JAKARTA, KOMPAS — Komisi I Dewan Perwakilan Rakyat mengingatkan agar Komisi Pemilihan Umum mempertanggungjawabkan dugaan kebocoran data sesuai dengan ketentuan yang diatur dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Sebab, berdasarkan penelusuran awal yang dilakukan Kementerian Komunikasi dan Informatika, data pemilu yang tersebar pada forum daring memiliki format yang sama dengan data pemilih tetap Pemilu 2024 yang dikelola oleh KPU.

Wakil Ketua Komisi I DPR Abdul Kharis Almasyahari mengatakan, dugaan kebocoran data yang terus berulang harus dipertanggungjawabkan sesuai dengan ketentuan dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Dalam UU tersebut, kasus kebocoran tidak hanya harus ditangani dengan mencari pelaku, tetapi juga dipertangunggjawabkan oleh pengendali data. Dalam Pasal 1 UU No 27/2022 disebutkan, pengendali data adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.

Ia melanjutkan, dalam kasus dugaan kebocoran data daftar pemilih tetap (DPT) Pemilu 2024 yang beredar di forum daring, KPU merupakan pengendali data tersebut. Oleh karena itu, KPU pun harus bertanggung jawab atas peristiwa tersebut. ”Di UU PDP itu, kan, amanatnya, kami tidak mau tahu (data) itu dicolong oleh siapa, itu bagian berikutnya. (Tetapi) Bahwa sampai kecolongan, itu harus (jadi) tanggung jawab KPU. Jadi, ya, dalam hal ini yang salah KPU,” ujar Kharis saat memimpin rapat kerja Komisi I dengan Kementerian Komunikasi dan Informatika di Kompleks Parlemen, Jakarta, Rabu (29/11/2023). Rapat tersebut juga dihadiri oleh Menteri Komunikasi dan Informatika Budi Arie Setiadi serta sejumlah pejabat Kemenkominfo.

Pertanggungjawaban itu, kata Kharis, di antaranya dengan mengumumkan telah terjadinya kegagalan pelindungan data, baik kepada subyek data pribadi maupun lembaga dalam waktu 3x24 jam. Mengacu Pasal 46 UU PDP, pemberitahuan itu memuat data pribadi yang terungkap, kapan dan bagaimana data terungkap, serta upaya penanganan dan pemulihan atas terungkapnya data pribadi tersebut.

Direktur Jenderal Aplikasi dan Informatika Kemenkominfo Semuel Abrijani Pangerapan saat menjawab pertanyaan anggota Komisi I DPR dari Fraksi Partai Golkar, Christina Aryani, dan Kharis tentang hasil penelusuran mengenai data pemilu yang ada di forum daring membenarkan bahwa data tersebut memiliki kesamaan format dengan data yang dikelola KPU. ”Secara format benar (data KPU), tetapi kan asalnya (belum bisa dipastikan),” ujarnya.

Oleh karena itu, sejak kabar kebocoran data tersebut beredar di media sosial pada Selasa (28/11/2023) malam, pihaknya segera meminta klarifikasi melalui surat elektronik kepada KPU. KPU pun diberikan waktu selama tiga hari untuk merespons. ”Sesuai dengan aturan UU PDP Pasal 39, pengendali data wajib menjaga data yang dalam pengelolaannya. Bagi pelakunya pun pengumpulan data secara tidak sah itu pidana. Penggunaan data pribadi secara melawan hukum pun pidana. Karena amanat UU ini, kami sudah bersurat dan menunggu sambil mengumpulkan data lebih dalam lagi, menunggu klarifikasi dari KPU,” kata Semuel.

Kendati demikian, menurut dia, Kemenkominfo tidak bisa menilai keamanan sistem informasi yang dimiliki KPU. Sebab, pihaknya belum bisa mengaudit sistem tersebut secara mendalam. Selain itu, penelusuran soal keamanan sistem informasi lembaga negara menjadi tanggung jawab Badan Siber dan Sandi Negara (BSSN) serta kepolisian.

Saat ini, Kemenkominfo lebih fokus untuk memastikan kepatuhan pengendali data terhadap ketentuan UU PDP. Tugas tersebut semestinya dilakukan oleh Lembaga Pelindungan Data Pribadi, tetapi hingga saat ini institusi tersebut belum terbentuk. ”Kami sebagai pengampu, sebelum terbentuknya lembaga baru itu, kami wajib memastikan pengendali data melaksanakan komitmen compliance yang diamanatkan UU No 27/2023,” kata Semuel.

Menteri Komunikasi dan Informatika Budi Arie Setiadi yang hadir dalam rapat tersebut membenarkan, sesuai UU PDP pengendali data harus bertanggung jawab atas kebocoran data yang terjadi. Tak hanya itu, pelaku yang mencuri atau memanfaatkan data pribadi secara tidak sah harus diproses secara hukum. Saat ini, Kemenkominfo, penegak hukum, BSSN, dan KPU pun tengah berkoordinasi untuk mencari pelaku dan motif pembocoran data.

Menteri Komunikasi dan Informatika Budi Arie Setiadi memberikan keterangan di kantor Kemenkominfo, Jakarta, Jumat (20/10/2023).

”Dalam forum ini, kan, kita tidak mau menyalahkan (salah satu lembaga). Kita sama-sama jaga. Yang pasti pelakunya masih diidentifikasi oleh para penegak hukum,” kata Budi.

Dugaan kebocoran data pemilu kembali muncul setelah akun ”Jimbo” memasarkan 252 juta basis data (database) mentah pemilih 2024 yang diklaim berasal dari situs KPU dalam forum daring BreachForum. Akun itu juga membagikan 500.000 data secara gratis sebagai contoh dan mengunggah beberapa tangkapan layar dari laman https://cekdptonline.kpu.go.id/ untuk memverifikasi kebenaran data tersebut. Data itu dijual senilai 74.000 dollar AS atau sekitar Rp 1,1 miliar.

Secara terpisah, Menteri Koordinator Bidang Politik, Hukum, dan Keamanan Mahfud MD mengatakan, dugaan kebocoran DPT sangat mengagetkan dan memprihatinkan. Ia berharap, KPU mengevaluasi kejadian tersebut dengan membuat sistem kontrol untuk mencegah peretasan data pemilih. Ia juga meminta KPU lebih berhati-hati karena data pemilih sangat krusial dalam penyelenggaraan pemilu.

Saat ditanya apakah kebocoran data pemilih itu akan berpengaruh juga pada potensi kecurangan pemilu, Mahfud menilai kemungkinan belum sejauh itu. Yang perlu dipastikan apakah peretasan itu akan mengganggu proses dan tahapan pemilu. Untuk memastikan bahwa peretasan itu tidak akan berpengaruh pada tahapan dan proses pemilu, penting bagi KPU untuk membuat sistem yang tidak mudah diretas.