Semarang (ANTARA) - Salah satu konsiderans dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) adalah pelindungan data pribadi merupakan salah satu hak asasi manusia yang merupakan bagian dari pelindungan diri pribadi.
Pertimbangan lain atas kelahiran UU PDP pada tanggal 17 Oktober 2O22 adalah pelindungan data pribadi ditujukan untuk menjamin hak warga negara atas pelindungan diri pribadi dan menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya pelindungan data pribadi.
Dalam konsiderans pembentukan undang-undang ini disebutkan bahwa pengaturan data pribadi saat ini terdapat di dalam beberapa peraturan perundang-undangan, misalnya Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) sebagaimana diubah dengan UU No. 19/2016 dan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Maka, untuk meningkatkan efektivitas dalam pelaksanaan pelindungan data pribadi perlu pengaturan mengenai pelindungan data pribadi dalam suatu undang-undang.
Namun, hingga lebih dari 1 bulan, Pemerintah belum membentuk lembaga-lembaga otoritas perlindungan data pribadi. Padahal, Pemerintah berperan dalam penyelenggaraan pelindungan data pribadi sesuai dengan ketentuan UU PDP, dan penyelenggaraan pelindungan data pribadi dilaksanakan oleh lembaga (vide Pasal 58 UU PDP). Lembaga ini ditetapkan oleh Presiden sekaligus bertanggung jawab kepada Presiden.
Lembaga yang diatur dengan peraturan presiden ini, antara lain, melaksanakan perumusan dan penetapan kebijakan dan strategi pelindungan data pribadi yang menjadi panduan bagi subjek data pribadi, pengendali data pribadi, dan prosesor data pribadi.
Selain itu, lembaga ini juga melakukan pengawasan terhadap penyelenggaraan pelindungan data pribadi, penegakan hukum administratif terhadap pelanggaran undang-undang ini, dan fasilitasi penyelesaian sengketa di luar pengadilan.
Kewenangan lembaga ini, sebagaimana ketentuan Pasal 60 UU PDP, adalah merumuskan dan menetapkan kebijakan di bidang pelindungan data pribadi, melakukan pengawasan terhadap kepatuhan pengendali data pribadi, menjatuhkan sanksi administratif atas pelanggaran pelindungan data pribadi yang dilakukan pengendali data pribadi dan/atau prosesor data pribadi.
Lembaga ini punya kewenangan membantu aparat penegak hukum dalam penanganan dugaan tindak pidana data pribadi sebagaimana dimaksud dalam undang-undang ini. Di samping itu, bekerja sama dengan lembaga pelindungan data pribadi negara lain dalam rangka penyelesaian dugaan pelanggaran pelindungan data pribadi lintas negara, melakukan penilaian terhadap pemenuhan persyaratan transfer data pribadi ke luar wilayah hukum negara Republik Indonesia.
Lembaga ini juga berwenang memberikan perintah dalam rangka tindak lanjut hasil pengawasan kepada pengendali data pribadi dan/atau prosesor data pribadi, dan melakukan publikasi hasil pelaksanaan pengawasan pelindungan data pribadi sesuai dengan ketentuan peraturan perundang-undangan.
Kewenangan lainnya, menerima aduan dan/atau laporan tentang dugaan terjadinya pelanggaran pelindungan data pribadi. Lembaga otoritas PDP ini kemudian melakukan dan atas pengaduan, laporan, dan/atau hasil pengawasan terhadap dugaan terjadinya pelanggaran pelindungan data pribadi.
Selanjutnya, lembaga ini berwenang: memanggil dan menghadirkan setiap orang dan/atau badan publik yang terkait dengan dugaan pelanggaran pelindungan data pribadi; meminta keterangan, data, informasi, dan dokumen dari setiap orang dan/atau badan publik terkait dengan dugaan pelanggaran pelindungan data pribadi.
