JAKARTA, KOMPAS.com - Direktorat Jenderal Imigrasi Kementerian Hukum dan HAM serta Kementerian Komunikasi dan Informatika diminta sigap merespons dan memberi penjelasan rinci kepada masyarakat, terkait dugaan kebocoran 34,9 juta data paspor warga Indonesia (WNI) yang diduga dilakukan peretas Bjorka.
Menurut Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar, prosedur penanganan kebocoran data itu sudah diatur dalam Undang-Undang Perlindungan Data Pribadi (PDP).
"Undang-Undang PDP harus menjadi rujukan utama dalam mengoptimalkan langkah-langkah pelindungan data pribadi, misalnya terkait prosedur ketika terjadi kegagalan pelindungan data pribadi, termasuk kewajiban memberikan notifikasi," kata Wahyudi saat dihubungi Kamis (6/7/2023).
Menurut Wahyudi, dugaan kebocoran data paspor seharusnya segera ditangani secara terbuka dan bertanggung jawab oleh pihak-pihak yang berwenang melakukan pengelolaan data itu.
Menurut dia, dalam menanggapi dugaan insiden kebocoran data maka proses transisi implementasi UU PDP mestinya tidak berakibat pada pembiaran penanganan.
Sebab, kata Wahyudi, dalam Pasal 76 UU PDP ditegaskan beleid itu berlaku sejak diundangkan.
"Kekosongan regulasi teknis karena masih dalam proses penyusunan, bisa mengacu pada PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, sepanjang materinya tidak bertentangan dengan substansi UU PDP," ucap Wahyudi.
Wahyudi mengatakan, UU PDP harus menjadi rujukan utama dalam mengoptimalkan langkah-langkah pelindungan data pribadi, misalnya terkait prosedur ketika terjadi kegagalan pelindungan data pribadi, termasuk kewajiban memberikan notifikasi.
Baca juga: 34 Juta Data Paspor Diduga Bocor, Kemenkominfo Buka Suara
Maka dari itu, lanjut Wahyudi, Ditjen Imigrasi dan PT. Telkom Indonesia sebagai pengendali data sebaiknya melakukan identifikasi dan mengkonfirmasi keabsahan kebocoran data.
"Segera memberikan notifikasi kepada subjek data dan otoritas saat ini (Kemenkominfo) paling lambag 3x24 jam, termasuk kepada masyarakat, mengingat insiden ini terkait dengan layanan publik, mengacu Pasal 46 UU PDP," papar Wahyudi.
Materi notifikasi itu, kata Wahyudi, mencakup data pribadi yang terungkap, kapan dan bagaimana terungkapnya, serta upaya penanganan dan pemulihan yang sudah dilakukan.
"Bila di dalamnya terdapat dapat yang bersifat spesifik (sensitif), perlu juga diinformasikan risiko yang mungkin terjadi dan langkah mitigasi yang sebaiknya dilakukan," kata Wahyudi.
Selain itu, seluruh lembaga terkait supaya segera melakukan pemulihan data yang spesifik atau sensitif seperti biometrik (sidik jari, rekam wajah, retina mata) sampai keluarga.
Baca juga: Soal 34 Juta Data Paspor Bocor, Dirjen Imigrasi: Server-nya di PDN Milik Kominfo
"Ketika terjadi kegagalan dalam pelindungan data, jenis data sensitif memerlukan langkah-langkah khusus dalam penanganannya, sebab risiko yang mungkin terjadi pada subjek data juga lebih tinggi," papar Wahyudi.
Wahyudi juga menyarankan Ditjen Imigrasi sebagai penyelenggara sistem elektronik (PSE) publik mestinya konsisten melakukan audit keamanan.