RUU PDP disahkan : Akankah meminimalisir Kebocoran Data?

Oleh: Novi Huriyani

Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) telah resmi disahkan menjadi Undang-Undang (UU) dalam Rapat Paripurna DPR RI Masa Persidangan I Tahun Sidang 2022-2023 pada Selasa, 20 September 2022. 

UU Perlindungan Data Pribadi (PDP) telah disetujui bersama oleh DPR dan Presiden. Dengan disahkannya RUU PDP, pemerintah dalam hal ini Kementerian Kominfo akan melaksanakan pengawasan terhadap tata kelola data pribadi oleh para Penyelenggara Sistem Elektronik (PSE).

Akan tetapi, apakah bisa peraturan ini dapat membuat pembocor data atau hacker berhenti beraksi?

Diketahui, berbagai kebocoran data yang menyita perhatian publik terjadi dalam dua bulan terakhir. Publik sempat di gegerkan dengan kehadiran Bjorka, yang mempublikasi data pribadi milik beberapa petinggi negara. 

Dengan rangkaian kebocoran data itu, Pemerintah dan DPR seolah bergerak untuk mempercepat pembahasan RUU PDP.

“Pengesahan RUU PDP akan menjadi tonggak sejarah bagi Indonesia dalam melindungi data pribadi warga negaranya dari segala bentuk kejahatan di era digital sekarang ini,” ucap Ketua DPR RI, Selasa (20/9). 

“Lewat UU PDP, negara akan menjamin hak rakyat atas keamanan data pribadinya,” imbuhnya.

Naskah final RUU PDP sendiri sudah dibahas sejak 2016. Yang terdiri dari 371 Daftar Inventarisasi Masalah (DIM) dan menghasilkan 16 Bab serta 76 pasal. Jumlah pasal di RUU PDP ini bertambah 4 pasal dari usulan awal pemerintah pada akhir 2019 yakni sebanyak 72 pasal. “RUU PDP ini akan memberi kepastian hukum agar setiap warga negara, tanpa terkecuali, berdaulat atas data pribadinya. Dengan demikian, tidak ada lagi tangisan rakyat akibat pinjaman online yang tidak mereka minta, atau doxing yang membuat meresahkan warga,” kata Puan.

Berdasarkan draf final RUU PDP yang disepakati dua pihak, sejumlah sanksi disiapkan bagi pembocor data maupun pengelola data yang lalai menjaganya. Misalnya, korporasi bakal kena denda 2 persen dari keuntungan tahunannya, individu yang sengaja membocorkan data pribadi didenda maksimal Rp5 miliar.

Menteri Komunikasi dan Informatika (Menkominfo) Johnny G. Plate menyebut pengesahan RUU PDP akan memberi sanksi berat pada lembaga yang bocorkan data pribadi. Kominfo sendiri sempat berdalih tanggung jawab penanganan kebocoran itu ada di Badan Siber dan Sandi Negara (BSSN). BSSN menilai hal itu merupakan tanggung jawab bersama.

“Keamanan siber pada dasarnya merupakan tanggung jawab bersama seluruh pemangku kepentingan baik Penyelenggara Negara, Pelaku Usaha, Akademisi, maupun Komunitas/Masyarakat,” kata Juru Bicara BSSN, Ariandi Putra, beberapa waktu lalu.

Lalu bagaimana peran dan kewajiban PSE (Penyelenggara Sistem Elektronik) setelah di sahkahnnya UU PDP? 

Salah satu yang menjadi kewajiban dari PSE, baik itu pemerintah, publik maupun privat swasta adalah memastikan dalam sistemnya data pribadi dilindungi. Tak hanya itu, Kominfo juga bakal melihat tata kelola data pribadi pada PSE. 

“Apabila terjadi insiden data pribadi, kebocoran data pribadi, maka yang akan dilakukan pemeriksaan terhadap penyelenggara data pribadi. Apakah mereka telah menjalankan kepatuhan sesuai UU PDP? Jika tidak mereka diberi berbagai jenis sanksi seperti yang diatur dalam UU PDP,” Ucap Menkominfo, Selasa (20/9). 

Jika tidak, maka mereka (PSE) diberikan berbagai jenis sanksi sebagaimana yang diatur dalam Undang-Undang PDP berupa sanksi administratif maupun sanksi pidana, kurungan, dan denda.

