Bjorka dan Perlindungan Data Pribadi
DPR dan pemerintah sepakat untuk mengesahkan Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi (PDP) menjadi Undang Undang. Kesepakatan DPR dan pemerintah tersebut diambil dalam rapat kerja antara Komisi 1 DPR dengan Kementerian Komunikasi dan Informatika (Kemenkominfo), Kementerian Dalam Negeri (Kemendagri) dan kementerian Hukum dan HAM (Kemenkum HAM) awal September lalu.
Hal itu merupakan langkah maju. Sudah tidak bisa ditawar bahwa Indonesia sangat perlu adanya UU Perlindungan Data Pribadi (PDP). Kenapa? Belum lama tentu publik masih ingat akan hacker atau peretas yang menamakan dirinya Bjorka. Dengan gagah Bjorka mengumumkan lewat sosial media kalau ia berhasil meretas data BIN, Presiden Jokowi dan pejabat publik lain. Bahkan sebagai contoh Bjorka mengumumkan data pribadi Menteri Komunikasi dan Informatika Johny G Plate ke publik lewat media sosial. Bjorka juga membocorkan data pribadi Ketua DPR Puan Maharani dan mengklaim punya data pribadi Presiden Jokowi.
Dari kasus Bjorka ini ada dua hal. Pertama, bahwa sistem perlindungan data pribadi di tanah air lemah. Karena bukan satu kali ini saja data pribadi bocor atau informasi dari lembaga negara diretas. Kedua, bahwa sangat perlu ada UU PDP. Bukan sekedar UU ITE. Harus ada payung hukum terkait perlindungan data pribadi.
Ketua Komisi I DPR Meutya Hafid seperti dimuat di VOI berharap, pengesahan RUU PDP akan menghentikan kasus-kasus kebocoran data pribadi masyarakat Indonesia. Menurutnya, RUU PDP akan memberi kepastian hukum yang berkekuatan tetap dalam melindungi data pribadi masyarakat di ranah digital.
Meutya mengatakan, RUU PDP akan menjadi landasan hukum untuk melindungi data pribadi yang menjadi hak seluruh warga negara. Dengan pengesahan RUU PDP, diharapkan kasus-kasus kebocoran data pribadi yang semakin banyak terjadi bisa dihentikan. Karena lewat aturan yang segera terbentuk ini, negara memiliki regulasi dalam menetapkan aturan atas perlindungan dan keamanan data pribadi masyarakat.
Untuk diketahui, naskah final RUU PDP terdiri dari 371 Daftar Inventarisasi Masalah (DIM) dan menghasilkan 16 bab serta 76 pasal. Sementara jumlah pasal di RUU PDP bertambah 4 pasal dari usulan awal pemerintah pada akhir 2019, yakni sebanyak 72 pasal.
Dan sekali lagi memang sudah tidak bisa ditawar lagi. Walau dibantah, sangat memalukan jika benar data Badan Intelijen Negara (BIN) atau Presiden Jokowi sampai bocor.
Apalagi Kominfo dan Badan Siber dan Sandi Negara (BSSN) seolah saling lempar tanggung jawab. Idealnya dua lembaga ini saling bekerjasama. Benar apa yang dikatakan juru bicara BSSN Ariandi Putra, bahwa persoalan serangan siber dan kebocoran data merupakan tanggung jawab semua pemangku kepentingan.
Apa yang dilakukan Uni Eropa mungkin bisa menjadi referensi. Bahwa ancaman serangan siber ini makin meningkat. Kini di negara Uni Eropa tidak hanya komputer, gadget atau smartphone saja yang perlu ditingkatkan keamananya. Perangkat pintar yang terhubung ke internet seperti lemari es dan TV juga harus mematuhi aturan keamanan siber Uni Eropa yang ketat. Mereka berisiko didenda atau dilarang dari blok tersebut.
Seperti yang dimuat VOI, Eksekutif Uni Eropa akan mengumumkan proposal Undang-Undang Ketahanan Siber pada September ini yang kemungkinan akan menjadi undang-undang setelah masukan dari negara-negara UE.
Draf UU itu menyebut, produsen harus menilai risiko keamanan siber dari produk mereka masing-masing dan mengambil prosedur yang tepat untuk memperbaiki masalah. Perusahaan juga harus memberi tahu badan keamanan siber UE ENISA tentang insiden dalam waktu 24 jam setelah mereka mengetahui masalah, dan segera mengambil tindakan untuk mengatasi masalah tersebut. Bahkan Importir dan distributor produk elektronik akan diminta untuk memverifikasi bahwa produk yang didatangkan sudah sesuai dengan aturan UE.
Jika perusahaan tidak mematuhi, otoritas pengawasan nasional dapat melarang atau membatasi produk itu tersedia di pasar nasionalnya, atau pun menariknya dari pasar itu atau menariknya kembali. Melanggar aturan tersebut juga dapat dikenakan denda perusahaan sebanyak 15 juta euro atau hingga 2,5% dari total omzet global mereka. Mana yang lebih tinggi, dengan denda yang lebih rendah untuk pelanggaran yang kurang serius.
Sementara di Indonesia, UU tentang siber sendiri, belum ada. Bahkan belum diusulkan. Selama ini persoalan siber di Indonesia hanya diatur menurut Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU 19/2016”). Namun UU ITE juga tidak memberikan definisi mengenai cybercrimes, tetapi membaginya menjadi beberapa pengelompokan yang mengacu pada Convention on Cybercrimes.
Indonesia sendiri sudah memiliki Badan Siber dan Sandi Negara (BSSN) yang pembentukannya berdasarkan PERPRES No. 133 Tahun 2017 tentang Perubahan atas Peraturan Presiden Nomor 53 Tahun 2017 tentang Badan Siber dan Sandi Negara.
Jika ingin lebih serius menangani masalah serangan siber yang mengakibatkan kebocoran data, maka pemerintah Indonesia sudah seharusnya memperkuat BSSN dan mulai membuat UU tentang siber ini secara lebih serius. Tak cukup hanya UU ITE. Mungkin, tim penyusun RUU PDP yang diklaim menjadi payung hukum untuk perlindungan data pribadi bisa menjadikan Uni Eropa sebagai referensi.