Data Pemilih yang Diduga Bocor Dilindungi UU, KPU Harusnya Jaga Kerahasiaan

JAKARTA, KOMPAS.com - Direktur Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar mengatakan, data pemilih merupakan data pribadi yang dilindungi oleh undang-undang.

Oleh karenanya, Komisi Pemilihan Umum (KPU) sebagai pengendali data mestinya dapat menjamin kerahasiaan data tersebut.

Ini disampaikan Wahyudi merespons dugaan kebocoran data pemilih dari situs web KPU.

“KPU sebagai pengendali data harus mampu melaksanakan prinsip integritas dan kerahasiaan secara ketat,” kata Wahyudi melalui keterangan tertulis kepada Kompas.com, Rabu (29/11/2023).

Jika dilihat dari item datanya, kata Wahyudi, kebocoran ini diduga terjadi pada data pendaftaran pemilih yang telah ditetapkan menjadi daftar pemilih tetap (DPT) oleh KPU pada Juli 2023 lalu.

Baca juga: Data Pemilih Diduga Bocor, Ketua KPU: Sedang Dicek Kebenarannya

KPU sendiri telah mengembangkan Sistem Informasi Pendataan Pemilih (Sidalih) yang digunakan untuk menyusun, memutakhirkan, dan mengonsolidasikan data pemilih.

Sidalih memuat beberapa data pribadi yang terdiri atas Nomor Kartu Keluarga (NKK), Nomor Induk Kependudukan (NIK), nama lengkap, tempat dan tanggal lahir, alamat, status perkawinan, status kepemilikan e-KTP, status disabilitas, serta keterangan status sebagai pemilih aktif atau sudah meninggal.

“Artinya, sejumlah item data pemilih tersebut merupakan bagian dari data pribadi yang harus dilindungi, mengacu pada UU Nomor 27/2022 tentang Pelindungan Data Pribadi (UU PDP),” ucap Wahyudi.

Data itu mestinya hanya dapat diakses oleh KPU sebagai pengendali data, dan subjek datanya. Namun, Undang-undang Nomor 7 Tahun 2017 tentang Pemilu membuka tafsir bahwa partai politik juga dapat mengakses secara utuh data pemilih sebagai bagian dari informasi publik.

Baca juga: Diduga Diretas, KPU: Data DPT Juga Ada di Parpol dan Bawaslu

Dengan status dualistik tersebut serta besar dan komprehensifnya data yang dikumpulkan, menurut Wahyudi, mestinya KPU dapat memastikan implementasi standar dan prinsip pelindungan data pribadi, sebagaimana diatur UU PDP.

Guna menjamin hak-hak subjek data, KPU dinilai perlu mengembangkan kebijakan perlindungan data pribadi untuk penyelenggaraan pemilu dan mengembangkan pedoman perilaku perlindungan data pribadi bagi penyelenggara.

“Juga pengadopsian seluruh standar kepatuhan pelindungan data pribadi pada seluruh sistem informasi yang dikembangkan, terutama yang memproses data pribadi, baik pemilih maupun kandidat (calon),” kata Wahyudi.

Merespons dugaan kebocoran data pemilih baru-baru ini, KPU didesak untuk melakukan investigasi internal, guna mengidentifikasi sumber kegagalan perlindungan. Penanganan insiden dengan minimal risiko juga harus diprioritaskan.

Baca juga: Data Pemilih Diduga Bocor, KPU Didesak Segera Investigasi Internal

Bersamaan dengan itu, Badan Pengawas Pemilu (Bawaslu) sebagai lembaga pengawas yang menjamin berjalannya prinsip-prinsip penyelenggaraan pemilu (langsung, umum, bebas, rahasia, jujur, dan adil) harus memastikan KPU benar-benar melakukan perlindungan data pribadi pemilih.

Kemudian, Badan Siber dan Sandi Negara (BSSN) juga diminta segera mengevaluasi penerapan standar keamanan dalam pengembangan aplikasi khusus KPU sebagaimana diatur dalam Peraturan Presiden (Perpres) Nomor 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (SPBE).

BSSN juga didesak untuk segera melakukan upaya pengurangan risiko keamanan dan serangan yang dapat mengganggu sistem informasi tersebut.

“Kementerian Komunikasi dan Informatika (Kominfo), sebagai existing otoritas pelindungan data pribadi sesuai dengan PP Nomor 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, memberikan asistensi dalam pengembangan standar kepatuhan pelindungan data pribadi bagi KPU, termasuk secara proaktif melakukan pemantauan atas penerapan standar kepatuhan tersebut,” tutur Wahyudi.

Sebagaimana diketahui, seorang peretas dengan nama anonim "Jimbo" mengeklaim telah meretas situs kpu.go.id dan berhasil mendapatkan data pemilih dari situs KPU RI.

“Jimbo" membagikan 500.000 data contoh yang berhasil ia peroleh melalui salah satu unggahan di situs BreachForums yang kerap digunakan untuk jual beli hasil peretasan.

Di dalam data yang "bocor" itu, "Jimbo" mendapatkan data pribadi, seperti NIK, nomor KTP, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, sampai kode kelurahan, kecamatan, dan kabupaten, serta TPS.

Data-data itu dijual dengan harga 74.000 dollar Amerika atau sekitar Rp 1,1 miliar-Rp 1,2 miliar.

Baca juga: Bareskrim Usut Dugaan Kebocoran Data Pemilih di Situs Web KPU

Ia juga membagikan beberapa tangkapan layar dari situs web https://cekdptonline.kpu.go.id/ untuk meyakinkan kebenaran data yang didapatkan.

Dalam unggahan itu, "Jimbo" juga mengaku menemukan 204.807.203 data unik, jumlah yang hampir sama dengan jumlah pemilih di dalam daftar pemilih tetap (DPT) KPU RI sebanyak 204.807.203 pemilih.

KPU RI mengaku masih berkoordinasi dengan pihak terkait untuk menelusuri kebocoran data pemilih tersebut. KPU belum dapat memastikan apakah data yang bocor tersebut terkonfirmasi data milik KPU RI atau bukan.

“Sekarang lagi kita minta bantuan dari satgas siber, sekarang yang bekerja BSSN (Badan Siber dan Sandi Negara), dia menaungi Mabes,” kata Koordinator Divisi Data dan Informatika KPU RI Betty Epsilon Idroos, Selasa (28/11/2023).