Pakar: Tanpa UU PDP, Negara Tidak Bisa Tanggung Jawab Kebocoran Data

JAKARTA, KOMPAS.com - Dugaan kebocoran data penduduk baru-baru ini menegaskan bahwa Undang-undang Perlindungan Data Pribadi (UU PDP) mesti segera disahkan dan diundangkan.

Teranyar, setelah data pelanggan IndiHome dan 1,3 miliar nomor HP dan NIK pelanggan seluler Indonesia bocor, serta data 105 juta penduduk yang diklaim bersumber dari KPU RI mengalami hal serupa.

Lembaga Riset Siber Indonesia (CISSReC/Communication & Information System Security Research Center) menilai, tidak adanya beleid perlindungan data pribadi, membuat negara tak bisa melakukan tindakan berarti atas kebocoran-kebocoran data yang terus terjadi.

Baca juga: Menkominfo Sebut Pelanggar UU PDP Sanksi Pidananya Tak Ringan, Dendanya Cukup Berat

Tak heran, Menteri Komunikasi dan Informatika Johnny Plate justru meminta masyarakat menjaga NIK masing-masing dan sering mengubah password demi mencegah kebocoran data, padahal masalah sesungguhnya jauh lebih rumit dari itu.

“Dengan kondisi di Indonesia yang belum ada UU PDP, tidak ada upaya memaksa dari negara kepada peneyelenggara sistem elektronik (PSE) untuk bisa mengamankan data dan sistem yang mereka kelola dengan maksimal atau dengan standar tertentu," jelas Direktur Eksekutif CISSReC Pratama Persadha kepada Kompas.com, Kamis (8/9/2022).

"Akibatnya banyak terjadi kebocoran data, namun tidak ada yang bertanggung jawab, semua merasa menjadi korban," lanjutnya.

PSE yang dimaksud bukan hanya lembaga pemerintah, melainkan juga swasta. Menurutnya, saat ini, pengamanan maksimal atas data penduduk perlu dilakukan bukan demi hukum, melainkan demi nama baik lembaga atau perusahaan. 

"Jika bicara soal sanksi kebocoran data, maka sementara ini yang bisa dipakai Permenkominfo Nomor 20 Tahun 2016, karena UU PDP sampai saat ini belum disahkan," kata Pratama.

Baca juga: Soal Kebocoran Data E-HAC, Dasco: Kita Memang Sudah Perlu UU PDP

Sanksi dari peraturan itu hanya bersifat administratif, yakni pengumuman ke publik, dengan sanksi maksimum berupa penghentian sementara operasional PSE.

"Selain itu, dalam Pasal 100 ayat (2) PP Nomor 71 Tahun 2019 tentang PSTE (Penyelenggara Sistem Transaksi Elektronik), terdapat pemberian sanksi administrasi atas beberapa pelanggaran perlindungan data pribadi yang dapat berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses dan dikeluarkan dari daftar," jelas Pratama.

"Di Uni Eropa denda bisa mencapai 20 juta euro untuk setiap kasus penyalahgunaan dan kebocoran data pribadi masyarakat," ujarnya.

Baca juga: ELSAM: Harus Ada Pengawas UU PDP di Luar Pemerintah

Saat ini, RUU PDP baru disetujui Komisi I DPR RI dan pemerintah untuk dibawa ke rapat paripurna dalam rangka pengesahan menjadi undang-undang (UU) usai dinamika pembahasan yang berlarut-larut antara kedua pihak.

Sejauh ini, pembahasan RUU PDP telah melalui kali perpanjangan masa sidang, rapat panitia kerja, serta rapat tim perumus, dan tim sinkronisasi.

Pembahasan menyelesaikan keseluruhan 371 daftar inventarisasi masalah (DIM) RUU PDP dan menyepakati 16 bab dan 76 pasal dalam RUU PDP.