UU Pelindungan Data Pribadi dan PR yang Wajib Dituntaskan

UU yang terdiri dari 16 Bab dan 76 Pasal itu menjadi landasan hukum yang kuat bahwa negara menjamin dan memastikan perlindungan data pribadi warganya.

UU PDP mendorong pemenuhan keseimbangan hak subjek data pribadi dengan kewajiban pengendali data, mendorong reformasi praktik pemrosesan data di seluruh Penyelenggara Sistem Elektronik (PSE) supaya memberikan perlindungan kepada kelompok rentan khususnya anak dan penyandang disabilitas, serta kesempatan untuk meningkatkan standar industri.

UU PDP akan mengedepankan perspektif pelindungan data pribadi dalam setiap pengembangan teknologi baru, sehingga akan mendorong inovasi yang beretika dan menghormati hak asasi manusia.

PR bagi pemerintah

Tak dipungkiri, UU PDP adalah prestasi yang membanggakan yang pernah dicatat pemerintah bangsa ini.

Namun, pada sisi lain, UU PDP bukanlah sesuatu yang final. Bahkan, UU tersebut justru memberi beberapa ‘pekerjaan rumah’ (PR) bagi pemerintah.

PR pertama, pemerintah, dalam hal ini Kominfo (Ditjen Aptika) perlu lebih tegas dan konsisten memberlakukan Peraturan Menkominfo No. 10 Tahun 2021 tentang Perubahan atas Permenkominfo No.5 Tahun 2020 tentang Penyelenggara Sistem Elektronik Lingkup Privat.

Permen tersebut telah mewajibkan PSE swasta lokal dan asing untuk melakukan pendaftaran. Menurut Ditjen Aptika hingga Kamis (23/6), tercatat sudah ada 4.594 PSE swasta, di antaranya 4.520 PSE lokal dan 74 PSE asing telah melakukan pendaftaran.

Sayangnya, Ditjen Aptika belum cukup tegas dan konsisten dalam menerapkan Permen Kominfo N0.10 Tahun 2021 itu.

Buktinya, Ditjen Aptika mewajibkan PSE untuk mendaftar di Kominfo sebelum 20 Juli 2022, atau akan diblokir aksesnya di Indonesia. Namun aturan itu dilonggarkan lima hari kerja sejak 20 Juli 2022.

Bukti lain, pada 29 Juli 2022 pukul 23.59 WIB, sejumlah PSE dengan traffic tinggi seperti DoTa, PayPal, Epic Games, Yahoo, dan Steam diputus aksesnya di dalam negri.

Tapi, selang sehari berikutnya, Ditjen Aptika kembali membuka akses PayPal dkk untuk lima hari kerja.

Ditjen Aptika juga tak jelas sikapnya terhadap aplikasi judi online. Bahkan ada 15 aplikasi judi online yang sempat terdaftar sebagai PSE di Kominfo sebelum diblokir pada 3 Agustus 2022.

PR kedua, UU PDP mengamanatkan bahwa pemerintah wajib memberikan keamanan data pribadi.

Memang, berdasarkan Perpres 53 Tahun 2017, tugas tersebut tak lagi ditangani oleh Kominfo, melainkan oleh BSSN.

Sebab, Direktorat Keamanan Informasi yang menangani kemanan data pribadi dahulunya berada di dalam struktur organisasi Ditjen Aplikasi Informatika (Aptika) Kominfo, telah berpindah ke BSSN sejak 2018.

Meski demikian, pemerintah tetap ditantang untuk terus mengingatkan seluruh PSE supaya meningkatkan sistem keamanan (firewall dan enskripsi), mematuhi tanggung jawab, dan menjaga data pribadi yang dikelolanya, baik yang bersifat umum maupun spesifik, sebagai kepatuhan mutlak PDP.

Artinya, apabila terjadi insiden data pribadi atau kebocoran data pribadi (breach), maka yang akan dilakukan pemeriksaan adalah PSE. Apakah mereka telah melaksana-kan compliance sesuai UU PDP atau tidak.

Jika tidak, maka PSE akan diberikan berbagai jenis sanksi sebagaimana yang diatur dalam UU PDP berupa sanksi administratif maupun sanksi pidana, kurungan, dan denda.

UU PDP menyebutkan untuk besaran sanksinya bervariasi dari tingkat kesalahan. Mulai dari hukuman badan 4 tahun sampai 6 tahun pidana, maupun hukuman denda sebesar Rp 4 milliar hingga Rp 6 milliar setiap kejadian.

Apabila terjadi kesalahan, maka dikenakan sanksi sebesar 2 persen dari total pendapatan tahunan.

PR ketiga yang harus dikerjakan Kominfo adalah mengawal implementasi UU PDP. Menurut Menkominfo, tugas tersebut ada yang sudah mulai dikerjakan seperti pembangunan infrastruktur Pusat Data Nasional (PDN).

Sesuai Peta Jalan Indonesia Digital 2020-2024, Kemkominfo sekarang sedang membangun PDN berstandar global Tier-IV.

Proyek ini guna mewujudkan pemerintah berbasis digital dan tata kelola data di Indonesia. Fasilitas ini dibangun untuk mendukung pelayanan publik yang efisien, efektif, serta transparan.

Pusat Data Nasional akan dibangun di Bekasi dan Batam, sementara PDN di Ibu Kota Negara (IKN) Baru Nusantara dan Labuan Bajo, NTT.

