JAKARTA – Meski tak menyematkan status bencana nasional, pemerinta di bawah komando Presiden Prabowo Subianto bergerak cepat alias sat set dalam mengatasi dampak dari bencana banjir bandang dan longsor yang menimpa Aceh, Sumatera Utara hingga Sumatera Barat. Koordinasi lintas kementerian dan bahkan DPR RI berjalan lancar menghadapi bencana alam di Sumatera.
Sayangnya, gerak sat set pemerintah dan DPR dalam menghadapi dampak bencana alam seperti tidak terlihat dalam mengantisipasi bencana lain, yakni bencana digital. Tanpa bermaksud meremehkan dampak bencana alam di Sumatera, dampak bencana digital khususnya terkait perlindungan atas kebocoran dan penyalahgunaan data pribadi di Indonesia rasa-rasanya juga akan ‘mengerikan’ bagi masyarakat.
Tengok saja laporan Indonesian Cyber Security Forum 2024, yang mengungkap bahwa lebih dari 2,3 miliar data pribadi, yang diduga milik warga Indonesia, telah beredar di berbagai forum gelap dalam beberapa tahun terakhir. Pada tahun 2023 saja, sekitar 409 juta data bocor dari sejumlah layanan, termasuk BPJS Kesehatan, PLN Mobile, dan sejumlah platform e-commerce besar.
Data Lembaga Studi dan Advokasi Masyarakat (Elsam) pada Januari 2024 juga menyebutkan, sedikitnya 668 juta data pribadi tersebar dari enam platform digital besar. Data yang bocor mencakup nomor identitas, nomor kartu keluarga, riwayat transaksi, hingga data biometrik. Sementara yang terbaru adalah saat oknum pegawai KAI Services menyalahgunakan data pribadi seorang penumpang kereta api.
Padahal, Indonesia sudah memiliki Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang disahkan pada 17 Oktober 2022 yang mulai berlaku efektif penuh pada 17 Oktober 2024 setelah melewati masa transisi selama dua tahun. Anggota Komisi III DPR RI, Bambang Soesatyo mengatakan, masih tingginya kebocoran data memperlihatkan bahwa Indonesia berada dalam ancaman serius terkait ratusan juta identitas digital warga.
Menurutnya, UU PDP tidak akan efektif untuk mengatasi maraknya kebocoran dan penyalahgunaan data pribadi selama pemerintah belum membentuk Lembaga Perlindungan Data Pribadi yang independen seperti diamanatkan UU PDP. Sebab, meski UU PDP telah memberikan dasar hukum yang kuat, implementasinya masih menghadapi berbagai kendala. Karena itu, tanpa lembaga pengawas independen yang memiliki kewenangan jelas dan bebas dari intervensi, pengawasan dan penegakan aturan dinilai sulit berjalan optimal. “Pengawasan tidak bisa efektif tanpa lembaga independen yang disiapkan untuk menjalankan fungsi pengawasan, mediasi, dan penegakan administratif,” tambah Bambang.
Dia menilai, angka kebocoran data yang sangat tinggi setelah UU PDP disahkan menunjukkan ketimpangan serius antara harapan norma di UU dan implementasi di lapangan. Situasi itu diyakini muncul salah satunya karena belum adanya otoritas pengawas independen. Politikus dari Fraksi Partai Golkar itu menyayangkan lambannya pembentukan otoritas pengawas independen meskipun UU PDP telah berlaku. Hingga kini, struktur kelembagaan otoritas tersebut masih terus dibahas di internal pemerintah tanpa kepastian waktu pembentukannya.
Bambang mendesak agar lembaga PDP segera dibentuk, termasuk dengan kewenangan pengawasan, mediasi, dan penegakan administratif secara independen. Otoritas ini juga harus bebas intervensi, memiliki struktur teknis yang kuat, dan transparan kepada publik. “Tanpa itu, UU PDP tidak mampu memberikan perlindungan yang efektif,” tukasnya.
