Lembaga Studi Advokasi Masyarakat (Elsam) menyoroti rentetan dugaan kebocoran data pribadi yang melibatkan dua entitas strategis saat ini. Kebocoran data ini harus jadi perhatian semua pihak karena entitas tersebut mengelola hajat hidup banyak orang dan fungsi pelayanan publik, selain jumlah data yang dibocorkan juga sangat signifikan.
Setelah dugaan kebocoran 44,237 juta data pribadi yang dikelola oleh aplikasi MyPertamina, di bawah PT Pertamina, masyarakat kembali dikejutkan dengan dugaan kebocoran 3,250 miliar data yang berasal dari aplikasi PeduliLindungi, yang dikelola Kementerian Kesehatan sebagai aplikasi contact tracing.
“Rangkaian insiden kebocoran data pribadi tersebut sejatinya menunjukkan belum siapnya pengendali data, khususnya yang berasal dari badan publik, untuk memastikan pemenuhan seluruh kewajiban sebagai pengendali data, sebagaimana diatur dalam UU No. 27/2022 tentang Pelindungan Data Pribadi,” ungkap Direktur Eksekutif Elsam, Wahyudi Djafar, Kamis (16/11).
Baca Juga:
- Dunia Usaha Siap Implementasikan UU PDP
- Data Protection Officer Peluang Karier Baru bagi Lulusan Hukum
- Sejumlah Tantangan Implementasi UU PDP dalam Sektor Perbankan
Dia menjelaskan salah satu prinsip dalam pemrosesan data pribadi yang diakui dalam UU PDP adalah prinsip integritas dan kerahasiaan, yang diimplementasikan dengan adanya kewajiban untuk memastikan keamanan pemrosesan, menjaga kerahasiaan, dan kewajiban pemberitahuan (notification) jika terjadi kebocoran.
Lebih lanjut, Wahyudi mengungkapkan setiap pengendali maupun pemroses data juga harus menerapkan langkah-langkah teknis dan organisasi untuk memastikan tingkat keamanan yang tinggi dalam pemrosesan data pribadi yang dilakukannya. Langkah-langkah tersebut termasuk anonimisasi; pseudonimitas (penjagaan identitas); enkripsi data; memastikan sistem dan layanan pemrosesan; menjaga kerahasiaan, integritas, ketersediaan dan ketahanan; memulihkan ketersediaan dan akses ke data jika datanya hilang; dan adanya suatu proses untuk menguji, menilai dan mengevaluasi efektivitas tindakan untuk menjamin keamanan pemrosesan data.
“Sayangnya memang, sejauh ini peraturan pelaksana untuk mengimplementasikan berbagai kewajiban pengendali data yang diatur dalam UU PDP, termasuk pembentukan Lembaga Pengawas Pelindungan Data Pribadi, saat ini masih dalam proses penyusunan. Pertanyaannya kemudian, siapa yang bertanggung jawab untuk memastikan kepatuhan pengendali data terhadap standar-standar pelindungan data pribadi, termasuk langkah mitigasi ketika terjadi insiden kebocoran, selama masa transisi UU PDP? Periode transisi implementasi UU PDP memang menjadi masa kritis dalam hal kepatuhan pengendali data untuk memastikan penerapan standar pelindungan data pribadi, termasuk risiko pembiaran jika terjadi insiden kebocoran data pribadi,” jelasnya.
Kemudian, Wahyudi mengungkapkan situasi ini terjadi dikarenakan adanya keharusan penyesuaian berbagai regulasi terkait pelindungan data pribadi dengan UU PDP, termasuk kelembagaannya. Menurutnya, kondisi ini memunculkan pertanyaan implementasi regulasi saat ini (existing regulation), seperti PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Pelindungan Data Pribadi Dalam Sistem Elektronik (Permen PDPSE). Kemudian, pertanyaan selanjutnya mengenai lembaga yang bertanggungjawab untuk memastikan pelindungan data pribadi sebelum terbentuknya Lembaga Pengawas PDP.
“Secara hukum, untuk menghindari kekosongan hukum dan tetap memastikan jaminan pelindungan data pribadi warga negara, semestinya existing institution (lembaga yang ada saat ini) yang bertanggungjawab dalam pelindungan data pribadi, dalam hal ini Kementerian Komunikasi dan Informatika (Kominfo), tetap secara proaktif mengimplementasikan berbagai peraturan pelindungan data pribadi (PP PSTE dan Permen PDPSE). Kehadiran UU PDP justru dapat menjadi rujukan tambahan yang dapat mengoptimalkan langkah-langkah pelindungan data pribadi, termasuk respons ketika terjadi insiden kebocoran,” imbuh Wahyudi.
Salah satunya, saat ini misalnya adanya kejelasan terkait dengan pengaturan hak subjek data, termasuk dalam hal notifikasi kepada subjek data, ketika terjadi kegagalan dalam pelindungan data pribadi oleh pengendali data. Notifikasi ini menekankan pada prinsip without undue delayed, dalam UU PDP diatur dalam rentang waktu 3 x 24 jam, meski sayangnya tidak dijelaskan terhitung semenjak kapan hitungan tersebut berlaku.
