Otoritas Pengawas Belum Dibentuk, Pemerintah Harus Tetap Lindungi Data Pribadi
Pemerintah, melalui Kementerian Komunikasi dan Informatika, tetap perlu melindungi data warga dengan regulasi yang sudah ada. Jangan sampai data pribadi warga dikorbankan karena menunggu terbentuknya otoritas pengawas.
Oleh
REBIYYAH SALASAH
·6 menit baca
KOMPAS/RIZA FATHONI (RZF)
Petugas menunjukkan kode QR yang harus dipindai pengunjung dengan aplikasi Peduli Lindungi sebelum masuk untuk wisata di Taman Mini Indonesia Indah (TMII), Jakarta Timur, Jumat (17/9/2021).
JAKARTA, KOMPAS — Pemerintah diminta tetap hadir melindungi data pribadi warga kendati otoritas pengawas pelindungan data pribadi belum dibentuk. Pasalnya, pemerintah, melalui Kementerian Komunikasi dan Informatika, punya wewenang yang diatur regulasi berupa peraturan pelindungan data pribadi yang masih berlaku saat ini. Peraturan dapat dipakai untuk menutup kekosongan hukum pada masa transisi pelaksanaan Undang-Undang Pelindungan Data Pribadi.
Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar, Jumat (18/11/2022), mengatakan, pembentukan otoritas pengawas pelindungan data oleh Presiden Joko Widodo, seperti diamanatkan Undang-Undang (UU) Pelindungan Data Pribadi (PDP), memang mendesak di tengah kembali mengemukanya dugaan kebocoran data pribadi. Otoritas itu salah satunya bertugas mengatur pihak yang harus bertanggung jawab saat terjadi kebocoran, bentuk tanggung jawab, serta sanksi yang bisa dikenakan.
Namun, dengan belum terbentuknya otoritas itu, bukan berarti pemerintah hanya bisa diam saat ada kasus dugaan kebocoran data. Menurut Wahyudi, Kementerian Komunikasi dan Informatika (Kominfo) perlu tetap hadir melindungi data warga dengan berperan sesuai regulasi yang masih berlaku saat ini. Kementerian Kominfo harus tetap mengimplementasikan berbagai peraturan pelindungan data pribadi, seperti Undang-Undang Informasi dan Transaksi Elektronik (UU ITE), Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Peraturan Menteri Kominfo No 20/2016 tentang (Permen PDPSE).
”Implementasi UU PDP, kan, diberi tenggat waktu dua tahun sebagai masa transisi sekaligus melengkapi keseluruhan peraturan pelaksana. Namun, masa transisi ini jangan sampai menciptakan situasi kekosongan hukum dan kekosongan institusi. Institusi pemerintah yang sudah ada (exististing institution) harus tetap menjalankan perannya sampai digantikan otoritas baru. Jangan sampai justru yang dikorbankan adalah data pribadi warga negara,” tutur Wahyudi saat dihubungi dari Jakarta.
Warga mengakses aplikasi Peduli Lindungi di rumahnya di Serpong, Tangerang Selatan, Banten, Minggu (26/4/2020).
Dugaan kebocoran data kembali mengemuka setelah akun peretas Bjorka memasarkan sebanyak 44,2 juta data warga di situs Breached Forum, Kamis (10/11/2022). Data yang dijual seharga 5.000 dollar AS atau setara Rp 392 juta itu diklaim berasal dari aplikasi MyPertamina. Berselang lima hari, di situs yang sama, Bjorka memasarkan 3,25 miliar data yang diklaim berasal dari aplikasi Peduli Lindugi. Data tersebut ditawarkan dengan harga 100.000 dollar AS atau setara Rp 1,5 miliar dalam bentuk bitcoin. Data itu mencakup nama, alamat surel, nomor induk kependudukan (NIK), nomor telepon, tanggal lahir, identitas perangkat, status Covid-19, riwayat cek, riwayat penelusuran kontak, dan vaksinasi.
