cyberthreat.id - Indonesia yang sedang menggodok Rancangan Undang-undang Data Pribadi belum satu suara soal perlu tidaknya dibentuk lembaga khusus yang menangani perlindungan data warganya. Sementara negara tetangga Australia, punya lembaga khusus untuk itu.

Badan tersebut dinamai "Office of the Australian Information Commissioner" (OAIC/Kantor Komisi Informasi Australia). Dulunya dinamakan Office of the Australian Privacy Commissioner atau Kantor Komisaris Privasi Australia.

OAIC bertindak sebagai otoritas perlindungan data nasional untuk Australia. OAIC memiliki tiga fungsi utama, yaitu fungsi privasi, fungsi kebebasan informasi dan fungsi kebijakan informasi pemerintah.

"Kami adalah regulator nasional independen untuk privasi dan kebebasan informasi. Kami mempromosikan dan menjunjung tinggi hak Anda untuk mengakses informasi yang dipegang pemerintah dan melindungi informasi pribadi Anda," tulis OAIC di website resminya,

Seperti dilaporkan ZDnet baru-baru ini, dalam setahun terakhir OAIC telah menangani 1.050 pelanggaran data (data breach). Selain karena serangan siber, ada pula kebocoran data yang terjadi karena kesalahan sumber daya manusia dan kesalahan sistem yang mengakibatkan data pribadi terekspose secara tak disengaja. (Lihat: Australia Mengalami Seribu Kasus Data Breach dalam Setahun Terakhir)

Hingga tahun 1998, OAIC bernama Kantor Komisi Privasi Australia. Itu sebabnya, dulu fungsinya hanya dua: menjaga privasi dan mengawal hak kebebasan informasi. Pada 2010, barulah ditambahkan satu fungsi lainnya UU Komisi Informasi Australia (AIC Act).

Khusus mengenai privasi, OAIC bergerak dan bertindak dibawah payung hukum Privacy Act 1988 - peraturan tentang data pribadi warga Australia.

Dalam pelaksanaanya OAIC bisa melakuan penilaian privasi data pribadi, seperti bagaimana informasi pribadi dikumpulkan, bagaimana data itu digunakan dan diungkapkan, akurasinya, seberapa aman data warganya disimpan serta memastikan hak seseorang bisa mengakses informasi itu.

Karena berdasarkan Privacy Act warga Australia dapat mengajukan keluhan terkiat penanganan informasi pribadi mereka. Hal-hal spesifik, seperti penggunaan data nomor pajak oleh entitas juga diawasi oleh OAIC.

Kewenangan khusus untuk memulai investigasi sendiri (OMI/own motion investigation) serta mengaudit privasi terhadap lembaga pemerintah Australia dan organisasi lain juga bisa dilakukan OAIC dalam keadaan tertentu.

Disamping Privacy Act ada peraturan lainnya yang bisa menjadi landasan OAIC untuk megurus data pribadi, termasuk UU yang berkaitan dengan pencocokan data.

Lembaga ini juga bersifat independen terhadap lembaga pemerintah lainnya. Pada Agustus 2016, misalnya, OAIC menyatakan Departemen Kesehatan Australia telah melanggar prinsip privasi Australia.

Ceritanya, saat itu Deparmen Kesehatan menerbitkan data terkait penerima manfaat mediacare (MBS) dan manfaat farmasi (PBS). Secara total, ada sekitar 2,9 juta data MBS dan PBS.

Departemen Kesehatan mempublikasikan data itu lantaran berpikir mungkin bisa bermanfaat untuk penelitian medis dan tujuan pengembangan kebijakan publik lainnya. Awalnya, Depkes mengira telah menjalankan prinsip perlindungan terhadap data pribadi warganya.

Tetapi, satu bulan setelahnya, Chris Culnane, Benjamen Rubinstein dan Vanessa Teague dari Universitas Melbourne mengidentifikasi adanya kelemahan. Temuan mereka, data seseorang yang tercantum di daftar itu, jika digabung dengan sumber data lainnya, dapat teridentifikasi. Artinya, ada pelanggaran privasi di sana.

Merespon hal itu, Departemen Kesehatan membenarkan kerentanan itu dan bertindak secara cepat dan komprehensif. Masalah lain muncul ketika ada kekurangan dalam proses pengamanan data yang dilakukan Departemen tersebut.

OAIC pun menganggap Departemen Kesehatan melanggar Prinsip Privasi Australia (APP) 1, APP 6 terkait dengan penyedia layanan kesehatan dan APP 11 dalam proses penerbitan kumpulan data.

Atas dasar Privacy Act 1988, Komisaris Privasi Australia menginisiasi penyelidikan. Pada 9 September 2016, OAIC menlis surat pemberitahuan bahwa pihaknya akan memulai penyelidikan untuk mengambil langkah guna mengamankan informasi pribadi yang digunakan sebelum dipublikasikan.

Tidakkah Indonesia juga membutuhkan lembaga semacam ini mengingat sejumlah kasus kebocoran data terus terjadi? []

Editor: Yuswardi A. Suud