Cyberthreat.id – Ketua Cyber Law Center Fakultas Hukum Universitas Padjajaran, Sinta Dewi Rosadi, mengusulkan agar pasal kebocoran data masuk dalam Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP).

Menurut dia, masalah kebocoran data sedang menjadi sorotan di berbagai negara, termasuk cara penegakan hukumannya. Dalam terminologi hukum, kata dia, kebocoran data sering dikenal dengan data breach.

“Tapi, ada yang mengatakan kegagalan dalam memberikan perlindungan data,” kata Sinta.

Dalam RUU PDP, kata dia, juga sudah diatur tentang kegagalan dalam perlindungan data baik oleh korporasi atau oleh lembaga pemerintah. Ketika terjadi kebocoran data, institusi tersebut harus segera memberitahu, dalam waktu tidak kurang dari 72 jam, kepada Komisi Independen.

“Selalu saya katakan bahwa Komisi ini sangat krusial. Karena komisi yang menerapkan ketentuan, menentukan denda administratif,” kata dia.

“Manakala ada pihak yang tidak puas, korban bisa melanjutkan ke pengadilan. Tapi, penyelesaian awal itu di Komisi itu. Komisi itu yang menelusuri apakah memang sudah terjadi kegagalan dalam memberikan perlindungan.”

Intinya, siapa pun yang melanggar prinsip-prinsip dalam undang-undang dan melanggar hak subjek data akan kena hukuman: bisa administrasi, pidana denda, atau pidana penjara.

“Soal pidana itu banyak pihak, terutama dari pelaku usaha yang keberatan. Katanya dihapus saja, tapi menurut saya tetap harus ada, tapi jangan terlalu berat. Kisaran satu hingga tiga tahun, di negara lain juga bervariasi,” ujar Sinta.

Ia juga berharap dengan adanya UU PDP tidak menghalangi roda bisnis atau menghalangi proses pelayanan publik. “Kami dari akademisi itu hanya meminta negara untuk melakukan perlindungan pribadi,” kata Sinta juga salah satu akademisi yang dimintai pendapat saat penyusunan naskah RUU PDP.

Berikut cuplikan wawancara wartawan Cyberthreat.id Tenri Gobel dengan Sinta Dewi Rosadi tentang isu perlindungan data pribadi, Sabtu (11 Juli 2020).

Hukuman pidana selama tiga tahun, begitu?

Iya. Yang besarnya adalah denda administrasi yang diterapkan oleh Komisi. Kalau pidana dihapus, nanti tidak ada efek jera. Akan tetapi, jangan terlalu berat karena akan melumpuhkan industri dan sebagainya. Sanksi pidana penjara itu perlu, tapi sebagai jalan paling akhir.

Komisi Independen yang menentukan hukuman?

Pengadilan yang menentukan. Komisi itu denda administratif saja. Kalau memang tidak setuju ya, bisa langsung melanjutkan ke pengadilan.

Anggota Komisi Independen dari pemerintah?

Jangan. Karena UU ini mengatur pemerintah dan swasta. Kalau pemerintah yang melanggar, ya gimana menghukum sendiri.

Memangnya kebocoran data belum disebutkan di RUU PDP?

Belum sempat dimasukkan itu. Sudah diusulkan sebetulnya pada waktu itu oleh beberapa pihak: ini sangat penting sekali. Bahwa, kalau terjadi kegagalan dalam perlindungan data pribadi, harus memberikan notifikasi secepatnya.

Harus dilihat apakah institusi di sini, pemerintah dan pelaku usaha, sudah melakukan tindakan yang diperlukan? Bukan hanya mengatakan: “Oh kami sudah melakukan.” Tapi, apa ukurannya? Kan kita enggak tahu.

Waktu kasus Denny Siregar, Telkomsel mengatakan “Oh kami sudah melakukan tindakan yang diperlukan”. Normatif jawabannya, tapi kemudian setelah itu, karena diributkan akhirnya mengeluarkan lagi statement bahwa akhirnya ketemu orang yang melakukan kejahatan.

Pertanggungjawaban perusahaan itu ada dua macam: secara manajerial dan sekuriti. Jadi, sejauh mana perusahaan itu menerapkan tata kelola organisasi yang baik untuk melindungi data pribadi? Tata kelola keamanannya seperti apa?

Sekarang kan pertanyaannya, “Kok orang outsourcing punya akses terhadap data pelanggan?” Harusnya kan ada sistem, ketika data pelanggan didaftarkan, ada nomor KK, KTP. Harusnya, dia tidak punya akses untuk ke sistem itu. Tapi, katanya dia foto. Ini harus dibuktikan.

Berarti tata kelola di perusahaan itu belum menjaga perlindungan data, bagaimana caranya outsourcing bisa punya akses terhadap data pribadi.

Inilah dari awal kami enggak setuju kalau nomor KK disertakan dalam pendaftaran kartu seluler prabayar, harusnya kan daftarnya jangan pakai KK karena kan langsung bisa melihat anggota keluarga yang lain. Ini juga harus diteliti kembali untuk perusahaan. Kan kalau sudah terjadi seperti ini (kasus Denny Siregar, red) kan dia menjadi perusahaan yang tidak dipercaya, dong.

RUU PDP belum menitikberatkan kebocoran data bahwa instansi juga bertanggung jawab sepenuhnya...

Belum. Hanya semacam kasus memalsukan dan menjual data. Dalam kegagalan dalam perlindungan data atau kebocoran itu belum ada.

Karena sekarang banyak terjadi kebocoran data pribadi, di dalam perusahaan, ini harus dimasukkan dalam RUU. Karena akhirnya kita susah dong, kalau tidak diatur, korban mengadukan basisnya apa? Landasan hukumnya apa?

Kalau ada pasal, kan individu bisa mengajukan tuntutan ganti rugi, gitu. Di sini tanggung jawab lembaga dan bisnisnya.

Dalam kasus Denny Siregar malah si pengakses yang bertanggung jawab, bukan perusahaan. Pendapat Anda?

Perusahaannya malah melaporkan kembali. Di dalam rezim perlindungan data pribadi, harusnya perusahaan juga ikut bertanggung jawab, setidaknya melaksanakan “all necessary major”, enggak? Semua tindakan yang diperlukan untuk pengamanan, dia sudah melakukan semua itu belum?

Tata kelola manajemen dan tata kelola sekuritinya, sudah betul, enggak? Walau sudah [mendapatkan sertifikat] ISO 27001, nanti setelah UU [PDP] ini ada, tata kelola perusahaan akan dinilai oleh Komisi Independen.

Nanti dilihat sudah melakukan pengamanan atau belum, tata kelola di perusahaan seperti apa, siapa yang bisa akses data pribadi; harus ada layer-nya, gitu.

Harus berlapis-lapis lah ya...

Iya. Karena sekarang banyak kan kebocoran data. Perusahaan juga harus melihat ke dalam, sebelum dia melakukan tuntutan. Kan selama ini perusahaan itu sudah mendapatkan kemudahan dengan mengelola data.

Walaupun kita juga tidak menafikan bahwa kejahatan-kejahatan TI kan semakin berkembang, tidak ada satu sistem pun yang aman sebetulnya, tapi yang dilihat adalah usaha [sejauh mana perusahaan mengamankan data]-nya.

Bicara kejahatan TI, Anda melihat apakah RUU Keamanan dan Ketahanan Siber penting juga untuk berjalan bersama RUU PDP?

Penting, itu idealnya. Sebetulnya bisa berjalan bersamaan. Sebetulnya ini dua hal yang bersamaan gitu, hanya jangan sampai nanti keamanan siber itu malah melemahkan data pribadi itu.

[Sekadar diketahui RUU KKS saat ini dicabut dari Prolegnas DPR 2020 dan diagendakan untuk tahun depan. Komisi I DPR memilih untuk lebih fokus menyelesaikan RUU PDP tahun ini].

Maksudnya bagaimana...

Jangan sampai dengan alasan keamanan, kemudian negara masuk ke dalam data pribadi seseorang tanpa hak, misalnya. kan harus ada landasannya, gitu.

Jadi sekuriti penting, sangat penting ada UU-nya. Misal, masalah network itu sudah aman enggak infrastrukturnya? Antivirus-nya selalu update enggak, password-nya sudah aman enggak, seperti itu.

Tapi, kalau security kan berkaitan dengan pertahanan negara. Jadi, ini harus diatur di bawah Kementerian Polhukam. Hanya, soal keamanan kadang-kadang pengertiannya “semua hal tentang sekuriti” kan, padahal dalam terminologi hukum itu ada yang disebut safety, ada yang disebut security.

Lalu, menurut Anda, RUU KKS harus bagaimana?

Harus dibedakan antara keselamatan dalam siber dan keamanan. Kalau keamanan hubungannya dengan pertahanan keamanan negara dengan intelijen. Masalah intelijen itu kan lain.

Keamanan siber yang diatur oleh negara adalah bagaimana kebijakan negara dalam menghadapi serangan virus, ransomware, itu kan sejauh mana ini negara itu mempersiapkan pengamanan ini dan melakukan sosialisasi kepada lembaga pemerintah terutama yang mengelola data.

Polemiknya kan sejumlah aktivis takut RUU KKS ini menganggu privasi masyarakat, pendapat Anda?

Memang harus jelas, ini harus ada batasnya juga. Jangan karena mencegah kejahatan masuk ke dalam area privasi, tapi enggak jelas: maksudnya apa, landasannya apa, gitu.

Di negara apa pun sangat susah mencari keseimbangan. Mau ke security atau privacy? Mencari keseimbangan ini kan tidak mudah. Ada berbagai macam kepentingan.[]

Redaktur: Andi Nugroho