Jakarta, Cyberthreat.id – Perlindungan data pribadi menjadi isu krusial di era digital saat ini. Apalagi kejahatan yang paling rentan saat ini adalah penjualan data pribadi.

Pemerintah tengah menyusun RUU Perlindungan Data Pribadi. Undang-undang tersebut nanti mengatur seluruh penyelenggara sistem elektronik (PSE) atau platform untuk tidak main-main dengan informasi data pribadi yang dikumpulkannya. Dalam UU itu nanti mengatur sebanyak 31 kategori, misalnya nama, alamat, agama, bahkan golongan darah.

Selama ini untuk mengisi kekosongan hukum terkait aturan perlindungan data pribadi, pemerintah telah menerbitkan Permenkominfo Nomor 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

Aturan tersebut amanat dari Undang-Undang ITE dan Peraturan Pemerintah Nomor 82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Sayangnya, dalam permenkominfo belum terlalu detail membahas perlindungan data pribadi.

Di tengah kesibukannya, Direktur Jenderal Aplikasi dan Informatika Kementerian Komunikasi dan Informatika, Semuel Abrijani Pangerapan, menyempatkan diri untuk melayani wawancara dengan Cyberthreat.id, Senin (15/4/2019) di Jakarta.

Berikut petikan wawancaranya:

Menyangkut isu perlindungan data pribadi, aturannya bagaimana?

Perlindungan data pribadi itu (saat ini) ada di UU ITE, yaitu Pasal 26, bahwa setiap penyelenggara yang menyimpan data pribadi orang, dia wajib mengamankan data-data itu dan bertanggung jawab atas kerahasiaannya.

UU ITE bukankah belum terlalu kuat soal data pribadi?

Makanya, sekarang kami lagi siapkan UU Perlindungan Data Pribadi secara menyeluruh. Di UU ITE, cuma satu pasal. Nah ini nanti satu undang-undang.

Kapan RUU PDP disahkan?

Akhir bulan ini (draf RUU) diharapkan sudah diserahkan ke DPR untuk dibahas. Setelah pemilu ini, nanti kami kirimkan drafnya. Presiden akan mengeluarkan surat kepada DPR dan di sidang pertama mereka, (RUU PDP) akan dibahas.

Yang membedakan secara krusial antara UU ITE dengan UU PDP?

Banyak sekali. Jika UU ITE mengatur transaksi (elektronik), UU PDP mengenai perlindungan data pribadinya. Kalau kita bicara data pribadi, itu ada tiga pelakunya. Yaitu pemilik data adalah orang-orangnya. Pengendali data adalah platform-nya, dan pemroses data.

Antara pemroses dan pengendali itu kadang-kadang bisa jadi satu. Bisa juga, dia memrosesnya, dia outsourcing. Nah, tetap yang bertanggung jawab adalah si pengendali. Karena pemroses itu tidak melihat apa pun, kecuali dia ada sistem yang bocor.

Tetapi, yang bertanggung jawab penuh adalah pengendali. Karena pemroses hanya menjalankan tugas sesuai perintah dari pengendali.

Dalam UU PDP, yang namanya pemroses, zero toleransi untuk akses. Contohnya, mereka menyimpan data di cloud. Cloud itu tidak bisa melihat apa pun. Kalau dia melihat, dia bisa kena hukuman. Malah dia tidak bisa lagi menjadi penyedia cloud karena cloud itu jualan kepercayaan, bukan menjual fasilitas.

Pemilik data adalah orang yang memberikan informasi diri terhadap pengendali data, supaya datanya dikelola. Contoh, saat kita mau buka Facebook. Ada centang untuk menyetujui. Nah, artinya saya sudah setuju bahwa data saya dikendalikan oleh Facebook. Facebook punya cloud sendiri. Jadi, dia mengelola sendiri. Tidak diberikan ke pihak ketiga.

Go-Jek juga pengendali data. Dia enggak punya cloud sendiri. Dia kasihkan ke Google Cloud, tetapi atas perintah Go-Jek. Yang bertanggung jawab atas pengendalian data pribadi adalah Go-Jek.

Apabila terjadi suatu kejadian, aparat hukum itu tidak boleh (langsung meminta data) ke cloud. Tetapi, harus ke Go-Jek, karena cloud tidak bisa buka apa-apa. Aparat akan meminta Go-Jek, bahwa "Ada insiden nih, tolong dibukakan datanya." Lalu, baru tim forensik ambil datanya, sesuai dengan ketentuan forensik (data) akan dijadikan alat bukti.