Aplikasi MyPertamina dan Peduli Lindungi dapat dikategorikan sebagai penyelenggara sistem elektronik (PSE). MyPertamina, yang dimiliki dan dikelola oleh BUMN, yakni PT Pertamina Patra Niaga, telah terdaftar ke sistem PSE Lingkup Privat. Sementara itu, aplikasi Peduli Lindungi, yang dimiliki oleh lembaga pemerintah, yaitu Kementerian Kominfo, Kementerian Kesehatan, serta Badan Siber dan Sandi Negara (BSSN), terdaftar sebagai PSE publik. Dengan demikian, baik MyPertamina maupun Peduli Lindungi wajib melindungi data pribadi warga sesuai dengan PP PSTE ataupun Permen PDPSE.
”Adapun Kominfo tetap sebagai regulator dan pengawas PSE. Itu yang harus ditekankan. Dan, salah satu isu terkait PSE adalah pelindungan data pribadi sebagaimana diatur PP PSTE. Jadi, tetap ada peraturan yang perlu diimplementasikan untuk situasi saat ini, bukan hanya menunggu otoritas pengawas terbentuk,” tutur Wahyudi.
Untuk itu, menurut Wahyudi, Kementerian Kominfo perlu melakukan investigasi agar bisa memastikan kebenaran dugaan kebocoran data pribadi tersebut. Jika benar terjadi, Kemkominfo harus menyelidiki penyebab kebocoran tersebut. Penyebab kebocoran data ini nantinya akan menentukan penerapan sanksi terhadap PSE.
Pada Pasal 32 PP PSTE disebutkan, lembaga penyelesaian sengketa data pribadi yang ditunjuk Menteri Kominfo dapat memberikan rekomendasi kepada menteri bersangkutan untuk penjatuhan sanksi administratif kepada PSE jika terjadi kegagalan pelindungan kerahasiaan data pribadi.
Apabila ditemukan kebocoran data sebagai akibat tindakan peretasan, kata Wahyudi, wewenangnya ada pada BSSN. Terutama jika aplikasi yang diretas adalah aplikasi pemerintah seperti Peduli Lindungi. Pasalnya, sistem keamanan aplikasi tersebut melalui proses audit oleh BSSN sesuai Peraturan Presiden No 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik.
”Namun, tanpa proses investigasi terkait dugaan kebocoran data ini, kita tidak pernah tahu penyebabnya apa. Apakah ada lubang dalam sistem keamanan? Atau ada pembagian peran yang tidak tepat seperti pelibatan pihak ketiga atau pemroses data yang berakibat pada kebocoran data?” tutur Wahyudi.
Pemberitahuan kepada publik
Selain memastikan tindakan yang bisa diterapkan terhadap PSE, Kementerian Kominfo juga dapat mengawasi penanggulangan oleh PSE setelah terjadi kebocoran data. Mengacu pada Pasal 14 PP PSTE Ayat (5), jika terjadi kegagalan dalam pelindungan data pribadi yang dikelola, PSE wajib memberitahukan secara tertulis kepada pemilik data pribadi. Adapun merujuk Pasal 28 Pemen PDPSE, pemberitahuan oleh PSE wajib menyertakan alasan atau penyebab terjadinya kegagalan pelindungan data pribadi.
Aturan-aturan tersebut dilengkapi dalam UU PDP lewat Pasal 46 Ayat (3) yang mewajibkan pengendali data memberikan notifikasi kepada subyek data jika terjadi kegagalan pelindungan data. Wahyu mencontohkan, Kementerian Kesehatan sebagai pengendali data untuk Peduli Lindungi, seharusnya menjalankan mandat UU PDP tersebut dengan memberikan notifikasi kepada masyarakat lantaran menyangkut pelayanan publik.
