Kebocoran data nasabah Bank Rakyat Indonesia (BRI) dan Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan beberapa waktu lalu, dua dari sekian kasus menjadi perhatian publik hingga di pertengahan periode 2021. Minimnya kesadaran pentingnya data pribadi perlu edukasi agar dapat meminimalisir terjadinya kerugian yang dideritanya masyarakat. Salah satunya dengan melakukan mitigasi yang dilakukan institusi, organisasi, perusahaan yang memproses atau mengelola data pribadi karyawan atau anggotanya.
Konsultan Hukum Spesialis Perlindungan Data Pribadi, Dhani Kobrata berpandangan kebocoran data masih terus terjadi sepanjang 2020 sampai 2021. Pada 2020 terdapat 54 kasus pencurian data e-commmerce. Sedangkan periode Januari-Juni 2020 setidaknya terdapat 277 kasus kebocoran data. Seharusnya kebocoran data perlu adanya pihak yang bertanggung jawab.
“Apalagi di masa pandemi semua menggunakan online, dan menunjukan banyak terjadi kebocoran data pribadi di perusahaan kecil sampai besar. Ini warning bagi perusahaan maupun lembaga apapun yang menyimpan data pribadi,” ujar Danny Kobrata dalam sebuah diskusi virtual bertajuk “Fenomena Kebocoran Data Pribadi dan Upaya Mitigasi”, Kamis (19/8/2021). (Baca Juga: Penegakan Hukum Kebocoran Data Pribadi Lemah, Dua RUU In Mendesak Disahkan)
Danny mengatakan perusahaan sebagai institusi swasta kapanpun dapat menjadi korban dari serangan peretas yang berakibat terjadinya kebocoran data pribadi. Perusahaan pun mesti memperkuat sistem informasi dan teknologi pertahanan keamanan dalam melindungi dari serangan pelaku peretas atau pencurian data pribadi. Selain itu, pentingnya memitigasi menjadi bagian tak terpisahkan dalam perlindungan data pribadi.
“Berharap Rancangan Undang-Undang (RUU) Perlindungan Data Pribadi kembali dibahas dan disahkan aturan perlindungan data pribadi menjadi lebih kuat.”
Partner pada Kantor Hukum K&K Advocates ini mengatakan bila terjadi kebocoran data pribadi di perusahan, perusahaan berkewajiban mengumumkan secara tertulis atau secara elektronik dalam kurun waktu 14 hari kepada para pemilik data. Prinsipnya, kewajiban hukum ini melekat pada perusahaan pemegang data pribadi. “Kenapa ada aturan seperti ini, supaya pemilik data pribadi tahu, sehingga mereka bisa meminimalisir risiko,” kata Danny.
Dia mencontohkan bila data Kartu Tanda Penduduk (e-KTP) bocor dapat dipergunakan pihak yang bertanggung jawab untuk pinjaman online. Bila pemilik data pribadi mengetahui adanya kebocoran ke publik, mitigasi dapat dilakukan dengan cepat untuk meminimalisir kerugian yang timbul. “Ini salah satu kewajiban perusahaan yang harus dilakukan,” lanjutnya.
Bagi perusahaan yang tidak melakukan pengumuman tertulis/elektronik dapat dijerat dengan sanksi dan hukuman berupa teguran, denda hingga dikeluarkan dari daftar penyelenggara sistem elektronik, bahkan diblokir akses dari platform tersebut. “Bisa jadi perusahaan telah menerapkan sistem teknologi dan informasi dengan baik, tapi tetap diserang peretas.”
Maklum, pelaku kriminal peretas bisa mengakses lebih jauh sistem pertahanan keamanan siber perusahaan. Sebab, kejahatan siber lebih canggih dan berkembang. “Seringkali teknologi kalah cepat dengan kecanggihan para peretas untuk membajak sistem sebuah perusahaan.”
Dosen Program Studi Hukum Bisnis Universitas Prasetiya Mulya Spesialisasi Hukum Udara dan Antariksa, Ridha Aditya Nugraha menilai semestinya terdapat aturan setingkat UU yang khusus mengatur perlindungan data pribadi (PDP). Namun sayangnya RUU masih dalam status pembahasan di DPR bersama pemerintah. Menurutnya, ada baiknya pengaturan pengendali dan pemroses data pribadi bakal meniru konsep di negara barat, tapi disesuaikan dengan norma yang hidup di masyarakat Indonesia. “Jadi pengendali itu, kita yang menentukan data itu mau apa,” kata Ridha.
Namun dengan upaya memitigasi perlu didukung dengan sistem keamanan perlindungan data yang mumpuni. Lagi-lagi, pekerjaan berat di bidang perlindungan data pribadi ke depannya bakal menanti. Seperti halnya terjadi pelanggaran kebocoran data, namun sepanjang tak ada aduan pelaku tak dapat diproses atau diberikan sanksi hukuman denda. Sebab, orang yang merugi harus terlebih dahulu mengadu
“Jadi tidak serta merta orang yang merugikan itu akan bersalah. Jadi ini butuh perubahan dan keahlian di bidang ini. Apalagi di perusahaan-perusahaan ini sudah mulai berbenah. Semoga RUU PDP dapat segera disahkan menjadi UU,” harapnya.
Merujuk aturan yang ada
Lebih lanjut, Danny berpendapat, tindakan pencegahan sejatinya telah diatur dalam Permenkominfo No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik. Misalnya, penyelenggara sistem elektronik melakukan kegiatan berupa peningkatan kesadaran sumber daya manusia di lingkungannya dengan memberi perlindungan data pribadi dalam sistem elektronik yang dikelolanya. Kemudian, memberikan pelatihan pencegahan atas terjadinya kebocoran data pribadi dalam sistem elektronik yang dikelolanya bagi sumber daya manusia di lingkungannya.
Menurutnya, upaya memitigasi keamanan siber dapat ditempuh dengan merujuk pada aturan yang ada. Pertama, Permenkominfo 20/2016. Beleid ini mewajibkan sertifikasi terhadap sistem elektronik yang digunakan. Kemudian, setiap penyelenggara sistem elektronik mesti memiliki aturan internal perlindungan data pribadi sebagai bentuk tindakan pencegahan dalam menghindari terjadinya kebocoran data pribadi yang dikelolanya.
Baginya, tanggung jawab pemrosesan data pribadi bukan menjadi tanggung jawab divisi legal perusahaan, tapi semua pihak di lingkungannya. Karena itu, sumber daya manusia di lingkungan perusahaan harus mengetahui prinsip-prinsip pengelolaan data pribadi. Karenanya menjadi penting seluruh pekerja di perusahaan mengetahui pengetahuan dasar pentinya pemrosesan data pribadi.
“Supaya tidak digunakan di luar peruntukannya. Dengan membangun kepedulian, kita bisa meminimalisir kerugian. Pentingnya perusahaan membangun culture kepedulian terhadap data pribadi,” jelasnya.
Kedua, Peraturan Pemerintah No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transkasi Elektronik. Aturan tersebut mengharuskan spesifikasi soft ware dan hardware. Kemudian tata kelola sistem elektronik, seperti menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan.
Begitu pula dengan prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan berkala terhadap sistem elektronik. Termasuk mengharuskan sertifikasi sistem elektronik. Ketiga,Peraturan Badan Siber dan Sandi Negara (BSSN) No.8 Tahun 2020 tentang Sistem Pengamanan dalam Penyelenggaraan Sistem Elektronik. Dalam beleid tersebut mewajibkan adanya sertifikasi berdasarkan risiko yakni strategis, level tinggi, dan terendah.