“Untuk besaran sanksinya bervariasi dari tingkat kesalahan. Mulai dari hukuman badan 4 tahun sampai 6 tahun pidana, maupun hukuman denda sebesar Rp4 milliar hingga Rp6 milliar setiap kejadian. Apabila terjadi kesalahan, maka dikenakan sanksi sebesar 2% dari total pendapatan tahunan,” terang Menkominfo.

Menteri Kominfo mengingatkan kepada setiap PSE, pengendali dan pemroses data pribadi untuk melaksanakan kewajibannya dengan benar. Sementara untuk tugas-tugas keamanan sistem informasi, sesuai Perpres 53 Tahun 2017 telah dipindahkan ke Badan Siber dan Sandi Negara (BSSN).

Dengan adanya perpres tersebut, jelas Johnny, Direktorat Keamanan Informasi yang dahulunya berada di dalam struktur organisasi Ditjen Aplikasi Informatika, kini telah berpindah ke BSSN sejak tahun 2018.

“Apa saja yang dipindahkan? Pertama adalah penyerahan ID-SIRTII, yaitu keamanan sistem informasi. Kedua adalah peralatan yang dikenal dengan thread intelijen. Peralatan untuk jaringan dan sistem informasi itu diserahkan kepada BSSN, sehingga di Kominfo, Direktorat Keamanan Informasi sudah dilikuidasi. Kecuali, keamanan sistem informasi untuk keperluan Kementerian Kominfo saja,” paparnya.

Namun demikian, apabila ada orang-orang dan korporasi yang menggunakan data pribadi secara illegal, maka sanksinya jauh lebih berat berupa perampasan seluruh kegiatan yang terkait dengan manfaat ekonomi atas data pribadi tersebut.

“Makanya kita sangat mendorong agar mari gunakan seluruh kepercayaan publik ruang usaha di bidang digital khususnya bidang data secara legal. Mari kita baca sama-sama undang-undangnya, di saat yang bersamaan tentu kami melakukan literasi agar masyarakat mengetahui hak-haknya dan koporasi, serta perorangan mengetahui kewajiban,” ajak Menkominfo, Selasa (20/9).

Namun, bagaimana Menkominfo memastikan agar undang-undang dan kewajiban memiliki kesesuaian yang mana harus dilakukan oleh Sistem Elektronik? 

Peran lain dari Kementerian Kominfo adalah melaksanakan uji compliance.  Apabila tidak compliance dan terjadi data breach atau kebocoran data pribadi, maka disitulah sanksi-sanksi sebagaimana yang diatur dan saat ini di bawah UU PDP sanksinya sudah cukup berat,” tegas Menteri Kominfo.

Johnny menyatakan, UU PDP ini juga mengatur kesetaraan aturan legislasi primer di berbagai negara. Hal itu mengingat data bergerak ekstrateritorial dan ekstrayudisial, menyeberangi batas-batas negara. Payung hukum harus mempunyai kesesuaian baik secara multilateral (berbagai negara) maupun bilateral (antarnegara).

“Kita harapkan dengan disahkannya UU PDP, maka semua PSE harus mempunyai firewall dan teknologi enkripsi yang dapat terus ditingkatkan, agar mampu menahan serangan siber yang berlangsung terus-menerus. Juga cepat dalam penanganan maupun pencegahan serangan siber oleh sistemnya masing-masing,” harapnya.

Menkominfo menuturkan, UU PDP juga turut mengatur institusi perorangan, pribadi, korporasi di dalam negeri maupun global. “Terkait dengan lembaga negara yang mengatur tata kelola data pribadi, berada di bawah Presiden, bertanggung jawab kepada Presiden, dan akan diatur lebih lanjut melalui Keputusan Presiden (Keppres),” tandasnya. 

Selain itu, UU PDP juga mengatur legislasi primer antarnegara. Sebab, data pribadi bergerak extraterritorial dan extrajudicial melewati batas hukum negara.

“Sehingga payung hukum harus mempunyai kesesuaian yang sama baik secara multilateral berbagai negara, maupun secara bilateral ambang negara,” ucap Johnny.

Dengan begitu, dia mengingatkan, “Semua PSE harus memiliki teknologi yang mumpuni untuk mengamankan data pribadi masyarakat. Harus terus ditingkatkan untuk menjaga agar mampu menahan cyber attack, yang berlangsung terus menerus dan semakin dahsyat,” kata dia.

Menkominfo pun berharap berbagai PSE mempunyai sistem organisasi yang bekerja efektif dalam pengambilan keputusan.

“Sehingga cepat ambil keputusan dalam menangani serangan siber atau mencegah serangan siber melalui sistem masing-masing, itu yang diperhatikan,” imbuhnya. ()