Koalisi 29 organisasi masyarakat sipil yang tergabung dalam Digital Democracy Resilience Network (DDRN) juga mendesak Presiden Prabowo Subianto segera memastikan terjaminnya hak privasi warga melalui pembentukan lembaga PDP dan penerbitan Peraturan Pemerintah PDP sebagai peraturan turunan dari UU PDP.
Koalisi DDRN menegaskan, kedua instrumen tersebut semestinya sudah hadir sejak UU PDP berlaku penuh pada 17 Oktober 2024. Absennya lembaga PDP dan aturan turunan telah menciptakan kekosongan hukum dalam pemrosesan data sensitif. Situasi ini membuat warga tidak memiliki tempat untuk meminta pertanggungjawaban ketika terjadi pelanggaran data pribadi. “Tanpa lembaga PDP dan PP PDP, publik dibiarkan menghadapi pelanggaran data pribadi tanpa mekanisme pengaduan yang jelas,” demikian pernyataan sikap tertulis DDRN.
Perlu Audit dan Pengecekan Standar Pengelolaan Data Pribadi
Sementara, Wakil Menteri Komunikasi dan Digital, Nezar Patria, mengungkapkan bahwa lembaga PDP belum terbentuk karena ada sekitar 200 pasal untuk penyusunan aturan turunan dari UU PDP. “Lembaga PDP lagi diharmonisasi, lagi dibahas terus karena pasalnya banyak, lebih dari 200 ya. Jadi harus dilihat satu per satu pasal-pasal itu dan kita harapkan bisa segera selesai,” tuturnya.
Sekretaris Ditjen Pengawasan Ruang Digital Kemkomdigi, Mediodecci Lustarini menambahkan, aturan turunan dari UU PDP yang akan berbentuk peraturan pemerintah (PP) tengah memasuki tahap akhir, termasuk pembentukan lembaga PDP. “Rancangan Perpres sedang dalam tahap harmonisasi antarkementerian. Ini koordinator dari proses harmonisasinya adalah Kementerian Hukum dengan pemrakarsanya dari Kementerian PAN RB (Kementerian Pendayagunaan Aparatur Negara dan Reformasi Birokrasi), karena ini bentuknya adalah kelembagaannya ya,” terangnya.
Dia menyebut kini aturan turunan dari UU PDP yang bakal berbentuk PP itu memasuki tahap akhir untuk pengesahan rancangan peraturan pemerintahnya (RPP). Nantinya, PP ini menjadi peraturan pelaksana dari UU PDP. “Posisinya saat ini sudah diselesaikan harmonisasi dan Ibu Menteri (Komunikasi dan Digital) telah mengirimkannya ke Presiden Prabowo Subianto lewat Mensesneg. Jadi kita tunggu saja, mudah-mudahan dalam waktu dekat bisa disahkan apabila tidak ada concern (urusan) yang memang harus dibahas kembali,” imbuhnya.
Praktisi siber dari Vaksincom, Alfons Tanujaya, menyatakan bahwa kebocoran dan penyalahgunaan data pribadi termasuk kasus terakhir yang dilakukan oknum pegawai KAI Service merupakan puncak gunung es dari pengelolaan data yang tidak standar dan ceroboh, serta menunjukkan bila UU PDP belum efektif melindungi data pribadi warga negara.
Menurutnya, pengelolaan data yang ‘amburadul’ ini memungkinkan data sensitif masyarakat mudah diretas, diakses dan disalahgunakan oleh siapa pun. Karena itu, dia meminta Kementerian Komunikasi dan Digital serta Badan Siber dan Sandi Negara (BSSN) segera turun tangan melakukan audit menyeluruh untuk mengecek standar pengelolaan data, minimal ISO 27001.
“Kalau misalnya ada yang tidak memenuhi, dibenerin. Itu yang paling penting. Kita nggak penting menghukum. Tapi kalau bertahun-tahun nggak pernah dilaksanakan dan tidak dijalankan dengan baik, ya berikan sanksi,” kata Alfons.
