Kasus kebocoran data pribadi di Indonesia jumlahnya tak sedikit. Perusahaan swasta, Badan Usaha Milik Negara (BUMN), sampai lembaga pemerintahan sempat mengalami kebocoran data pribadi. Untuk itu, diperlukan mekanisme penanganan kebocoran data pribadi di setiap instansi melalui standar operasional prosedur (SOP).

Maraknya kasus membuat Indonesia berada dalam situasi darurat kebocoran data pribadi. Hal itu yang menjadi salah satu sebab pemerintah dan DPR menerbitkan UU No.27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP). Mengutip draf RPP tentang Peraturan Pelaksana UU 27/2022 terkait ketentuan pemrosesan data pibadi dalam hal penyimpanan data, pengendali data pribadi dimandatkan untuk menerapkan pencegahan kegagalan perlindungan data pribadi melalui 3 cara. Pertama, menerapkan enkripsi dan/atau penyamaran data. Kedua, membuat salinan cadangan terhadap data pribadi. Ketiga, melakukan enkripsi dan/atau penyamaran data terhadap salinan cadangan data pribadi.

Pengendali data pribadi perlu menetapkan dan melaksanakan kebijakan, prosedur, dan/atau pedoman mengenai pencegahan dan penanganan kegagalan pelindungan data pribadi yang paling sedikit memuat pembagian peran dan tanggung jawab penanganan kegagalan pelindungan data pribadi. Mekanisme untuk melakukan analisis, klasifikasi, prioritasisasi, pemantauan, penanganan, dan penyelesaian kegagalan pelindungan data pribadi, termasuk pascakejadian.

Kemudian dokumentasi penanganan kegagalan pelindungan data pribadi dan mekanisme pelaporan kepada subjek data pribadi dan lembaga PDP (pemerintah). Serta peninjauan dan pembaruan berkala proses penanganan kegagalan pelindungan data pribadi. PDN atau Pusat Data Nasional yang dimaksud merupakan pusat data yang diatur di dalam Perpres SPBE. Pusat data adalah fasilitas yang digunakan untuk penempatan sistem elektronik dan komponen terkait lainnya untuk keperluan penempatan, penyimpanan dan pengolahan data, dan pemulihan data. PDN sendiri merupakan bagian dari infrastruktur SPBE nasional, yaitu infrastruktur SPBE yang terhubung dengan infrastruktur SPBE instansi pusat dan pemerintah daerah dan digunakan secara bagi pakai oleh instansi pusat dan pemerintah daerah.

Adapun, yang dimaksud dengan infrastruktur SPBE (Sistem Pemerintahan Berbasis Elektronik) merupakan semua perangkat keras, perangkat lunak, dan fasilitas yang menjadi penunjang utama untuk menjalankan sistem, aplikasi, komunikasi data, pengolahan dan penyimpanan data, perangkat integrasi/penghubung, dan perangkat elektronik lainnya. Secara struktur, PDN terdiri atas pusat data yang diselenggarakan oleh Menteri Komunikasi dan Informatika (Menkominfo) dan/atau pusat data instansi pusat dan pemerintah daerah yang memiliki persyaratan tertentu. Tanpa adanya konsekuensi pidana dan perdata yang tegas, instansi pemerintah mungkin merasa bahwa mereka tidak ada kewajiban hukum dalam mengambil tindakan preventif yang lebih serius.

Paradigma ini harus berubah dan masyarakat sipil harus tegas meminta pertanggungjawaban pemerintah atas seluruh kebocoran data yang terjadi di lembaga pemerintah. Apa tanggung jawab Pemerintah atas Kebocoran Data Pribadi?

Tanggung Jawab Pemerintah atas Kebocoran Data Pribadi

Kebocoran data pribadi yang terjadi akibat hacking, menurut UU PDP disebut dengan istilah kegagalan pelindungan data pribadi, yaitu kegagalan melindungi data pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan data pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap data pribadi yang dikirim, disimpan, atau diproses. Jika merujuk pada ketentuan dalam UU PDP, Kominfo tergolong sebagai pengendali data pribadi yang berbentuk badan publik, sehingga tunduk pada UU PDP.

Adapun pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi. Selanjutnya, yang dimaksud dengan badan publik yaitu lembaga eksekutif, legislatif, yudikatif dan badan lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara, yang sebagian atau seluruh dananya bersumber dari APBN dan/atau APBD, atau organisasi nonpemerintah sepanjang sebagian/seluruh dananya dari APBN dan/atau APBD, sumbangan masyarakat, dan/atau luar negeri.