Dengan kondisi tersebut, merespons rentetan insiden kebocoran data pribadi yang terjadi pada aplikasi MyPertamina dan PeduliLindungi, untuk menjamin tetap terlindunginya data-data pribadi warga negara, Lembaga Studi dan Advokasi Masyarakat (ELSAM) mendorong Kementerian Komunikasi dan Informatika (Kominfo) mengambil peran sesuai wewenang yang diatur dalam existing regulation, untuk menghindari kekosongan hukum dan institusi, dalam memastikan tetap
terlindunginya data-data pribadi warga negara. Peran ini dapat diwujudkan dengan melakukan
serangkaian proses investigasi untuk menyelidiki penyebab kebocoran, serta langkah-langkah mitigasi untuk mengurangi risiko, termasuk mendorong pengendali data untuk segera memberikan notifikasi kepada publik, karena menyangkut data terkait layanan publik (Pasal 46 (3) UU PDP).
Kemudian, Elsam juga mendorong pengendali data, khususnya yang berasal dari badan publik, untuk secara konsisten mengimplementasikan seluruh standar kepatuhan pelindungan data pribadi sesuai dengan yang dimandatkan UU PDP, berangkat dari standar kepatuhan yang telah diatur dalam existing regulation (peraturan perundangan-undangan yang berlaku).
Pemerintah juga diharapkan mampu menjamin proses yang terbuka dan partisipatif dengan melibatkan seluruh pemangku kepentingan, dalam penyusunan peraturan pelaksana UU PDP, termasuk dalam pembentukan Lembaga Pengawas PDP, untuk menghasilkan regulasi yang baik.
Hal ini penting untuk memberikan kejelasan teknis dalam implementasi UU PDP, salah satunya misalnya terkait dengan posisi dari pengendali data, apakah termasuk badan publik atau korporasi, karena akan berpengaruh pada proses penegakan hukumnya. Sebagai contoh, apakah aplikasi MyPertamina termasuk korporasi atau badan publik? Mengingat definisi badan publik dalam UU PDP juga mencakup institusi yang sebagian anggarannya berasal dari APBN.
Terakhir, Elsam mendorong pemerintah, khususnya Badan Siber dan Sandi Negara (BSSN), melakukan audit dan penilaian (assessment) menyeluruh terhadap sistem keamanan dari sistem informasi elektronik yang dikelola pemerintah, untuk mencegah serangan peretasan dan kebocoran data lanjutan.
Selain itu, keberadaan Satuan Tugas Kebocoran Data Pribadi mestinya juga dapat dioptimalkan dalam hal fungsi koordinasi antar-institusi terkait, sebagai persiapan dalam implementasi UU PDP.
Pakar keamanan siber Dr. Pratama Persadha sebelumnya mengungkap dugaan Bjorka membocorkan 44 juta data MyPertamina berisi nama, surat elektronik (email), nomor induk kependudukan (NIK), nomor kartu tanda penduduk (KTP), dan nomor pokok wajib pajak (NPWP).
"Selain itu, Bjorka upload (mengunggah) nomor telepon, alamat, date of birth (tanggal lahir), jenis kelamin, penghasilan (harian, bulanan, dan tahunan), data pembelian bahan bakar minyak (BBM), dan masih banyak data lainnya," kata Pratama Persadha seperti dilansir Antara.
Sebelumnya, kata dia, kebocoran data di PLN, Indihome, data registrasi SIM card, dan 105 juta data pemilih, hingga data rahasia dan surat untuk Presiden Joko Widodo (Jokowi) yang bocor dan diunggah oleh Bjorka. Pratama menjelaskan bahwa kebocoran tersebut diunggah pada hari Kamis (10/11) pukul 10.31 WIB oleh anggota forum situs breached.to dengan nama identitas "Bjorka".
Dia menyebutkan pula bahwa 44 juta data ini dijual dengan harga 25.000 dolar Amerika Serikat atau sekitar Rp400 juta dengan menggunakan mata uang Bitcoin. Data yang diklaim oleh Bjorka, kata Pratama, berjumlah 44.237.264 baris dengan total ukuran mencapai 30 gigabita bila dalam keadaan tidak dikompres.
Diungkapkan pula oleh Ketua Lembaga Riset Siber Indonesia CISSReC ini bahwa data sampelnya dibagi dua file, yaitu data transaksi dan data akun pengguna.
Ketika pengecekan terhadap sampel data secara acak dengan aplikasi "GetContact", ujar dia lagi, nomor tersebut benar menunjukkan nama dari pemilik nomor tersebut. "Selain itu, dicek NIK lewat aplikasi Dataku juga cocok. Berarti sampel data yang diberikan oleh Bjorka merupakan data yang valid," ujarnya.
Hingga saat ini, kata Pratama, sumber datanya masih belum jelas. Namun, soal asli atau tidaknya data ini hanya Pertamina sendiri yang bisa menjawabnya. Hal ini karena Pertamina yang membuat aplikasi ini yang juga memiliki dan menyimpan data ini.