Presiden Berpotensi Langgar UU Perlindungan Data Pribadi, Begini Penjelasan CISSREC
INDOPOSCO.ID – Berbagai insiden siber terjadi secara beruntun di Indonesia, mulai dari kegagalan sistem PDN karena serangan ransomware, penjualan data pribadi dari seorang peretas dengan nama anonim MoonzHaxor di darkweb yang menawarkan data dari Inafis, BAIS, Kemenhub, KPU, peretasan dan pencurian data pribadi dari 4,7 juta ASN yang berasal dari BKN, serta yang paling akhir adalah dugaan kebocoran data Dirjen Pajak oleh Bjorka.
Maraknya kebocoran data yang terjadi ini juga menyebabkan meningkatnya penipuan-penipuan yang memanfaatkan data pribadi yang bocor.
Penggunaan data curian untuk mengambil pinjol, serta menerima pengiriman iklan tentang ajakan bermain judi online. Salah satu penyebab maraknya kebocoran data yang terjadi adalah belum adanya sanksi baik sanksi administratif maupun sanksi berupa denda kepada perusahan atau organisasi yang mengalami kebocoran data.
Bulan depan, tepatnya pada tanggal 18 Oktober 2024 akan menjadi hari pertama Undang-Undang Perlindungan Data Pribadi (UU PDP) mulai berlaku setelah ditetapkan dan disahkan pada tanggal 17 Oktober 2022.
“UU ini telah memberikan waktu selama 2 tahun untuk Pengendali Data Pribadi serta Prosesor Data Pribadi dan pihak lain yang terkait dengan pemrosesan data pribadi untuk melakukan penyesuaian,” ujar Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha melalui gawai, Rabu (18/9/2024).
Ia mengatakan, UU PDP ini memberikan kerangka hukum yang lebih jelas mengenai pengumpulan, penggunaan, dan penyimpanan data pribadi, serta memberikan sanksi yang lebih tegas bagi pelanggaran. Namun sangat disayangkan Presiden Joko Widodo sampai sekarang belum juga membentuk lembaga ini.
“Apabila Presiden tidak dengan segera membentuk Lembaga Penyelenggara PDP sampai batas waktu 17 Oktober 2024, Presiden Jokowi berpotensi melanggar UU PDP,” ungkapnya.
UU PDP ini mengamanatkan kepada Presiden untuk membentuk Lembaga Penyelenggara PDP seperti yang tertera pada pasal 58 sampai dengan pasal 61 yang mengatur tentang kelembagaan UU PDP ini, dimana pasal 58 ayat (3) berbunyi “Lembaga sebagaimana pada ayat (2) ditetapkan oleh Presiden”.
Perlindungan Data Pribadi juga masuk kedalam perlindungan hak asasi manusia karena Perlindungan Data Pribadi juga merupakan amanat dari Pasal 28G ayat (1) Undang-Undang Dasar Tahun 1945 yang menyatakan bahwa “Setiap orang berhak atas perlindungan data pribadi, keluarga, kehormatan, martabat, dan harya benda yang dibawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi”.
“Dengan tidak adanya Lembaga Penyelenggara PDP yang dapat memberikan sanksi tersebut, maka perusahaan atau organisasi yang mengalami kebocoran data pribadi seolah-olah abai terhadap insiden keamanan siber. Bahkan mereka juga tidak mempublikasikan laporan terkait insiden tersebut padahal hal tersebut melanggar pasal 46 ayat 1 yang diamanatkan dalam Undang-Undang no 27 Tahun 2022 tentang Perlindungan Data Pribadi,” terangnya.
Dimana, lanjut dia, UU tersebut mengatur bahwa Dalam hal terjadi kegagalan Perlindungan Data Pribadi, Pengendali Data Pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada Subjek Data Pribadi dan lembaga.
Adapun data apa yang perlu diungkapkan diatur dalam pasal 46 ayat 2 UU PDP yaitu minimal terkait Data Pribadi yang terungkap, kapan dan bagaimana Data Pribadi terungkap dan upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.
Aspek hukum lainnya, masih ujar dia, dari UU PDP adalah Pasal 47 yang menjelaskan bahwa pengendali data pribadi memiliki kewajiban untuk membuktikan pemenuhan kewajiban dalam menerapkan prinsip-prinsip perlindungan data pribadi.
Sehingga pengendali data pribadi yang mengalami insiden kebocoran data wajib memberikan klarifikasi hasil investigasi, serta apa saja metode keamanan yang dipergunakan supaya dapat menjamin keamanan data pribadi yang dikendalikannya.