Bisnis.com, JAKARTA - Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai pembentukan otoritas pengawas pelindungan data pribadi (PDP) menjadi krusial seiring terus berulangnya insiden dugaan kebocoran data pribadi.
Rentetan insiden dugaan kebocoran data pribadi kembali terjadi pada Selasa (26/6/2023) dan Rabu (5/7/2023), yang melibatkan MyIndihome dan Direktorat Jenderal Imigrasi. Dari sampel data yang berhasil ditarik dari insiden pertama, diperkirakan data MyIndihome yang bocor terdiri atas IP, alamat email, nomor telepon, nomor Indihome, nama, NIK, jenis perangkat, alamat, dan informasi langganan.
Sementara itu, insiden kedua diduga dialami Direktorat Jenderal Imigrasi Kementerian Hukum dan HAM (Kemenkumham), yang berakibat pada bocornya data pribadi semua paspor Indonesia yang diterbitkannya.
Direktur Eksekutif ELSAM Wahyudi Djafar mengatakan, insiden tersebut menggambarkan rentannya pelanggaran pelindungan data pribadi, yang melibatkan pengendali data badan publik, tidak hanya sektor privat atau korporasi.
"Belajar dari insiden dan juga rentetan insiden kebocoran data sebelumnya yang banyak melibatkan pengendali data badan publik, desain kelembagaan otoritas pengawas pelindungan data pribadi yang dimandatkan Pasal 59 UU Pelindungan Data Pribadi [UU PDP] menjadi krusial. Mengingat perannya yang juga harus mengawasi dan memastikan kepatuhan badan publik/pemerintah terhadap UU PDP, termasuk memberikan sanksi bila terjadi pelanggaran," ujar Wahyudi melalui siaran pers, dikutip Jumat (7/7/2023).
"Apalagi mengingat banyaknya data pribadi yang diproses oleh pengendali data pemerintah, badan publik, tentunya sulit untuk menjamin efektivitas pengawasan dan penegakan sejumlah fungsi di atas, apabila otoritas menjadi bagian dari kementerian tertentu," lanjutnya.
Belum lagi, kata Wahyudi, bila merujuk pada rumusan sanksi yang diatur dalam Pasal 57 UU PDP, yang hanya memungkinkan penerapan sanksi administratif dalam bentuk peringatan tertulis, penghentian sementara pemrosesan, dan penghapusan data pribadi, terhadap pelanggaran yang dilakukan oleh badan publik.
Dari skema sanksi yang diatur, menurutnya, tidak dimungkinkan penerapan sanksi denda administratif terhadap pengendali data badan publik, apalagi sanksi pidana yang hanya dapat diterapkan terhadap pengendali/prosesor data perseorangan atau korporasi.
"Dengan ancaman sanksi bagi badan publik yang demikian, tentunya menjadi tantangan besar bagi lembaga pengawas PDP dalam penegakan hukum terhadap sesama instansi pemerintah, bila mereka tidak dilengkapi dengan struktur dan memiliki legitimasi politik yang kuat," katanya.
Lebih jauh, ELSAM juga memandang proses transisi implementasi UU PDP, mestinya tidak berakibat pada pembiaran penanganan insiden dugaan kebocoran data yang terjadi. Sebab, Pasal 76 UU PDP tegas menyatakan bahwa UU PDP berlaku sejak diundangkan.
Kekosongan regulasi teknis karena masih dalam proses penyusunan, menurut ELSAM, bisa mengacu pada PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, sepanjang materinya tidak bertentangan dengan substansi UU PDP.
"UU PDP harus menjadi rujukan utama dalam mengoptimalkan langkah-langkah pelindungan data pribadi, misalnya terkait prosedur ketika terjadi kegagalan pelindungan data pribadi, termasuk kewajiban memberikan notifikasi," tutur Wahyudi.