi sanksi hukum akibat serangan kejahatan siber. “Perlu melakukan klasifikasi dokumen perusahaan”, ujarnya. Dokumen yang dimaksud Teguh adalah berbagai bentuk dokumen elektronik yang memuat data pribadi.
(Baca juga: Penyelesaian Sengketa Data Pribadi).
Perusahaan perlu melakukan pemilahan sejak awal berbagai dokumen elektronik yang disimpan berdasarkan isi. Berbagai dokumen berisi data pribadi harus diperlakukan berbeda sebagai bentuk iktikad baik dalam melindungi data pribadi. “Fungsinya agar perusahaan memperlakukan data dengan tepat, tidak semua data itu sama”, Teguh menambahkan saat diwawancarai hukumonline.
Klasifikasi sejak awal ini akan menjadi dasar bagi perusahaan untuk menyatakan diri telah mengupayakan perlindungan data pribadi. “Selain itu, pihak manajemen bisa melakukan mitigasi yang tepat saat terjadi risiko yang tidak diinginkan,” katanya lagi. Misalnya dengan enkripsi khusus bagi dokumen elektronik berisi data-data rahasia. Dokumen semacam ini juga harus dibatasi aksesnya secara ketat oleh kalangan tertentu dalam perusahaan.