Kemudian, pengendali data pribadi mempunyai kewajiban untuk mencegah kebocoran data pribadi dengan melindungi keamanan data pribadi dari pengaksesan dan pengungkapan yang tidak sah, penyalahgunaan, perusakan dan/atau penghilangan data pribadi. Jika terjadi kebocoran data pribadi, maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3×24 jam kepada penggunanya (subjek data pribadi) dan lembaga yang menyelenggarakan data pribadi.

Pemberitahuan tersebut harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi tersebut bocor (terungkap), serta upaya penanganan serta pemulihan atas terungkapnya data pribadi. Jika kebocoran data pribadi tersebut hingga mengganggu pelayanan publik dan/atau berdampak serius terhadap kepentingan masyarakat, maka pemerintah, dalam hal ini Kominfo, harus mengumumkan kegagalan pelindungan data pribadi (kebocoran) tersebut kepada masyarakat. Selain diatur dalam UU PDP, kebocoran data pribadi yang diselenggarakan oleh pemerintah juga diatur di dalam PP 71/2019.

Pemerintah atau penyelenggara negara dalam PP 71/2019 tergolong sebagai penyelenggara sistem elektronik lingkup publik. Jika kemudian terjadi kebocoran data pribadi (kegagalan pelindungan data pribadi) yang dikelolanya, maka penyelenggara sistem elektronik, termasuk dalam hal ini adalah pemerintah, wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut.

“Waspada dalam memberikan data pribadi kita, karena negara sekalipun belum tentu bisa menjamin data kita tidak bocor. Oleh karena itu kita sebagai pemilik data pribadi harus bijak dalam hal ini. Kalau bukan kita siapa lagi, mari kita mulai dari diri kita, keluarga dan lingkungan sekitar. Agar data kita tidak terancam bocor ke oknum yang tidak bertanggung jawab tentunya”

Pemberitahuan secara tertulis apabila terjadi kegagalan pelindungan rahasia data pribadi tersebut harus memenuhi ketentuan dalam Pasal 28 huruf c Permenkominfo 20/2016 sebagai berikut: harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia data pribadi;

1. dapat dilakukan secara elektronik jika pemilik data pribadi telah memberikan persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan data pribadinya;
2. harus dipastikan telah diterima oleh pemilik data pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
3. pemberitahuan tertulis dikirimkan kepada pemilik data pribadi paling lambat 14 hari sejak diketahui adanya kegagalan tersebut.

Apabila penyelenggara sistem elektronik tidak memberitahukan secara tertulis kepada pemilik data pribadi, maka dapat dikenai sanksi administratif berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan/atau dikeluarkan dari daftar.

Adapun, sanksi administratif ini diberikan oleh Menteri yang menyelenggarakan urusan pemerintahan di bidang komunikasi dan informatika. Begitu pula di dalam UU PDP, jika pengendali data pribadi tidak memberitahukan pemberitahuan tertulis, maka dapat dikenai sanksi administratif berupa:peringatan tertulis; penghentian sementara semua kegiatan pemrosesan data pribadi; penghapusan atau pemusnahan data pribadi; dan/atau denda administratif dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.

Selain itu tanggung jawab pemerintah selaku pengendali data pribadi untuk melakukan pemberitahuan tertulis jika ada kebocoran data pribadi, Pasal 12 UU PDP menegaskan bahwa subjek data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan. Ketentuan lebih lanjut mengenai pelanggaran pemrosesan data pribadi dan tata cara pengenaan ganti ruginya diatur di dalam peraturan pemerintah nantinya.

Namun demikian, terkait dengan siapa yang bertanggung jawab atas bocornya data pribadi ini harus dicek kembali kebocoran data pribadi tersebut terjadi atas kesalahan siapa. Hal ini karena dalam kebocoran data pribadi, belum tentu kesalahan dari entitasnya. Perlu diperiksa kembali, apakah pengendali data pribadi sudah mematuhi ketentuan pemrosesan data pribadi dan apakah telah melaksanakan ketentuan keamanan data pribadi. Jika kemudian masyarakat akan mengajukan gugatan, maka harus dibuktikan terlebih dahulu kebocoran data pribadi itu ada unsur kelalaian/kesalahan pemerintah atau tidak.

Semoga dengan diberlakukannya UU PDP ini menjadi tonggak sejarah baru. Undang-Undang nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) ini telah resmi berlaku mulai 17 Oktober 2024. Kehadiran UU PDP ini diharapkan dapat memberikan payung hukum yang kuat dalam melindungi privasi warga Indonesia, terutama di era digital saat ini.