Belum lama ini masyarakat ramai membicarakan laporan kebocoran data 1,3 miliar data registrasi SIM Card di Indonesia. Laporan ini disusul dengan munculnya kasus kebocoran data yang melibatkan 105 juta data kependudukan warga negara Indonesia dari KPU yang dijual di forum online “Breached Forums”.[1]

Dampak dari berita kebocoran data tersebut bahkan memunculkan tagar #TuntutKominfo di media sosial Twitter yang sempat menjadi trending topic. Pihak Kementerian Komunikasi dan Informatika melalui telah menyampaikan bahwa kebocoran data tersebut bukan berasal dari Kementrian dan kebocoran data tersebut sedang dalam penyelidikan.[2]

Pelaksanaan perlindungan data pribadi di Indonesia menjadi isu penting bagi stakeholder terkait. Sebenarnya, Pemerintah dan DPR telah membahas Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) sejak Program Legislasi Nasional tahun 2019.  Namun, pertengahan tahun 2022 pembahasan tersebut tidak kunjung selesai.

 

Belum lama ini masyarakat ramai membicarakan laporan kebocoran data 1,3 miliar data registrasi SIM Card di Indonesia. Laporan ini disusul dengan munculnya kasus kebocoran data yang melibatkan 105 juta data kependudukan warga negara Indonesia dari KPU yang dijual di forum online “Breached Forums”.[1]

Dampak dari berita kebocoran data tersebut bahkan memunculkan tagar #TuntutKominfo di media sosial Twitter yang sempat menjadi trending topic. Pihak Kementerian Komunikasi dan Informatika melalui telah menyampaikan bahwa kebocoran data tersebut bukan berasal dari Kementrian dan kebocoran data tersebut sedang dalam penyelidikan.[2]

Pelaksanaan perlindungan data pribadi di Indonesia menjadi isu penting bagi stakeholder terkait. Sebenarnya, Pemerintah dan DPR telah membahas Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) sejak Program Legislasi Nasional tahun 2019.  Namun, pertengahan tahun 2022 pembahasan tersebut tidak kunjung selesai.

Undang-undang Perlindungan Data Pribadi diharapkan dapat menjadi pedoman perlindungan terhadap data pribadi masyarakat dan memberikan kepastian bagi para stakeholder terkait baik pemerintah maupun pihak swasta dalam memperlakukan data pribadi yang dikelolanya.

Bagaimana apabila terjadi kebocoran data pada organisasi atau perusahaan yang kita kelola?

Data Pribadi

Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik mendefinisikan data pribadi sebagai data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya. Berdasarkan regulasi ini, yang disebut dengan data perseorangan pertentu adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan sedangkan pemilik data pribadi adalah individu yang padanya melekat data perseorangan tertentu.

Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 secara khusus mengatur terkait perlindungan data pribadi khusus dalam sistem elektronik. Namun ketentuan-ketentuan dalam Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 dapat menjadi rujukan dalam pelaksanaan perlindungan data pribadi di Indonesia selagi menunggu disahkannya RUU PDP.

Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016 mengatur cakupan perlindungan data pribadi dalam sistem elektronik dalam proses-proses berikut:

  1. perolehan data pribadi,
  2. pengumpulan data pribadi,
  3. pengolahan data pribadi,
  4. penganalisisan data pribadi,
  5. penyimpanan data pribadi,
  6. penampilan data pribadi,
  7. pengumuman data pribadi,DTMP
  8. pengiriman data pribadi,
  9. penyebarluasan data pribadi, dan
  10. pemusnahan data pribadi.

Rangkaian proses dalam suatu sistem elektronik tersebut harus dilandasi dengan asas perlindungan data pribadi yang baik. Setiap proses mulai dari perolehan data pribadi hingga pemusnahannya harus mendapatkan persetujuan pemilik data pribadi. Persetujuan ini adalah berupa pernyataan tertulis baik secara manual dan/atau elektronik yang diberikan oleh pemilik data pribadi setelah mendapatkan penjelasan secara lengkap mengenai proses tersebut di atas.

Penyelenggara sistem elektronik (PSE) adalah setiap orang, penyelenggara negara, badan usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan sistem elektronik secara sendiri-sendiri maupun bersama-sama kepada pengguna sistem elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.

Sebagai pengendali data (data controller), PSE wajib memastikan perlindungan data pribadi yang dikelolanya, mulai dari tahap pengawasan, pencegahan, hingga penaggulangan terjadinya kebocoran data.

Apabila terjadi kegagalan perlindungan seperti kebocoran data pribadi, maka PSE selaku pengendali data harus memberitahukan secara tertulis kepada pemilik data pribadi, dengan ketentuan sebagai berikut:[3]

  1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia data pribadi;
  2. dapat dilakukan secara elektronik jika pemilik data pribadi telah memberikan persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan data pribadinya;
  3. harus dipastikan telah diterima oleh pemilik data pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
  4. pemberitahuan tertulis dikirimkan kepada pemilik data pribadi paling lambat 14 hari sejak diketahui adanya kegagalan tersebut.

Manajemen Penanggulangan Kebocoran Data Pribadi

Suatu organisasi ataupun perusahaan yang mengelola data pribadi perlu memiliki aturan internal yang digunakan sebagai pedoman dalam penanggulangan kebocoran datapPribadi. Aturan internal penanggulangan kebocoran data ini dikenal sebagai Data Breach Management Policy (DTMP). DTMP adalah  pedoman yang berisi kerangka kerja yang menetapkan peran dan tanggung jawab setiap pihak yang terlibat dalam penanggulangan kebocoran data serta berisi petunjuk langkah-langkah yang harus diambil oleh perusahaan jika terjadi kebocoran data. Perusahaan juga harus memastikan setiap pegawainya memahami ketentuan dan cara mengaplikasikan DTMP apabila terjadi kebocoran data.

Beberapa alasan mengapa suatu organisasi atau perusahaan perlu memiliki DTMP adalah:

  1. untuk memenuhi kewajiban hukum berdasarkan Pasal 28 Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016, PSE wajib memiliki aturan internal terkait perlindungan data pribadi yang sesuai dengan ketentuan peraturan perundang-undangan.
  1. untuk mencegah, membatasi, dan/atau mengurangi dampak kerugian akibat terjadinya kebocoran data pribadi.
  2. sebagai bentuk upaya untuk membangun kepercayaan pemilik data pribadi yang datanya dikelola oleh perusahaan.

Kasus kebocoran data yang masih banyak terjadi di Indonesia menjadi peringatan bagi para pengendali data pribadi untuk terus meningkatkan sistem keamanan perlindungan data pribadi yang dikelolanya. Manajemen penanggulangan kebocoran data menjadi hal yang perlu dimiliki setiap organisasi maupun perusahaan dalam rangka memastikan perlindungan data pribadi sekaligus sebagai bentuk legal compliance terhadap peraturan perundang-undangan yang berlaku.

[1] https://tekno.kompas.com/read/2022/09/06/21193067/105-juta-data-kependudukan-warga-indonesia-diduga-bocor-diklaim-dari-kpu?page=all

[2] https://tekno.sindonews.com/read/873801/207/soal-kebocoran-data-pendaftar-kartu-sim-kominfo-bukan-dari-kami-1662084541

[3] Pasal 28 Peraturan Menteri Komunikasi dan Informatika No. 20 Tahun 2016

 

 

R. Yudha Triarianto Wasono, S.H., M.H.

Partner

Contact:

Mail       : yudha@siplawfirm.id

Phone    : +62-21 799 7973 / +62-21 799 7975