Kemkominfo juga terus berupaya mensosialisasikan dan memberikan pelatihan literasi digital pada seluruh sektor masyarakat dengan target 50 juta jiwa terliterasi hingga 2024.

Adapun materi program literasi digital meliputi empat pilar, yaitu digital skill, digital ethic, digital safety, dan digital culture.

PR keempat yang wajib diemban Kominfo (Ditjen Aptika) adalah melahirkan aturan turunan atau peraturan teknis dari UU PDP.

PR ini membutuhkan ‘energi’ tersendiri. Sebab, menurut para pengamat hukum, beberapa pasal dalam ketentuan UU PDP berpotensi menjadi tantangan untuk swasta.

Oleh karena itu, proses menyusun aturan turunan tersebut, Ditjen Aptika diharapkan merangkul berbagai pihak yang berkepentingan terutama sektor industri dan asosiasi perusahaan karena mekanisme perlindungan data harus didukung oleh kesiapan teknis dari mereka

Pihak Kadin, misalnya, mengatakan pelibatan industri dan pelaku usaha diperlukan mengingat masih adanya tantangan yang dihadapi industri terkait implementasi aturan perlindungan data pribadi.

Pasalnya, hasil riset terbaru dari ISD Council bersama Badan Pengembangan Ekosistem Ekonomi Digital KADIN Indonesia yang dilakukan di hampir 65 perusahaan di bidang industri ekonomi digital menemukan, mayoritas perusahaan digital akan terdampak dengan ketentuan dalam aturan PDP, khususnya terkait dengan kewajiban pengendali data pribadi.

Yang menjadi kendala serius adalah, sebanyak 81,3 persen perusahaan digital belum memiliki Data Protection Officer (DPO) sehingga membutuhkan cukup waktu untuk membangun kesiapan internal.

Padahal, DPO merupakan amanah UU PDP kepada PSE untuk mengawasi tata kelola pemrosesan data pribadi dalam suatu instansi.

PR bagi PSE

Pihak kedua yang bakal menerima PR menyusul lahirnya UU PDP adalah seluruh PSE, baik publik maupun privat/swasta, lokal maupun global.

UU PDP menetapkan bahwa tanggung jawab menjaga data berada di tangan PSE. Dalam Permen No.5 Tahun 2020, seluruh PSE diwajibkan untuk mengisi formulir pendaftaran yang memuat informasi yang meliputi:

1. Identitas PSE Lingkup Privat;
2. Identitas pimpinan perusahaan dan/atau identitas penanggung jawab;
3. Keterangan domisili dan/atau akta pendirian perusahaan (certificate of incorporation);
4. Jumlah pelanggan (user) dari Indonesia;
5. Nilai transaksi yang berasal dari Indonesia, maka oleh UU PDP tuntutan bagi PSE meningkat.

Mereka harus memastikan bahwa di dalam sistemnya data pribadi masyarakat terlindungi secara pasti.

PSE baru dapat dikatakan memiliki tanggung jawab atas perlindungan data apabila mereka melaksanakan uji compliance sesuai UU yang diselenggarakan oleh pemerintah.

Apabila tidak compliance dan terjadi kebocoran data pribadi, maka PSE akan dikenakan sanksi-sanksi sebagaimana yang diatur oleh UU PDP.

Berkenaan dengan itu, UU PDP mengamanatkan agar semua PSE harus mempunyai firewall dan teknologi enkripsi yang dapat terus ditingkatkan, agar mampu menahan serangan siber yang berlangsung terus-menerus, cepat dalam penanganan maupun pencegahan serangan siber oleh sistemnya masing-masing.

PSE juga harus memiliki DPO yang mengawasi tata kelola pemrosesan data pribadi dalam suatu instansi.

Tentu saja, beban PR dirasakan secara berbeda oleh masing-masing PSE. PR ini akan terasa sangat berat bagi PSE yang lemah secara finansial. Mereka akan kelimpungan dalam memenuhi kelengkapan teknologis dan DPO sebagaimana diamanatkan UU PDP.

Bagaimanana pun beratnya beban PR sebagaimana disebutkan di atas, mendesak untuk menuntaskannya.

Pasalnya, ruang digital Indonesia belakangan ini telah menjadi sangat pengap oleh aksi para peretas dan para pelaku kriminal siber jenis lainnya yang terus bertambah banyak akibat sistem perlindungan data yang lemah.

Dari pemantauan BSSN selama ini, ancaman terbesar terhadap keamanan data pribadi di Indonesia paling banyak dari infeksi malware sebesar 62 persen. Persentase tersebut menjadi indikasi akan tingginya kasus pencurian data pribadi.

Sementara itu, laporan National Cyber Security Index (NCSI) mencatat, skor indeks keamanan siber Indonesia sebesar 38,96 poin dari 100 pada 2022. Angka ini menempatkan Indonesia berada di peringkat ke-3 terendah di antara negara-negara G20.

Secara global, Indonesia menduduki peringkat ke-83 dari 160 negara dalam daftar di laporan tersebut.

Nah, kita tentu saja tak ingin terus menjadi negara dengan peringkat buruk di bidang keamanan siber sebagaimana dilaporkan NSCI itu.

Lebih dari itu, kita tak mau menjadi negara di mana data pribadi pribadi warganya menjadi bulan-bulanan pelaku kejahatan siber.

Oleh karena itu, kita mengharapkan pemerintah dan PSE berkomitmen sungguh-sungguh menuntaskan PR-nya masing-masing.