Sejak 2019 hingga November 2022, Kementerian Komunikasi dan Informatika melakukan audit kepatuhan terhadap 77 kasus pelanggaran perlindungan data pribadi. Sebanyak 39 di antaranya terbukti melakukan pelanggaran.
JAKARTA, KOMPAS — Kasus pelanggaran perlindungan data pribadi cenderung meningkat setiap tahun. Sebagian besar penyelenggara sistem elektronik yang melanggar diklaim sudah diberikan sanksi dan rekomendasi perbaikan. Namun, Komisi I DPR tetap meminta Menteri Komunikasi dan Informatika untuk bertanggung jawab.
Sejak 2019 hingga November 2022, Kementerian Komunikasi dan Informatika (Kemkominfo) melakukan audit kepatuhan (audit compliance) terhadap 77 kasus pelanggaran perlindungan data pribadi (PDP). Dari 77 kasus tersebut, 49 kasus berasal dari penyelenggara sistem elektronik (PSE) lingkup privat dan 28 kasus berasal dari PSE lingkup publik.
Adapun jenis-jenis pelanggaran PDP yang dilakukan meliputi kebocoran data (66 kasus), pengumuman data pribadi tanpa persetujuan (3 kasus), pengumpulan data pribadi berlebihan (2 kasus), pengungkapan data pribadi kepada pihak tidak sah (2 kasus), dan pelanggaran lainnya seperti moderasi konten PDP (4 kasus).
KOMPAS/NORBERTUS ARYA DWIANGGA MARTIAR
Tangkapan layar peretas Bjorka menawarkan sebanyak 3,2 miliar data dari aplikasi Peduli Lindungi, beberapa waktu lalu.
Terhadap 77 kasus yang ada, Kemenkominfo telah menyelesaikan penanganan terhadap 58 kasus. Sementara 19 kasus lain masih dalam proses penanganan. Berdasarkan hasil penanganan terhadap 58 kasus, didapati 39 kasus merupakan pelanggaran PDP, dan 19 kasus bukan merupakan pelanggaran PDP. Bagi PSE yang dinyatakan melanggar PDP, ada yang hanya diberikan rekomendasi perbaikan sistem (25 kasus), tetapi ada pula yang diberikan sanksi dan rekomendasi perbaikan sistem (14 kasus).
Menkominfo Johnny G Plate dalam rapat kerja bersama Komisi I DPR di Kompleks Parlemen, Jakarta, Rabu (23/11/2022), mengatakan, insiden pelanggaran PDP cenderung terus meningkat. Apalagi di November 2022 ini, Kemenkominfo juga tengah menangani lima kasus terbaru, di antaranya insiden pelanggaran PDP di Carousell, MyPertamina, Peduli Lindungi, Lazada, dan Forum Mobile Legends.
Ia menegaskan bahwa Kemenkominfo tidak pernah berdiam diri. Kemenkominfo sudah mengambil langkah sanksi-sanksi terhadap PSE yang didapati melanggar PDP sesuai kewenangan administratif yang dimiliki. Sanksi-sanksi itu bertahap, mulai dari rekomendasi peningkatan sistem keamanan siber, perbaikan manajemen, hingga peningkatan sumber daya manusia. Sanksi paling tinggi adalah pencabutan lisensi.
”Kan, kalau kami langsung cabut, layanan masyarakat langsung hilang. Nah, pilihannya tentu, segera perbaiki (sistem keamanan siber dan manajemennya). Jadi, (insiden pelanggaran PDP) ini tidak didiamkan. Karena begitu pentingnya, maka audit-audit compliance terus kami lakukan,” ujar Johnny.
Baca Juga: Penguatan Keamanan Siber, Menutup Celah Kebocoran Data
KOMPAS/HENDRA A SETYAWAN
Menteri Komunikasi dan Informatika Johnny G Plate (tengah) didampingi Dirjen Sumber Daya dan Perangkat Pos dan Informatika Ismail (kiri) berbincang dengan Wakil Ketua Komisi I Abdul Kharis Almasyhari saat mengikuti rapat kerja dengan Komisi I DPR di Kompleks Parlemen, Jakarta, Rabu (23/11/2022).
Dalam menangani kasus pelanggaran PDP, lanjut Johnny, Kemenkominfo tidak bergerak sendiri. Setiap kasus yang ada selalu ditangani secara sungguh-sungguh dan dikoordinasikan lintas kementerian/lembaga.
”Ini berlangsung terus-menerus karena serangan data pribadi itu berlangsung setiap saat, dan butuh payung hukum yang kuat, serta ketegasan-ketegasan dalam penindakan. Ruang fisik butuh perannya secara konkret termasuk penerapan-penerapan oleh aparat penegak hukum dalam hal ini,” kata Johnny.