Semuel mengatakan, dalam permenkominfo hanya mengatur bahwa semua pengendali data wajib melindungi data pribadi. Hukumannya jika terjadi pelanggaran masih berupa sanksi perdata. Di UU PDP, nanti juga ada pidana, terutama terkait denga pencurian data. “Itu hukuman pidananya berat,” kata dia.

Bagaimana dengan orang yang membeli data curian?

Yang beli pun kena. Yang jual kena, yang pakai juga kena. Itu disebut akses ilegal. Yang beli akan kena pasal turut serta dengan ancaman pidana KUHP.

Jangankan curi data, saya nemu di website, saya gunakan itu untuk mendaftarkan kartu SIM saya juga kena. Walaupun dia tidak beli, tetapi hanya nemu di publik, di internet. Aturan itu di UU ITE ada, di PDP nanti juga ada. Misal, kasus teroris. Kan dia pakai data orang. Dia kena dua pasal di UU ITE dan PDP.

Bagaimana dengan marketing bank yang sering menelpon dan menawarkan fasilitas perbankan?

Yah kena juga dia. Nomor (telepon yang dipakai marketing) itu dilaporkan. Nomor spam itu dilaporkan, nanti diblokir sama operatornya. Kan ada cara untuk melaporkan lewat SMS.

Bagaimana dengan kasus peretasan Bukalapak?

Bukalapak kan sudah ada klarifikasi. Itu bukan kebocoran.

Sepengatahuan Semuel Bukalapak saat ini telah melakukan proteksi data sehingga peretas tidak bisa menggaruk (crawling) data. Ia menuturkan, saat pertama kali membuka akun Bukalapak baik pembeli dan penjual melakukan pengisian data. Data-data itu yang kemungkinan besar ditarik (crawling) oleh peretas.

Jika terbukti ada kebocoran data, terlepas ada penadah atau tidak, seperti apa sanksi hukumnya?

Orang yang merasa dirugikan bisa menggugat ke pengadilan.

Menurut Semuel, jika nanti UU PDP telah berlaku, jika terjadi seperti itu, pelaku dapat dikenai sanksi dua aturan. Pertama, dikenai sanksi UU PDP dan kedua, bisa dikenai UU lain jika orang tersebut menggugat secara pribadi.

Apakah UU PDP berlaku surut? Misal, terjadi kebocoran sebelum UU PDP disahkan...

Oh itu enggak bisa terapkan dalam UU PDP. Harus UU yang lain.

Bagaimana soal klasifikasi data di PP 82/2012?

Klasifikasi itu nanti terkait penggunaan cloud. Nanti diatur di permenkominfo. Di Eropa itu namanya first cloud. Jadi begini, kalau lu mau taruh di cloud, kalau data itu (termasuk) klasifikasi tinggi, pengamanannya harus tinggi. Itu ada guidance-nya. Pengelola cloud juga harus menyimpan sesuai klasifikasinya. Untuk semua data layanan pemerintah di PP 82, semua berada di Indonesia. Itu enggak ada urusan klasifikasi.

Bagaimana dengan aplikasi yang meminta profil warga, misal, KawalPemilu?

Kalau enggak kenal aplikasinya, enggak dapat dipercaya, ya enggak usah dikasih. Makanya harus diedukasi masyarakatnya. Misal, soal aplikasi KawalPemilu, mereka minta data seperti nomor telepon dan nama. Data-data ini hanya bisa dipakai untuk keperluan kawal pemilu. Mereka tidak boleh ngumpulin data itu untuk dijual. Dia enggak boleh menggunakan data itu di luar konsennya untuk kawal pemilu.

Wacana denda untuk platform yang turut menyebarkan hoaks...

Itu masih tunggu revisi PP 82/2012. Wacananya sekitar Rp 1 miliar malah. Misalnya ada hoaks yang beredar, lalu saya suruh take down, tapi platform enggak mau, dia turut serta menyebarkan itu, kena dia. Malah sebaliknya dia harus aktif mencari. Itu yang lagi kami rancang. Itu nanti setelah pemilu akan dibahas lagi soal revisi PP 82.

Soal aplikasi-aplikasi bermasalah?

Umpamanya, ada aplikasi fintech-fintech ilegal, saya berhak dan wajib, begitu ada laporan dari masyarakat maupun OJK, langsung saya tutup. Di Kominfo itu ada dua, konten ilegal dan aplikasi ilegal. Kalau tidak ada izin dari instansi terkait, misal, dari OJK, langsung kami tutup. Sudah ada 600 sekian aplikasi yang kami tutup.

Redaktur: Andi Nugroho