Solusi Kebocoran Data Pribadi
MASALAH perlindungan data pribadi kembali mengemuka sebagai buntut dari bocornya 1,3 miliar data registrasi kartu subscriber identity module (SIM) telepon seluler prabayar dari berbagai penyedia layanan komunikasi. Pernyataan Menteri Komunikasi dan Informatika Johnny Gerard Plate, yang mengimbau agar masyarakat sering mengganti password di platform-platform digital untuk mencegah kebocoran data pribadi, merupakan sebuah kekeliruan. Solusi itu sebenarnya lebih cocok diberikan kepada korban serangan siber yang sering kali dialami oleh aktivis yang kritis terhadap berbagai kebijakan pemerintah.
Melalui pernyataan Menteri Johnny tersebut, secara tidak langsung pemerintah telah menuduh bahwa kebocoran data pribadi terjadi akibat kelalaian masyarakat yang tidak berdaya dalam menjaga data pribadinya. Padahal seorang menteri seharusnya memahami bahwa penyelesaian atas persoalan ini tidak sesederhana mengganti kata kunci akun media sosial secara berkala. Ada banyak faktor dan aktor yang saling terkait ketika data pribadi masyarakat dimiliki, dikendalikan, dan dikelola oleh pihak tertentu.
Ketika masyarakat memberikan data pribadinya kepada pemerintah atau penyelenggara sistem elektronik selaku pengendali ataupun pengolah data pribadi, maka terjadi peralihan tanggung jawab untuk memastikan keamanan data pribadi tersebut. Pihak yang mengendalikan data pribadi juga berkewajiban mencegah pengaksesan data pribadi yang dilakukan secara tidak sah. Karena itu, masyarakat selaku pemilik data pribadi tidak dapat disalahkan ketika terjadi kebocoran data pribadi karena mereka telah mempercayakan datanya untuk dikelola oleh pemerintah ataupun penyelenggara sistem elektronik.
Masyarakat sebenarnya malah mempertanyakan komitmen pemerintah dalam memberikan perlindungan karena mayoritas kasus kebocoran data pribadi dialami oleh lembaga dan institusi negara. Sepanjang 2022 saja telah terjadi beberapa kasus kebocoran data pribadi, seperti yang menimpa Bank Indonesia; IndiHome, yang merupakan bagian dari Telkom Group; serta data pelanggan PLN. Hal ini makin membuktikan bahwa pihak yang harus disalahkan dalam kasus kebocoran data pribadi bukanlah masyarakat, melainkan pengelola data tersebut.
Pada Desember 2021, Kementerian mengumumkan bahwa mereka telah menindak 43 kasus kebocoran data pribadi sepanjang tahun tersebut. Namun hanya 19 kasus yang telah selesai penelusurannya. Para penyelenggara sistem elektronik yang melanggar prinsip perlindungan data pribadi diklaim sudah menerima sanksi administrasi ataupun rekomendasi perbaikan sistem. Sayangnya, publik tidak dapat mengakses informasi mengenai perkembangan pengusutan kasus kebocoran data pribadi maupun kasus apa saja yang berhasil diselesaikan oleh Kementerian.
Masyarakat, sebagai korban utama, seharusnya diberi akses untuk mengetahui perkembangan, pengusutan, hingga bentuk sanksi yang dijatuhkan kepada lembaga, institusi, ataupun penyelenggara sistem elektronik yang terbukti gagal melindungi data pribadi masyarakat. Prosesnya juga harus dilakukan secara terbuka sehingga publik dapat mengawasi proses penanganan kasus tersebut. Ketika akses tersebut ditutup dan masyarakat hanya diberi angka yang diklaim merupakan jumlah kasus yang terselesaikan, transparansi dan integritas pemerintah dalam menyelesaikan kasus kebocoran data pribadi patut dipertanyakan.
Kasus kebocoran data pribadi yang terjadi berulang kali ini mencuatkan kembali perlunya percepatan pembahasan rancangan Undang-Undang Perlindungan Data Pribadi oleh Dewan Perwakilan Rakyat bersama presiden selaku pembentuk undang-undang. Kehadiran instrumen hukum perlindungan data pribadi menjadi sebuah keharusan agar terdapat mekanisme pencegahan, penindakan, hingga sanksi yang jelas terhadap pihak yang telah lalai melindungi data masyarakat dan pelaku pencurian data tersebut.
Ketentuan yang secara spesifik memuat tentang perlindungan data pribadi hanya terdapat dalam Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Sangat disayangkan bila perlindungan itu hanya berada di tingkat peraturan menteri. Adapun Undang-Undang Informasi dan Transaksi Elektronik hanya mengandung satu pasal mengenai hal ini, yakni yang mengatur syarat persetujuan ketika menggunakan data pribadi seseorang.
Kekosongan hukum dalam perlindungan data pribadi seharusnya dapat dijawab melalui pengesahan rancangan undang-undang tersebut. Pembahasan berlarut-larut karena DPR dan pemerintah sibuk memperdebatkan soal pembentukan dan posisi Otoritas Perlindungan Data Pribadi. DPR ingin Otoritas Perlindungan Data Pribadi dibentuk menjadi sebuah lembaga baru yang bersifat independen. Sementara itu, pemerintah berkeras otoritas tersebut dibentuk di bawah salah satu kementerian, yaitu Kementerian Komunikasi dan Informatika.
Idealnya, Otoritas Perlindungan Data Pribadi harus dibentuk menjadi sebuah lembaga independen agar dapat terlepas dari intervensi cabang kekuasaan yang lain. Ketika lembaga yang memiliki otoritas dalam perlindungan data pribadi masyarakat menjadi subordinat Kementerian Komunikasi, hal itu akan rentan terjadi konflik kepentingan antar-lembaga negara. Kasus kebocoran data pribadi yang terjadi selama ini tidak hanya menyasar penyelenggara sistem elektronik, tapi juga dialami oleh institusi negara, lembaga negara, dan badan usaha milik negara. Tidak tertutup adanya kemungkinan Kementerian sendiri dapat mengalami kebocoran data pribadi masyarakat yang dikelolanya.
Upaya pembaruan hukum nasional akan terus menemui jalan buntu ketika hal yang lebih sering terjadi di antara pembentuk undang-undang adalah tarik-menarik kepentingan politik ketimbang memperhatikan kebutuhan hukum masyarakat. DPR bersama pemerintah harus menunjukkan keseriusannya dalam memberikan perlindungan yang paripurna terhadap data pribadi masyarakat dengan segera mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi. Selain itu, Otoritas Perlindungan Data Pribadi harus dibentuk menjadi sebuah lembaga yang obyektif dan terlepas dari segala bentuk konflik kepentingan dalam menjalankan tugas, fungsi, dan kewenangannya. (*)
Hemi Lavour Febrinandez, Peneliti Bidang Hukum di The Indonesian Institute.