Berikutnya: memanggil dan menghadirkan ahli yang diperlukan dalam pemeriksaan dan penelusuran terkait dengan dugaan pelanggaran pelindungan data pribadi; melakukan pemeriksaan dan penelusuran terhadap sistem elektronik, sarana, ruang, dan/atau tempat yang digunakan pengendali data pribadi dan/atau prosesor data pribadi, termasuk memperoleh akses terhadap data dan/atau menunjuk pihak ketiga; dan meminta bantuan hukum kepada kejaksaan dalam penyelesaian sengketa pelindungan data pribadi.
Sejumlah pakar keamanan siber, termasuk Dr. Pratama Persadha, memandang penting Presiden segera membentuk lembaga otoritas PDP atau Komisi PDP menyusul maraknya kebocoran data. Misalnya Bjorka yang membocorkan 44 juta data MyPertamina berisi nama, surat elektronik (email), nomor induk kependudukan (NIK), nomor kartu tanda penduduk (KTP), dan nomor pokok wajib pajak (NPWP).
Bahkan Bjorka, kata Pratama, upload (mengunggah) nomor telepon, alamat, date of birth (tanggal lahir), jenis kelamin, penghasilan (harian, bulanan, dan tahunan), data pembelian bahan bakar minyak (BBM), dan masih banyak data lainnya.
Sebelumnya, kebocoran data di PLN, Indihome, data registrasi SIM card, dan 105 juta data pemilih, hingga data rahasia dan surat untuk Presiden yang bocor dan diunggah oleh Bjorka. Kebocoran tersebut diunggah pada hari Kamis (10/11) pukul 10.31 WIB oleh anggota forum situs breached.to dengan nama identitas Bjorka.
Disebutkan pula bahwa 44 juta data ini dijual dengan harga 25.000 dolar Amerika Serikat atau sekitar Rp400 juta dengan menggunakan mata uang Bitcoin. Data yang diklaim oleh Bjorka berjumlah 44.237.264 baris dengan total ukuran mencapai 30 gigabita bila dalam keadaan tidak dikompres.
Lembaga Riset Siber Indonesia CISSReC mengungkapkan dugaan 3,2 miliar data aplikasi PeduliLindungi bocor, bahkan Bjorka menjualnya dengan harga 100.000 dolar AS (Rp1,5 miliar) menggunakan mata uang Bitcoin.
Data itu terbagi ke dalam data pengguna, data vaksinasi, riwayat pelacakan, serta riwayat check in pengguna aplikasi dengan memberikan sampel data. Dijelaskan pula bahwa kebocoran tersebut diunggah pada hari Selasa (15/11) oleh anggota forum situs breached.to dengan nama identitas Bjorka, yang memang sudah berjanji sebelumnya untuk bocorkan aplikasi PeduliLindungi ke publik setelah aplikasi MyPertamina.
Adapun data yang diunggah, yaitu nama, email, NIK, nomor KTP, nomor telepon, tanggal lahir, identitas perangkat, status COVID-19, riwayat check in, riwayat pelacakan kontak, vaksinasi, dan masih banyak data lainnya.
Data yang diklaim oleh Bjorka sebanyak 3.250.144.777 data dengan total ukuran mencapai 157 gigabita bila dalam keadaan tidak dikompres. Adapun data sampelnya dibagi menjadi lima file, yaitu data pengguna sebanyak 94 juta, akun yang sudah disortir sebanyak 94 juta, data vaksinasi 209 juta, data riwayat check in 1,3 miliar, dan riwayat pelacakan kontak sebanyak 1,5 miliar.
Dalam Pasal 46 UU PDP disebutkan bahwa dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi dan lembaga.
Pemberitahuan tertulis ini minimal memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi. Dalam hal tertentu, pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan pelindungan data pribadi.
Implementasi ketentuan tersebut tentunya belum bisa dilakukan sepanjang lembaga otoritas PDP belum terbentuk.