Pelatihan hukumonline bertema “Strategi Keamanan Siber: Penanganan, Pencegahan, dan Penanggulangan Serangan Siber”, Rabu (19/6) mengulas keamanan dan perlindungan data dari ancaman keamanan. Berkaitan dengan pelaku usaha, ada ketentuan mengenai perlindungan data pribadi yang tidak bisa dianggap remeh.
Ketua Indonesia Cyber Law Community (ICLC), Teguh Arifiyadi, menjelaskan bahwa setiap perusahaan memiliki tanggung jawab untuk mengupayakan perlindungan data pribadi yang disimpannya. Kelalaian dalam upaya mengamankan berbagai data pribadi bisa saja membuat perusahaan berurusan dengan UU No. 11 Tahun 2008 sebagaimana dkiubah dengan UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (UU ITE) dan berbagai peraturan pelaksanaanya.
Jika membaca sekilas perbuatan yang dilarang dalam UU ITE, sanksi pidana hanya ditujukan kepada pelaku kejahatan siber yang secara sengaja dan tanpa hak mengakses data pribadi. Padahal, ada kewajiban yang tetap harus dipenuhi agar perusahaan tidak ikut terjerat UU ITE.
Pasal 32 juncto Pasal 48 UU ITE menyebutkan setiap orang dengan sengaja dan tanpa hak atau melawan hokum dengan cara apapun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu informasi elektronik dan/atau dokumen elektronik milik orang lain atau milik publik diancam pidana paling lama 8 tahun dan/atau denda dua miliar rupiah. Jika perbuatannya adalah memindahkan atau mentransfer informasi atau dokumen elektronik ke sistem elektronik orang lain hukumannya naik menjadi maksimal 9 tahun penjara dan/atau denda 3 miliar rupiah. Jika aktivitas itu membuka rahasia yang seharusnya disimpan, ancamannya dinaikkan menjadi 10 tahun penjara dan/atau denda hingga 5 miliar rupiah.
Teguh berbagai tips agar perusahaan bebas dari kemungkinan ikut dijatuhi sanksi hukum akibat serangan kejahatan siber. “Perlu melakukan klasifikasi dokumen perusahaan”, ujarnya. Dokumen yang dimaksud Teguh adalah berbagai bentuk dokumen elektronik yang memuat data pribadi.
(Baca juga: Penyelesaian Sengketa Data Pribadi).
Perusahaan perlu melakukan pemilahan sejak awal berbagai dokumen elektronik yang disimpan berdasarkan isi. Berbagai dokumen berisi data pribadi harus diperlakukan berbeda sebagai bentuk iktikad baik dalam melindungi data pribadi. “Fungsinya agar perusahaan memperlakukan data dengan tepat, tidak semua data itu sama”, Teguh menambahkan saat diwawancarai hukumonline.
Klasifikasi sejak awal ini akan menjadi dasar bagi perusahaan untuk menyatakan diri telah mengupayakan perlindungan data pribadi. “Selain itu, pihak manajemen bisa melakukan mitigasi yang tepat saat terjadi risiko yang tidak diinginkan,” katanya lagi. Misalnya dengan enkripsi khusus bagi dokumen elektronik berisi data-data rahasia. Dokumen semacam ini juga harus dibatasi aksesnya secara ketat oleh kalangan tertentu dalam perusahaan.
Teguh memberikan saran beberapa klasifikasi minimal dari berbagai dokumen elektronik yang ada di perusahaan. “Setidaknya ada klasifikasi sangat rahasia, rahasia, terbatas, dan biasa,” ujarnya. Dengan demikian, perusahaan telah menunjukkan upaya pencegahan dari serangan kejahatan siber terhadap data pribadi.
Teguh menjelaskan sebenarnya Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo Perlindungan Data Pribadi) telah memberikan rambu-rambu soal klasifikasi dokumen. Pasal 12 ayat (1) Permenkominfo ini menyebutkan bahwa data pribadi hanya dapat diolah dan dianalisis sesuai kebutuhan penyelenggara sistem elektronik yang telah dinyatakan secara jelas saat memperoleh dan mengumpulkannya.
Ketentuan ini menguatkan dasar penting klasifikasi dokumen elektronik sebagai pencegahan kegagalan melindungi data pribadi. “UU ITE memang tidak mewajibkan klasifikasi data, namun jelas dibutuhkan untuk memenuhi kewajiban perusahaan mencegah kegagalan perlindungan data pribadi,” Teguh menjelaskan.
Di era revolusi industri 4.0 yang dibanjiri data digital, perusahaan tak bisa mengelak untuk ikut menjadi penyelenggara sistem elektronik dimana data pribadi konsumen atau pelanggan berada. Permenkominfo tersebut turut mengikat banyak pelaku usaha di sektor industri apapun selama menyelenggarakan sistem elektronik.
Kebijakan Pemerintah mengatur perlindungan data pribadi muncul sejak adanya UU ITE. Keberadaan data pribadi dalam sistem elektronik mulai dirasa perlu untuk dilindungi sebagai bagian dari hak individu. Dasarnya adalah hak asasi yang secara konstitusional disebutkan UUD Negara Republik Indonesia Tahun 1945.
Dalam UU ITE, perlindungan data pribadi disebutkan dalam pasal 26 yang kembali ditegaskan pelaksanaannya oleh Pasal 15 PP No. 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Perlindungan data pribadi dalam sistem elektronik itu kemudian diperjelas oleh Permenkominfo Perlindungan Data Pribadi mencakup perlindungan terhadap perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahannya.