Koalisi Peduli Data Pribadi Luncurkan Posko Pengaduan Kebocoran Data
Kebocoran data di Indonesia melebihi kebocoran 46 juta data pemilik nomor ponsel di Malaysia tahun 2017. Sebagai upaya advokasi, posko pengaduan diluncurkan bagi warga yang jadi korban kebocoran data.
Oleh
DIAN DEWI PURNAMASARI
·4 menit baca
JAKARTA, KOMPAS — Koalisi Peduli Data Pribadi meluncurkan Posko Pengaduan Kebocoran Data bagi masyarakat yang menjadi korban insiden bocornya data pribadi. Hingga kini, sudah tidak terhitung jumlah data pribadi warga yang bocor dan diperjualbelikan. Mulai dari kebocoran data peserta BPJS Kesehatan, data pengguna IndiHome, registrasi kartu sim ponsel, hingga 105 juta data pemilih dari Komisi Pemilihan Umum.
Saat peluncurkan Posko Pengaduan Kebocoran Data secara daring, Jumat (9/9/2022), koalisi menyebut bahwa warga yang menjadi korban insiden kebocoran data bisa melapor melalui lamanhttps://s.id/kebocorandatauntuk memperoleh advokasi. Laman itu dibuat oleh Koalisi Peduli Data Pribadi yang diinisiasi oleh Aliansi Jurnalis Independen (AJI) Indonesia, Lembaga Bantuan Hukum (LBH) Jakarta, LBH Pers, Perhimpunan Bantuan Hukum dan Hak Asasi Manusia, Safenet, dan Yayasan Lembaga Bantuan Hukum Indonesia (YLBHI).
Direktur Eksekutif Safenet Damar Juniarto mengatakan, posko pengaduan dibuka karena keprihatinan setelah bocornya 297 juta data peserta BPJS Kesehatan. Setelah insiden itu, publik kembali dikejutkan dengan 2.6700 data pengguna IndiHome yang bocor dan dijual di forum daring. Baru-baru ini, peretas bernama Bjorka mengaku memiliki 1,3 miliar data dari proses registrasi SIM Card dan 105 juta data penduduk dari KPU.
Menurut Damar, kebocoran data yang terjadi di Indonesia itu sudah melebihi kebocoran 46 juta data pemilik nomor ponsel di Malaysia tahun 2017. Pada 31 Oktober 2017, kebocoran data terjadi pada 46,2 juta pelanggan dari 12 penyedia layanan seluler di Malaysia, yaitu Altel, Celcom, DiGi, Enabling Asia, Friendimobile, Maxis, MerchantTradeAsia, PLDT, RedTone, TuneTalk, Umobile, dan XOX ditawarkan di situs lowyat.net. Data pribadi itu berisi tanggal lahir, nomor KTP, nomor ponsel, alamat e-mail, dan kode sandi (password). Data dijual seharga 1 bitcoin atau setara 6.500 dollar Amerika Serikat.
”Kebocoran 46 juta data pemilik nomor HP di Malaysia itu sempat disebut sebagai kebocoran data terbesar di Asia kala itu oleh Reuters. Kini, kebocoran data di Indonesia sudah melebihi rekor itu,” ucapnya.
Meskipun insiden kebocoran data marak, sayangnya instansi yang menjadi pengelola sistem elektronik (PSE) seolah melempar tanggung jawab. Mereka seolah tak mau mengakui bahwa kebocoran data berasal dari pihaknya. Baik PSE publik maupun PSE privat enggan bertanggung jawab terhadap kebocoran data pribadi itu.
”Indonesia seolah menyepelekan perlindungan data pribadi warga. Dalam kesempatan kali ini, saya mencoba untuk menawarkan cara bagaimana untuk melaporkan pihak-pihak yang dirugikan akibat kebocoran data pribadi,” kata Damar.
Julius Ibrani dari PBHI menyebut, karena berbentuk pengaduan daring, posko aduan menggunakan prinsip kerahasiaan data. Data pengaduan yang masuk ke situ akan dipetakan. Misalnya, siapa pemilik data pribadi, apa dampak yang dirasakan setelah data tersebut bocor, dan sebagainya. Selain itu, posko juga akan melakukan advokasi untuk mencarikan model pertanggungjawaban yang bisa dilakukan PSE ketika terjadi kebocoran data.
”Setelah mapping (pemetaan) baru ditentukan nanti akan ada upaya hukum atau nonhukum apa. Paling tidak ada beberapa potensi upaya hukum, misalnya gugatan perdata, citizen lawsuit kasus per kasus, atau perbuatan pidana ilegalnya,” kata Julius.
Karena berbentuk pengaduan daring, posko aduan menggunakan prinsip kerahasiaan data.
Otoritas perlindungan data
Terkait dengan pembentukan otoritas perlindungan data pribadi yang menjadi amanat Rancangan Undang-undang Perlindungan Data Pribadi (PDP), Arif Maulana berpandangan, hasil kompromi pembahasan antara pemerintah dan DPR cukup aneh. Karena berkali-kali pembahasan mengenai otoritas data pribadi itu buntu, akhirnya pembentuk UU mengambil jalan tengah. Jalan tengahnya adalah menyerahkan kewenangan pembentukan otoritas perlindungan data pribadi kepada presiden.
”Aneh ketika pemerintah dan DPR tidak satu suara mengusulkan bentuk lembaga pengawas yang ideal,” kata Arif.
Sebelumnya, RUU PDP telah disepakati pengesahannya dalam pembicaraan tingkat I antara Komisi I DPR dan pemerintah, Rabu malam lalu. RUU itu tinggal menanti disetujui disahkan menjadi UU dalam rapat paripurna DPR. Kesepakatan itu bisa dicapai menyusul adanya titik temu terkait kedudukan otoritas perlindungan data pribadi. Dalam kesepakatan itu, pembentukan otoritas diserahkan kepada presiden dan bertanggung jawab langsung kepada presiden. Seberapa kuat kewenangan otoritas itu, akan sangat bergantung pada itikad baik dari presiden, (Kompas, 9 September 2022).
Karena keputusan itu sudah diserahkan kepada presiden, masyarakat sipil berharap pemerintah dapat membentuk lembaga independen yang bukan berada di bawah Kementerian Komunikasi dan Informatika (Kemenkominfo). Pembentukan lembaga independen penting karena instansi itu akan mengawasi PSE publik dan privat. Jangan sampai lembaga itu tidak bergigi ketika akan berhadapan dengan PSE sektor publik.
”Jangan sampai mereka yang semestinya patuh pada aturan UU PDP malah kemudian menjadi regulator dan juga menjalankan UU tersebut,” katanya.
Apabila bukan lembaga independen yang mengawasi perlindungan data pribadi, kata Arif, akan berpotensi terjadi penyalahgunaan wewenang (abuse of power). Sebab, sebagai lembaga yang mengatur dan menjalankan UU PDP, lembaga nonindependen bisa memiliki kewenangan tanpa kontrol.
Oleh karena itu, pemerintah harus sepakat memiliki standar pembentukan lembaga pengawas data pribadi. Indonesia harus mencontoh praktik yang ada di banyak negara, yaitu otoritas pengawas data pribadi yang independen.
”Mengapa penting dan perlu diatur lembaga pengawas independen? Ini untuk memastikan aturan bisa diimplementasikan, tidak khawatir konflik kepentingan,” kata Arif.