Tentang KamiPedoman Media SiberKetentuan & Kebijakan PrivasiPanduan KomunitasPeringkat PenulisCara Menulis di kumparanInformasi Kerja SamaBantuanIklanKarir
2024 © PT Dynamo Media Network
Version 1.89.0
ELSAM Soroti Kebocoran Data Terjadi Lagi dan Lagi: Tak Pernah Diusut Tuntas
20 September 2024 16:25 WIB
·
waktu baca 5 menitADVERTISEMENT
Lembaga Studi dan Advokasi Masyarakat (ELSAM) menyoroti soal kebocoran data pribadi subjek pajak. Sekitar 6 juta lebih data pribadi yaitu nama, NIK, NPWP, alamat, email, nomor HP, hingga tanggal lahir, diduga bocor dari sistem database Direktorat Jenderal Pajak (DJP) Kementerian Keuangan, dan dijual dengan harga USD 10 ribu.
ADVERTISEMENT
"Belum selesai kasus dugaan kebocoran data pribadi warga negara yang disimpan pada infrastruktur PDNS 2 dan juga pengungkapan data pribadi yang diduga berasal dari sistem database BKN, dugaan insiden kebocoran data dari institusi publik kembali terjadi," kata Direktur Riset ELSAM, Wahyudi Djafar, dalam siaran pers, Jumat (20/9).
Wahyudi melanjutkan, "Berulangnya kasus kebocoran data yang melibatkan institusi pemerintah ini kian menambah catatan panjang kegagalan perlindungan data pribadi sektor publik, sekaligus alarm terkait kesiapan sektor publik untuk menjalankan seluruh standar kepatuhan pelindungan data pribadi, dalam kapasitas mereka sebagai pengendali data."
Tak Pernah Diusut Tuntas
Menurut Wahyudi, berulangnya kasus kebocoran data memperlihatkan tidak siapnya institusi-institusi terkait, untuk memastikan adanya proses investigasi dan penyelesaian yang tuntas dari setiap insiden kegagalan pelindungan data pribadi.
ADVERTISEMENT
"Situasi ini tentu mengkhawatirkan, khususnya terkait dengan pembentukan lembaga pelindungan data pribadi, yang dimandatkan oleh UU No. 27/2022 tentang Pelindungan Data Pribadi (UU PDP), yang juga merupakan bagian dari institusi pemerintah," lanjut Wahyudi.
Wahyudi mengatakan berdasarkan Pasal 4 UU PDP, data keuangan pribadi merupakan bagian dari data spesifik atau sensitif, yang dalam pemrosesannya masuk kategori berisiko tinggi, karena terdapat risiko moneter yang dapat berdampak pada kerugian finansial dari pemrosesan data ini, sehingga membutuhkan tingkat pengamanan yang lebih tinggi.
"Dengan risiko tersebut, apabila terjadi kebocoran data sensitif, maka risiko kerugian yang mungkin dialami oleh subjek data juga lebih besar. Apalagi insiden ini diduga mengungkap beberapa elemen data sekaligus, yang memungkinkan diambil alih oleh pihak lain, untuk melakukan autentikasi dan verifikasi layanan yang digunakan oleh subjek data, termasuk layanan keuangan," ujar Wahyudi.
ADVERTISEMENT
Kedua, menurut Wahyudi, mengacu pada ketentuan peralihan UU PDP, masa transisi atau engagement period undang-undang ini akan segera berakhir pada Oktober 2024, artinya mulai Oktober 2024 seharusnya seluruh standar kepatuhan pelindungan data pribadi harus diimplementasikan oleh pengendali dan prosesor data.
"Termasuk juga seluruh mekanisme penegakan hukum terkait dengan pelaksanaan kepatuhan, harus mulai dijalankan. Namun demikian insiden ini sekali lagi memperlihatkan belum siapnya institusi publik dalam mengimplementasikan kewajiban kepatuhan sebagai pengendali dan prosesor data pribadi," kata Wahyudi.
