Aturan yang ditunggu-tunggu akhirnya disahkan. RUU Pelindungan Data Pribadi (PDP), hari ini (20/9/2022) resmi menjadi Undang-Undang (UU) dalam Rapat Paripurna DPR RI Masa Persidangan I Tahun Sidang 2022-2023.

Banyak yang berharap UU ini mampu menunjukkan tuah dalam menyelesaikan persoalan kebocoran data pribadi di Indonesia. Wakil Ketua Komisi I DPR, Abdul Kharis Almasyhari, berharap beleid baru ini menjadi payung hukum bagi warga negara dalam pelindungan data pribadi.

“RUU tentang PDP benar-benar jadi landasan hukum yang kuat dan memastikan bahwa negara menjamin dan memastikan pelindungan data pribadi warganya,” kata Abdul yang dilansir Kompas.com (20/9/2022).

Kebocoran terhadap data pribadi belakangan ini sungguh meresahkan. Tak terhitung lagi jumlah NIK dan/atau nomor Kartu Keluarga yang beredar di internet. Ditambah lagi data-data lain yang bila digabungkan akan mampu mengidentifikasi seseorang. Sebuah pelanggaran privasi yang sangat serius.

Apakah UU PDP yang berisi 16 bab serta 76 pasal ini ke depan mampu mencegah kebocoran data pribadi semakin merajalela? Belum ada jaminan yang lebih meyakinkan dari janji Abdul lewat penyataannya.

Ketentuan pidana yang berupaya melindungi penyalahgunaan data pribadi dalam UU ini di antaranya melarang memperoleh atau mengumpulkan data pribadi yang bukan miliknya (Pasal 65 UU PDP).

Setiap orang juga dilarang mengungkapkan data pribadi yang bukan miliknya, menggunakan data pribadi yang bukan miliknya (Pasal 65 UU PDP), serta membuat data pribadi palsu atau memalsukan data pribadi (Pasal 66 UU PDP).

Ada larangan memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual di tempat umum atau fasilitas publik yang dapat mengancam dan/atau melanggar pelindungan data pribadi—termasuk untuk mengidentifikasi seseorang. Jangan pula memperjualbelikan data pribadi.

Bagaimana dengan otoritas PDP yang sempat diperdebatkan? Menurut Ketua Lembaga Riset Siber Indonesia CISSReC, Pratama Persadha, UU PDP tidak secara eksplisit mengamanatkan pembentukan Komisi PDP.

Pasal 64 UU PDP hanya menyebut “sengketa pelindungan data pribadi harus diselesaikan lewat lembaga yang diatur oleh UU”.

“Di sinilah nanti Komisi PDP harus dibentuk dengan jalan tengah, lewat peraturan Presiden, hal yang disepakati sebagai jalan tengah antara DPR dan Kominfo,” kata Pratama seperti dilansir Antaranews.

Posisi Komisi PDP ini menurutnya sangat krusial, karenanya Pemerintah dan DPR harus menempatkan orang yang tepat serta memiliki kompetensi untuk memimpin komisi tersebut.

Pemrosesan data pribadi

Data pribadi boleh diproses selama ada jaminan bagi pemilik data pribadi. Dalam melakukan pemrosesan, pihak yang disebut “Pengendali Data Pribadi” wajib menjaga kerahasiaan data pribadi dimaksud. Pun demikian harus memenuhi persetujuan yang sah dari pemilik data pribadi.

Pengendali Data Pribadi adalah pihak yang menentukan tujuan dan melakukan kendali pemrosesan data pribadi. selain itu ada “Prosesor Data Pribadi”, yaitu pihak yang melakukan pemrosesan data pribadi atas nama pengendali data pribadi.

