Iklan - Scroll untuk Melanjutkan
Baca artikel IDN Times lainnya di IDN App
Install
For
You

Belum Ada Lembaga Penyelenggara PDP: Presiden Berpotensi Langgar UU

Lia Hutasoit
ilustrasi hacker (IDN Times/Aditya Pratama)
ilustrasi hacker (IDN Times/Aditya Pratama)

Jakarta, IDN Times - Chairman Lembaga Riset Keamanan Siber CISSReC Dr. Pratama Persadha menyoroti berbagai insiden siber terjadi secara beruntun di Indonesia, mulai dari kegagalan sistem Pusat Data Nasional (PDN) karena serangam ransomware, penjualan data pribadi dari seorang peretas dengan nama anonim MoonzHaxor di darkweb.

Kemudian peretas menawarkan data dari Inafis, Badan Intelijen Strategis (BAIS), Kementerian Perhubungan (Kemenhub), Komisi Pemilihan Umum (KPU), peretasan dan pencurian data pribadi dari 4,7 juta Aparatur Sipil Negara (ASN) yang berasal dari Badan Kepegawaian Negara (BKN), hingga yang terbaru dugaan kebocoran data Dirjen Pajak oleh Bjorka.

"Salah satu penyebab maraknya kebocoran data yang terjadi adalah belum adanya sanksi, baik sanksi administratif maupun sanksi berupa denda kepada perusahan atau organisasi yang mengalami kebocoran data, di mana sanksi hukuman tersebut hanya dapat dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah, dalam hal ini adalah Presiden," kata dia dalam keterangannya, dikutip Kamis (19/9/2024).

1. Jika tidak ada lembaga penyelenggara PDP maka ada pelanggaran amanat UU

unsplash.com/@charlesdeluvio

Pada 18 Oktober 2024, Undang-Undang Pelindungan Data Pribadi (UU PDP) mulai berlaku setelah disahkan pada 17 Oktober 2022. Undang-undang ini memberikan waktu dua tahun bagi pihak yang terkait dengan pengolahan data pribadi untuk menyesuaikan diri dengan regulasi baru tersebut.

UU PDP menetapkan kerangka hukum mengenai pengumpulan, penggunaan, serta penyimpanan data pribadi, termasuk sanksi tegas bagi pelanggaran. Namun, hingga kini Presiden Joko "Jokowi" Widodo belum membentuk Lembaga Penyelenggara PDP, yang dapat menyebabkan pelanggaran jika tidak dilakukan sebelum 17 Oktober 2024 sesuai amanat UU pada Pasal 58 hingga 61.

2. Tanpa ada lembaga penyelenggara PDP nampak seperti abai insiden keamanan siber

ilustrasi hacker (IDN Times/Aditya Pratama)

Pratama menjelaskan, pelindungan data pribadi juga masuk ke dalam pelindungan hak asasi manusia, karena Pelindungan Data Pribadi juga merupakan amanat dari Pasal 28G ayat (1) Undang-Undang Dasar Tahun 1945. Tanpa adanya lembaga penyelenggara PDP, perusahaan atau organisasi yang mengalami kebocoran data pribadi tampak mengabaikan insiden keamanan siber.

Mereka tidak melaporkan insiden tersebut, meskipun hal ini melanggar Pasal 46 ayat 1 UU Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, yang mewajibkan pemberitahuan tertulis dalam 3 x 24 jam kepada subjek data pribadi dan lembaga terkait jika terjadi kegagalan perlindungan.

3. Urgensi pembentukkannya dilihat dari tiga perspektif

Ilustrasi hukum (IDN Times/Arief Rahmat)

Pasal 46 ayat 2 UU PDP mengatur bahwa informasi yang harus diungkapkan dalam kasus kebocoran data meliputi Data Pribadi yang terungkap, waktu dan cara terjadinya insiden, serta upaya penanganan dan pemulihan oleh Pengendali Data Pribadi.

Selain itu, Pasal 47 menyatakan Pengendali Data Pribadi wajib membuktikan kepatuhannya dalam menerapkan prinsip perlindungan data, termasuk klarifikasi hasil investigasi dan metode keamanan yang digunakan.

Sanksi atas pelanggaran diatur dalam Pasal 57 ayat 2, dengan denda administratif hingga 2 persen dari pendapatan tahunan, serta Pasal 65 ayat 1, yang mencantumkan ancaman pidana hingga 5 tahun.

"Oleh karena itu, pembentukan Lembaga Penyelenggara PDP merupakan sebuah urgensi yang harus segera diselesaikan oleh Pemerintah serta Presiden terutama jika dilihat dari 3 perspektif," kata dia

Tiga perspektif yang dimaksud adalah perspektif keamanan siber menekankan perlindungan data sensitif, pencegahan serangan, penegakan hukum, serta peningkatan kesadaran dan kolaborasi. Dari sisi keamanan nasional, lembaga ini penting untuk melindungi infrastruktur kritis dan mencegah spionase digital. Sementara itu, ketahanan nasional fokus pada kedaulatan negara, stabilitas sosial, dan kontinuitas operasional.

4. Lembaga penyelenggara PDP harus punya wewenang kuat

Tower Pemancar Sinyal (https://unsplash.com/photos/a-street-light-with-birds-sitting-on-top-of-it-anXndgrgiYQ)

Pratama menjelaskan, lembaga penyelenggara PDP yang dibentuk nantinya diharapkan sesuai dengan best practice yang ada, di antaranya harus punya wewenang kuat untuk mengatur, mengawasi dan menegakkan kepatuhan terhadap standar keamanan data pribadi. Lembaga penyelenggara PDP harus secara teratur menilai risiko pada data pribadi yang diolah organisasi publik dan swasta.

"Lembaga penyelenggara PDP juga harus melakukan audit dan pemeriksaan independen terhadap kepatuhan organisasi atas kebijakan, dan standar keamanan data pribadi. Kemudian Lembaga penyelenggara PDP harus mendorong penggunaan teknologi enkripsi dan pengamanan data lainnya, untuk melindungi data pribadi dari akses yang tidak sah," ujar dia.

"Lembaga penyelenggara PDP juga harus mendorong organisasi untuk memiliki rencana yang terperinci untuk mendeteksi, merespon, dan memulihkan diri dari serangan siber. Selain itu Lembaga Penyelenggara PDP juga harus bisa mendorong organisasi untuk melaporkan insiden keamanan siber kepada pihak berwenang sesuai dengan regulasi yang berlaku," sambungnya.

Editor’s Picks
Data Pribadi Menkominfo Dibocorkan: Ada NIK hingga Foto di Israel
Jadi Wamenkominfo, Angga Raka Soroti Perlindungan Data Pribadi
Topics
UU PDPpdpUpdate medata pribadiperlindungan

Editorial Team

EditorLia Hutasoit
EditorRochmanudin Wijaya

Tonton lebih seru di