”Mestinya ada penjelasan kepada publik langkah apa yang perlu dilakukan untuk memastikan atau meminimalisir risiko kebocoran data ini. Bukan malah diam atau saling melempar tanggung jawab antarinstitusi atau melempar pernyataan yang isinya penyangkalan,” ujar Wahyudi.
Sebelumnya, Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan tidak menjawab pertanyaan soal dugaan kebocoran data yang terjadi belakangan. Semuel mengarahkan pertanyaan ditujukan kepada Kementerian Kesehatan selaku pengendali aplikasi Peduli Lindungi.
KOMPAS/KRISTIAN OKA PRASETYADI
Petugas di gerai informasi MyPertamina membantu para pengendara mendaftarkan diri sebagai pengguna biosolar bersubsidi ataupun pertalite pada hari pertama uji coba Sistem Subsidi Tepat MyPertamina, Jumat (1/7/2022), di SPBU Politeknik, Kairagi, Manado, Sulawesi Utara.
Ketika Kompas menanyakan kembali soal dugaan peretasan dan tindakan yang dilakukan oleh kedua kementerian itu, Jumat (18/11/2022), baik Semuel maupun Chief Digital Transformation Office (DTO) Kementerian Kesehatan sekaligus staf ahli Menteri Kesehatan bidang Teknologi Kesehatan Setiaji, belum merespons.
Klaim Bjorka meragukan
Praktisi forensik digital Ruby Alamsyah juga menekankan pentingnya pengendali data yang diklaim mengalami kebocoran data itu untuk berbicara kepada publik. Apabila tidak terbukti kebocoran data pun, notifikasi kepada publik perlu tetap dilakukan. Sebab, kata Ruby, masyarakat perlu tahu kejelasan soal perlindungan data pribadi mereka.
Selain itu, klarifikasi yang didahului dengan investigasi dari pengendali data juga penting untuk mengetahui validitas klaim dari para penjual data, seperti Bjorka. Pasalnya, Ruby menilai, klaim Bjorka soal kepemilikan data belum bisa dipastikan kebenarannya. Tidak seperti penjual data lain, Bjorka ditengarai memiliki karakter yang berbeda.
Menurut dia, penjual data biasanya memberikan sampel data yang banyak sehingga calon pembeli dapat memastikan keabsahan data tersebut. Ruby mencontohkan, saat penjual data Tokopedia memasarkan 90 juta data pribadi, penjual tersebut memberikan sampel sebanyak 2 juta data. Dengan demikian, siapa pun yang membeli dapat memverifikasi datanya.
Sementara Bjorka justru hanya memberikan sedikit sampel data Peduli Lindungi. Dengan klaim memiliki 3,25 miliar data dari Peduli Lindungi, sampel yang diberikan hanya puluhan atau ratusan. Itu pun, kata Ruby, kebanyakan sampelnya adalah pesohor sehingga datanya bisa jadi didapat dari tempat lain.
Ruby menerangkan, kebocoran data biasanya berpola. Setelah data bocor, lalu dijual di suatu forum, harga awalnya pasti tinggi. Lalu, beberapa bulan kemudian, data tersebut akan dijual kembali pada forum berbeda dengan harga lebih rendah. Lama kelamaan, data itu terdegradasi harganya sampai akhirnya menjadi gratis. Kalau polanya demikian, sudah bisa dipastikan datanya valid lantaran banyak pihak yang bisa memeriksa, termasuk pihak yang merasa datanya dibocorkan. Pola itu, klaim Ruby, terlihat saat kebocoran data Tokopedia, Bukalapak, dan BPJS.
”Saya bukan mau mengecilkan risiko kehadiran Bjorka, tetapi kita perlu berbicara secara obyektif. Kenapa data sebenarnya dari dia tidak pernah terekspose? Jadi, agak sedikit mencurigakan. Namun, dengan kehadiran Bjorka ini, kita jadi bisa melihat bagaimana pemerintah mengimplementasikan UU PDP,” tutur Ruby.