Dalam hal tertentu, baik Pengendali Data Pribadi maupun Prosesor Data Pribadi, wajib menunjuk seorang pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi. Ia setidak-tidaknya melaksanakan fungsi pelindungan data pribadi yang meliputi:

a. menginformasikan dan memberikan saran untuk Pengendali Data Pribadi atau Prosesor Data Pribadi agar mematuhi ketentuan dalam UU PDP;

b. memantau dan memastikan kepatuhan terhadap UU PDP dan kebijakan Pengendali Data Pribadi atau Prosesor Data Pribadi, termasuk penugasan, tanggung jawab, peningkatan kesadaran dan pelatihan pihak yang terlibat dalam pemrosesan data pribadi, dan audit terkait;

c. memberikan saran mengenai penilaian dampak pelindungan data pribadi dan memantau kinerja Pengendali Data Pribadi dan Prosesor Data Pribadi; dan

d. berkoordinasi dan bertindak sebagai narahubung untuk isu yang berkaitan dengan pemrosesan data pribadi, termasuk melakukan konsultasi mengenai mitigasi risiko dan/atau hal lainnya.

Bila Prosesor Data Pribadi bertindak di luar instruksi atau perintah dan tujuan yang ditetapkan Pengendali Data Pribadi, maka pada saat itu Prosesor Data Pribadi telah beralih menjadi Pengendali Data Pribadi untuk tujuan lain sehingga menjadi tanggung jawab pihak yang bersangkutan.

Pengendali data pribadi kemudian diwajibkan melindungi dan memastikan keamanan data pribadi yang diprosesnya, setidaknya dengan melakukan penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan yang bertentangan dengan ketentuan peraturan perundang-undangan.

Pengendali juga harus menentukan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan. Selain itu, wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendalinya.

Pengendali Data Pribadi pun wajib memastikan pelindungan data pribadi dari pemrosesan yang tidak sah—termasuk mencegah data pribadi diakses secara tidak sah.

Bila data pribadi tidak lagi diperlukan untuk pencapaian tujuan pemrosesan; Pemilik data pribadi menarik kembali persetujuan pemrosesan data pribadi; ada permintaan dari pemilik; atau data pribadi diperoleh dan/atau diproses dengan cara melawan hukum, maka Pengendali Data Pribadi wajib menghapus data-data yang dikuasainya.

Pengelolaan sistem keamanan

Pakar hukum siber Fakultas Hukum Universitas Airlangga, Masitoh Indriani, kepada Kumparan.com mengatakan fenomena peretasan data menandakan kekacauan dalam pengelolaan cyber security di Indonesia. Ia menduga aktor jahat seperti Bjorka bisa melihat abainya para pihak dan kurang seriusnya cyber security system.

Saat terjadi kebocoran, menurutnya harus melihat dua aspek terkait kebocoran tersebut: dari dalam atau dari luar sistem.

“[…] Siapa yang paling bertanggung jawab dalam kasus kebocoran data, kita perlu melihat dua hal. Apakah dari sisi PSE (orang atau badan usaha yang mengoperasikan sistem elektronik) atau murni ada serangan dari luar,” jelasnya.

UU PDP mengatur hak-hak pemilik data pribadi dan sanksi-sanksi bagi penyelenggara sistem elektronik atas tata kelola data pribadi yang diproses dalam sistem mereka masing-masing. Salah satu kewajiban PSE, baik swasta maupun publik atau pemerintah, memastikan data pribadi masyarakat di dalam sistemnya terlindungi dengan aman.

“Apabila terjadi insiden data pribadi, kebocoran data pribadi, maka yang akan dilakukan [Kemkominfo] compliance, pemeriksaan terhadap penyelenggara data pribadi, apakah mereka telah melaksanakan compliance sesuai UU PDP,” jelas Menteri Kominfo Johnny G. Plate, Selasa (20/9/2022).

Bagaimana bila kebocoran tidak terjadi pada sistem utamanya, melainkan lewat personel yang memiliki akses terhadap pusat data penyimpanan data pribadi?

Skenario ini sangat umum terjadi, karena metode rekayasa sosial atau social engineering kini kian marak. Melalui metode ini aktor jahat tak perlu bersusah payah menyerang sistem penyimpanan data pribadi. Alih-alih, mereka mencuri kredensial milik personel yang punya akses ke pusat data.

Melihat pasal-pasal tentang kewajiban melindungi data pribadi yang diproses Pengendali Data Pribadi, seharusnya peluang terjadinya kebocoran kredensial untuk mengakses penyimpanan data ini telah diantisipasi.

Semisal, tentang kewajiban Pengendali Data Pribadi melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kontrol Pengendali Data Pribadi.

*Photo by Pixabay via Pexels