Johnny pun mengingatkan, jika terjadi kebocoran data, PSE diwajibkan untuk proaktif memberikan notifikasi, baik kepada pemilik data, maupun institusi pemerintah. Notifikasi kepada pemilik data bertujuan agar pemilik data dapat segera mengetahui dan mengamankan data mereka. Sementara notifikasi kepada institusi pemerintah bertujuan agar ada mitigasi serta pendampingan dengan cepat.
”Jadi, PSE harus mengambil inisiatif yang cepat sesuai dengan tugas dan fungsinya karena mereka yang terlebih dahulu harus memberi tahu bahwa ada insiden. Jangan sampai insiden itu muncul, lalu diketahui karena sudah tersebar berita di media. Kalau (diketahui) lebih awal, kan, kami bisa masuk lebih cepat untuk melakukan penanganannya,” kata Johnny.
Menunggu aturan turunan
Kemenkominfo memastikan tidak akan ada kekosongan hukum pasca-pengesahan Undang-Undang Pelindungan Data Pribadi. Sebagaimana diketahui, aturan di UU PDP mulai berlaku secara menyeluruh sejak dua tahun setelah diundangkan. UU tersebut telah diundangkan pada 17 Oktober 2022.
Jika terjadi insiden pelanggaran PDP, Kemenkominfo masih mengacu pada Peraturan Pemerintah Nomor 71 Tahun 2019 tentang PSE. Melalui PP tersebut, PSE yang didapati melanggar PDP, dapat diberikan sanksi sesuai dengan aturan perundang-undangan.
Seiring dengan itu, Kemkominfo juga terus bekerja sama dengan kementerian/lembaga lain. Badan Siber dan Sandi Negara (BSSN), misalnya, akan menindaklanjuti laporan insiden pelanggaran PDP dengan memeriksa dan memberikan rekomendasi di bidang keamanan siber. Kemudian, Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri melakukan penindakan terhadap pelaku kejahatan sistem elektronik, seperti peretasan, intersepsi ilegal, gangguan sistem, manipulasi data, yang menyebabkan kegagalan PDP.
Di masa transisi selama dua tahun ini, Kemkominfo juga terus berupaya menuntaskan aturan turunan dari UU PDP. Johnny menjelaskan, Kemenkominfo tengah menyiapkan 9 PP dan 1 peraturan presiden (perpres). Pembentukan berbagai aturan turunan tersebut juga melibatkan dua universitas negeri di Indonesia. ”Mudah-mudahan (aturan turunan) ini bisa diselesaikan dengan cepat sehingga seluruh yang diamanatkan termasuk kelembagaan PDP bisa selesai cepat dan dapat segera terbentuk. Targetnya segera,” kata Johnny.
Baca Juga: UU Pelindungan Data Pribadi Akhirnya Disahkan, Asa Baru Mencegah Kebocoran Data
KOMPAS/HERU SRI KUMORO (KUM)
Anggota Komisi I DPR, Junico Bisuk Partahi Siahaan
Anggota Komisi I DPR dari Fraksi Partai Demokrasi Indonesia Perjuangan (PDI-P) Junico Siahaan mengingatkan kepada Kemenkominfo agar sosialisasi terhadap UU PDP dapat segera dilakukan secara masif. Sebab, di lapangan, banyak pihak belum memahami aturan-aturan serta operator-operator yang bertanggung jawab terhadap keamanan data.
Jika merunut pada PP No 71/2019, menurut Junico, seharusnya pihak yang paling bertanggung jawab atas insiden pelanggaran PDP adalah Menkominfo. ”Jadi, Pak Menteri (Menkominfo) juga harus bertanggung jawab meski sudah ada sanksi bagi PSE,” katanya.
Anggota Komisi I DPR dari Fraksi Partai Keadilan Sejahtera (PKS), Sukamta, menambahkan, persoalan insiden pelanggaran PDP ini sebenarnya sangat teknis. Karena itu, ia mendesak agar pemerintah segera membentuk lembaga pengawas sesuai amanat UU PDP sehingga Menkominfo tidak selalu disibukkan dengan berbagai hal teknis penanganan insiden pelanggaran PDP.
”Kasian Pak Menteri (Menkominfo) kalau harus ngurusi urusan teknis kebocoran di sana, harus terus ngecek, ini sayang gitu lho. Mestinya, Pak Menteri (Menkominfo) urusan-urusan yang strategis, taktis gitu. Ini serahkan saja ke badan yang sudah diamanatkan oleh UU untuk segera dibentuk. Kalau enggak, ya, nanti Pak Menteri (Menkominfo) konsekuensinya, kalau ada bocor (data) di mana, ya, tanggung jawab lagi, ada masalah di lembaga apa, Pak Menteri (Menkominfo) lagi,” kata Sukamta.