Ketiga, Wahyudi menjelaskan, meskipun dalam Penjelasan Pasal 15 huruf c UU PDP tertulis bahwa perpajakan masuk dalam ruang lingkup pengecualian dengan alasan untuk kepentingan umum dalam rangka penyelenggaraan negara, bukan berarti DJP dikecualikan dari kewajiban kepatuhan sebagai pengendali data pribadi, dan bukan berarti pula data pribadi subjek data dikecualikan.
ADVERTISEMENT
"Pengecualian ini hanya dimaksudkan berkaitan dengan penyelenggaraan fungsi pengawasan dalam penyelenggaraan negara, termasuk yang terkait dengan pengawasan perpajakan. Artinya, data-data pribadi subjek pajak yang diduga terungkap, merupakan dari data pribadi yang dilindungi, dan DJP sebagai pihak pengendali data bertanggung jawab dalam pelindungan tersebut," kata Wahyudi.
Maka itu, ELSAM mendorong:
• DJP Kemenkeu bertindak cepat untuk melakukan investigasi internal terkait dugaan insiden kebocoran data pribadi subjek pajak, termasuk juga memberikan notifikasi tertulis kepada subjek data sebagaimana diwajibkan Pasal 46 UU PDP. Pemberitahuan setidaknya harus memuat informasi mengenai data yang terungkap, kapan dan bagaimana data tersebut terungkap, upaya dan penanganan pemulihannya, termasuk bila dimungkinkan menjelaskan langkah-langkah mitigasi yang dapat dilakukan oleh subjek datanya, untuk meminimalisir risiko yang mungkin terjadi akibat kebocoran data tersebut.
ADVERTISEMENT
• Sampai dengan terbentuknya lembaga pelindungan data pribadi, sebagaimana dimandatkan UU PDP, Kementerian Kominfo harus bertindak sebagai otoritas pelindungan data, mengacu pada PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE), untuk memastikan tidak adanya kekosongan institusi penegakan kepatuhan dalam pelindungan data pribadi. Merujuk Pasal 35 PP PSTE Kominfo memiliki wewenang untuk mengawasi Penyelenggara Sistem Elektronik (PSE) lingkup publik dan privat, terkait dengan pelaksanaan kewajiban mereka sebagai PSE, termasuk kewajiban pelindungan data pribadi. Oleh karenanya Kominfo harus segera mengambil langkah proaktif untuk menginvestigasi dugaan insiden ini, untuk menghentikan kebocoran/pengungkapan, termasuk memberikan rekomendasi perbaikan dalam pelaksanaan standar kepatuhan.
• Dalam banyak kasus kebocoran data pribadi, seringkali terjadi sebagai akibat dari insiden keamanan siber, seperti cyber attack, sehingga Badan Siber dan Sandi Negara (BSSN) juga penting melakukan investigasi terhadap dugaan terjadinya insiden keamanan siber yang berdampak pada terjadinya kebocoran data pribadi ini, dan segera memberikan rekomendasi perbaikan sistem keamanan untuk mencegah insiden serupa terjadi kembali.
ADVERTISEMENT
• Apabila dari proses investigasi ditemukan adanya dugaan unsur tindak pidana pelindungan data pribadi, sebagaimana diatur UU PDP, maka dapat segera diteruskan kepada penyidik untuk proses penegakan hukum pidana. Meski standar kepatuhan pelindungan data pribadi baru akan diimplementasikan 2 tahun setelah diundangkannya UU PDP, namun pidana pelindungan data pribadi langsung dapat ditegakkan sejak undang-undang ini berlaku, pada saat diundangkan (Pasal 76 UU PDP).
• Pemerintah, khususnya Presiden, perlu memastikan adanya akselerasi proses penyelesaian penyusunan Peraturan Pemerintah tentang Implementasi Pelindungan Data Pribadi, termasuk pembentukan lembaga pelindungan data pribadi, sebagai instrumen kunci dalam memastikan efektivitas implementasi UU PDP. Pemerintah juga perlu secara sistemik mengembangkan beragam upaya peningkatan kapasitas pelindungan data pribadi bagi kementerian/lembaga sebagai pengendali/prosesor data, guna menjamin konsistensi sektor publik dalam menerapkan seluruh standar kepatuhan pelindungan data pribadi.
ADVERTISEMENT