Daily News|Jakarta – Awal September 2019 lalu, Perusahaan keamanan siber Kaspersky Lab melaporkan setidaknya 21 juta data rincian penumpang anak perusahaan Lion Air yakni, Malindo Air dan Thai Lion Air, bocor dan diunggah ke forum daring. Berkaca pada kasus tersebut, Rancangan Undang-Undang Perlindungan Data Pribadi mendesak disahkan.
Direktur Riset Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar mengatakan hal itu di Jakarta, Rabu (25/9/2019). Menurut Wahyudi, data pribadi penumpang Lion Air yang dikabarkan bocor meliputi paspor, alamat dan nomor telepon penumpang.
Merespon hal itu, langkah yang diambil oleh Kementerian Komunikasi dan Informatika (Kominfo) baru sebatas memanggil pihak Lion Air. “Hanya untuk mendapatkan klarifikasi terkait insiden kebocoran data tersebut,” ujar Wahyudi.
Terbatasnya langkah yang dapat diambil Kominfo, menurut Wahyudi, salah satunya dikarenakan tidak adanya undang-undang yang secara komprehensif mengatur perlindungan data pribadi di Indonesia. Maka, akibat dari kekosongan hukum ini, Lion Air terhindar dari kewajiban-kewajiban yang sepatutnya dilekatkan selaku pengendali data pribadi atau data controller.
Secara umum, pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya. “Kewajiban itu meliputi, pertama penerapan pseudonymization dan enkripsi data pribadi,” jelas Wahyudi.
“Kedua memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan. Ketiga memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat atau tidak menunda-nunda dalam hal terjadi insiden fisik atau teknis atau kebocoran data,” imbuh dia.
Kewajiban keempat, masih menurut Wahyudi, menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan. Termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs).
Selain itu, kekosongan hukum juga berdampak pada hilangnya hak-hak pelanggan sebagai subjek data. Khususnya hak atas informasi dan hak atas pemulihan serta kompensasi. “Dalam hal terjadinya kebocoran, pengendali data berkewajiban untuk memberikan pemberitahuan kepada subjek data dan otoritas perlindungan data pribadi,” ujarnya.
Ketentuan ini, lanjut Wahyudi, diatur dalam Pasal 15 ayat (2) PP Nomor 82 Tahun 2012, yang menyebutkan: “Jika terjadi kegagalan dalam perlindungan rahasia data pribadi yang dikelolanya, penyelenggara sistem elektronik wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut.”
Detailnya, jika terjadi kebocoran pemberitahuan kepada pemilik data mustinya berisi beberapa hal. Pertama, kategorisasi data pribadi apa saja yang bocor. Kedua, jumlah subjek data yang terdampak. Ketiga, informasi kontak petugas perlindungan data pribadi yang dapat dihubungi. Keempat konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran.
“Dan kelima langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran. Termasuk mitigasi kejadian serupa di masa mendatang,” ujarnya.
Namun yang disayangkan kata Wahyudi, sampai dengan saat ini Indonesia tidak memiliki panduan yang memadai. Terutama terkait dengan langkah-langkah penanggulangan ketika terjadi kebocoran. Termasuk pihak yang harus melakukan investigasi.
Lain halnya dengan Inggris misalnya. Ketika terjadi kebocoran 500.000 data penumpang British Airways pada 2018 lalu, maskapai tersebut dikenakan denda hingga 183 juta poundsterling atau 3 triliun rupiah. Ini dimungkinkan karena Inggris memiliki lembaga independen yang menjalankan fungsi pengawasan terhadap perlindungan data melalui Komisi Informasi Inggris (ICO).
“Lembaga inilah yang memiliki wewenang untuk menginvestigasi, dan kemudian menjatuhkan sanksi denda bagi perusahaan, sebagai pengendali data,” kata Wahyudi.
Selain itu menurut Wahyudi, pelaksanaan investigasi pun dimungkinkan karena sebelumnya British Airways telah memberikan pemberitahuan kepada Komisi, bahwa telah terjadi kebocoran data pribadi penumpangnya. Langkah-langkah penanggulangan ini dimungkinkan, karena adanya hukum perlindungan data yang komprehensif.
Sementara Indonesia, meski pemerintah telah merampungkan proses penyusunan RUU Perlindungan Data Pribadi, dan RUU ini masuk sebagai salah satu prioritas Prolegnas 2019, tapi hingga saat ini pemerintah tak kunjung menyerahkannya ke DPR, untuk dilakukan pembahasan bersama.
“Ini bertolak belakang dengan komitmen yang disampaikan Presiden Joko Widodo (Jokowi) dalam Pidato Kenegaraan pada 16 Agustus 2019 lalu. Beliau menegaskan bahwa data pribadi harus dilindungi,” ujarnya.
Karena itu, Wahyudi menyatakan, regulasinya harus segera disiapkan. Tidak boleh ada kompromi. Sebab inti dari regulasi adalah melindungi kepentingan rakyat, serta melindungi kepentingan bangsa dan negara.
Dilain pihak, Alia Yofira, Peneliti ELSAM, menambahkan, berkaca dari kebocoran data penumpang Lion Air, pihaknya menekankan beberapa hal. Pertama, Kominfo harus meminta kepada pihak Lion Air untuk memberikan informasi lebih lanjut terkait jumlah data penumpang yang terdampak.
Pihak Lion Air harus mrnjelaskan data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi penumpang. Kedua, Kominfo mesti mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
” Juga Permenkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data, juga memastikan pemulihan bagi para pemilik data,” tuturnya.
Hal ketiga yang ditekankan Alia, Pemerintah harus segera menyerahkan RUU Perlindungan Data Pribadi ke DPR. Ini sangat penting, bahkan mendesak agar proses pembahasan bersama bisa secepatnya dilakukan. Dan segera dilakukan pengesahan. Selain itu, mengingat periode DPR yang akan segera berakhir pada akhir September ini, juga sangat penting memastikan kontinuitas pembahasannya pada periode DPR berikutnya.
Pewarta: Agus S