Cyberthreat.id – Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran (Unpad) Shinta Dewi Rosadi menilai Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) seharusnya mengatur cara korban kebocoran data mengklaim kerugiannya.

Shinta mengatakan, dalam berbagai kasus kebocoran data, korban tidak bisa mengklaim kerugiannya karena belum diatur dalam undang-undang. Hal itu menjadi alasan kenapa Indonesia harus memiliki undang-undang perlindungan data pribadi yang spesifik mengatur soal kebocoran data dan mekanisme klaim jika seseorang menjadi korban kebocoran data.

Jika merujuk pada regulasi yang sudah ada, kata Shinta, justru akan menempatkan korban dalam posisi yang cukup sulit. Misalnya di pasal 26 UU ITE ada klasul korban bisa menuntut jika ada kerugian, tetapi prinsip tanggung jawab ini dilimpahkan kepada korban, dan meminta menunjukkan buktinya. Artinya yang harus membuktikan jika memang terjadi kerugian karena ada pelanggaran data adalah korban.

“Nah yang menjadi pertanyaan, orang awam bagaimana bisa membuktikan jika sistem elektronik penyelenggara itu bocor?” kata Shinta dalam Webinar “Urgensi Perlindungan Data Pribadi: Mengapa Terus Ditunda" yang diselenggarakan secara virtual oleh Legal Talk Society, Rabu (10 Maret 2021).

Menurut Shinta, selain mengakomodasi soal kebocoran data dan klaim kebocoran data atas kerugiannya, RUU PDP juga harus memiliki lembaga independen yang terpisah dari institusi atau lembaga apapun. Selain melakukan pengawasan terhadap perlindungan data pribadi, lembaga ini juga harus membantu para korban untuk mengajukan klaim kerugian dirinya sebagai korban kebocoran data.

Dengan begitu, ketika terjadi kebocoran data, korban cukup hanya melaporkan kepada lembaga independen ini, yang selanjutnya menindaklanjuti laporan dengan  memanggil perusahaan untuk membuktikan jika mereka sudah mengambil langkah yang diperlukan terkait keamanan data pengguna.

“Bahkan kalau perlu nanti dia akan memanggil si penyelenggara elektronik untuk membuktikan kalau memang dia sudah melakukan langkah-langkah untuk mengamankan data pribadi penggunanya, apakah tata Kelola sudah dilakukan dengan baik atau belum?”

Menurut Shinta, langkah itu perlu diambil lantaran dalam sebagai kasus kebocoran data yang terjadi di Indonesia, penyelenggara sistem seakan lepas tangan dan menyalahkan pihak lain (peretas) atas kasus kebocoran data yang menimpa sistem elektroniknya.

“Sekarang yang terjadi, jika terjadi kebocoran data banyak perusahaan yang mengatakan jika hal tersebut dilakukan oleh hacker. Jadi seakan bukan tanggung jawab perusahaan, tapi malah hacker yang akan dituntut. Jangan kebiasaan nuduh hacker terus, tapi lihat juga apakah sudah menerapkan keamanannya?“

Shinta berharap melalui RUU PDP ini, hal seperti itu tidak terjadi lagi. Melalui lembaga independen jika terjadi kebocoran data, kata dia, harus melihat ke internal dulu (ke sistem lembaga, kementerian, atau perusahaan), apakah benar penyelenggara elektronik sudah melakukan upaya pengamanan sesuai standar, bagaimana kebijakan privasinya, dan bagaimana manajemen resikonya.

“Kadang kala pemerintah dan swasta mengatakan individu yang harus hati-hati akan datanya, itu memang benar, tetapi sebenarnya tanggung jawab itu melekat pada pengendali dan pemroses data, dan pemilik data yang harus dilindungi seperti apa yang ada dalam UU Perlindungan Konsumen, karena pemilik data adalah subyek data,” ujarnya.[]

Editor: Yuswardi A. Suud