Lebih serius tangani data pribadi

World Data Privacy Day akan diperingati pada tanggal 28 Januari mendatang.

Meskipun sudah ada peringatan untuk strategisnya data pribadi, namun kasus keamanan siber (cyber security) masih sering muncul dan mengancam sektor publik dan swasta di Indonesia.

Pelanggaran atas cyber security (atau dikenal juga sebagai cybercrime) adalah bentuk tindakan yang menyebabkan kerugian yang dilakukan melalui jaringan siber.

Cyber security adalah proses yang dirancang untuk melindungi jaringan dan perangkat dari ancaman pihak eksternal. Perusahaan biasanya mempekerjakan tenaga ahli cyber security untuk melindungi informasi rahasia, menjaga produktivitas karyawan, dan meningkatkan kepercayaan pelanggan terhadap produk dan layanan perusahaan. Seringkali, pada kebanyakan kasus cyber security, kebocoran atau pencurian data pribadi pelanggan merupakan isu utamanya.

Kebocoran atau pencurian data pribadi pelanggan berkaitan erat dengan ketentuan dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU 27/2022), dimana data pribadi seperti nama, alamat, dan data keuangan, merupakan target yang menarik bagi pelaku pelanggaran atas cyber security.

Terbitnya UU 27/2022, penyalahgunaan data pribadi, kebocoran data pribadi, dan jual beli data pribadi yang seringkali disebabkan oleh serangan siber dan kegagalan sistem elektronik diharapkan dapat dikurangi secara signifikan. UU 27/2022 berlaku untuk semua individu, korporasi, badan publik, dan organisasi internasional yang melakukan perbuatan hukum sebagaimana diatur dalam UU 27/2022 di dalam wilayah hukum Indonesia dan/atau Subjek Data Pribadi yang merupakan WNI di luar wilayah hukum Indonesia.

Dalam UU 27/2022 diatur kewajiban bagi Pengendali Data Pribadi untuk melakukan pencegahan pengaksesan tidak sah atas Data Pribadi menggunakan sistem keamanan terhadap Data Pribadi yang diproses dan/atau memproses Data Pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab.

Ketentuan terkait kebocoran dan pencurian data pribadi juga secara tidak langsung diatur dalam peraturan sektor telekomunikasi yaitu Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi sebagaimana telah diubah melalui Undang-Undang Nomor 11 tahun 2020 tentang Cipta Kerja (UU 36/1999), yang mengatur adanya larangan melakukan perbuatan tidak sah, tanpa hak, atau memanipulasi akses ke jaringan telekomunikasi, jasa telekomunikasi, dan/atau jaringan telekomunikasi khusus.

Sejak beberapa tahun terakhir, Indonesia marak dengan kasus kebocoran data pribadi, khususnya pada sektor telekomunikasi” baik yang terkait dengan penyediaan layanan telekomunikasi maupun yang melibatkan perusahaan telekomunikasi dalam pemrosesan data pribadinya.

Pada tahun 2020, ditemukan bahwa salah satu perusahaan telekomunikasi asal Indonesia melalui salah satu produknya telah melakukan pengumpulan dan pemrosesan data pribadi milik pelanggan tanpa adanya pemberitahuan kepada maupun persetujuan dari pelanggan, yang dalam hal ini merupakan Subjek Data Pribadi.

Hal ini diketahui dikarenakan data pribadi milik pelanggan tersebut, yang terdiri atas riwayat pencarian, domain, platform, IP, nama pelanggan, email dan NIK, diduga telah dijual di sebuah website.

Tak hanya itu, kasus kebocoran data pribadi milik pelanggan juga terjadi lagi, dimana diduga data pribadi dari berbagai operator telekomunikasi di Indonesia yang memuat NIK, nomor telepon seluler, dan tanggal registrasi pelanggan, dijual seharga US$50 ribu atau Rp 745 juta, yang diklaim didapatkan dari Kementerian Komunikasi dan Informatika (Kominfo) dari rentang 31 Oktober 2017 hingga Agustus 2022.

Dari berbagai kasus terkait perlindungan data pribadi dan cyber security dalam sektor telekomunikasi di atas dapat dipelajari pentingnya integrasi antara tata kelola implementasi perlindungan data pribadi dengan mekanisme teknis keamanan siber yang memadai dan mendukung untuk terlaksananya perlindungan data pribadi.

Selain itu, perlu juga disorot isu mengenai belum adanya lembaga pemerintahan yang bertanggung jawab untuk mengawasi pelaksanaan perlindungan data pribadi di Indonesia sehingga menimbulkan tumpang tindih tanggung jawab, khususnya untuk sektor telekomunikasi.

Meskipun baik Kominfo maupun perusahaan telekomunikasi menyanggah adanya kebocoran data yang telah terjadi di Indonesia, namun perlu dipertanyakan efektifitas koordinasi maupun supervisi antara lembaga pemerintah (khususnya Kominfo sebagai kementerian yang membawahi bidang telekomunikasi dan BSSN sebagai lembaga pemerintah yang membawahi bidang keamanan siber) dengan pelaku usaha dalam melindungi kepentingan masyarakat dan konsumen.

Hal tersebut merupakan salah satu isu yang perlu segera diatasi, sehingga dapat dibentuk sebuah framework dan protokol yang sinkron untuk perlindungan Data Pribadi melalui keamanan siber untuk sektor telekomunikasi.

Sudah saatnya lebih serius menangani isu data pribadi ketimbang menjadi seremoni.

Comments