Disrupsi era digital saat ini tidak hanya membawa dampak positif bagi kehidupan masyarakat, tetapi juga diikuti isu-isu yang perlu ditanggulangi melalui berbagai regulasi. Salah satu isu yang santer terdengar saat ini adalah terkait kebocoran data pribadi.
Kebocoran data pribadi dapat terjadi akibat ulah dari peretas (hacker) yang sengaja menyerang sistem elektronik untuk mencuri data pribadi. Namun kebocoran data juga kerap terjadi karena kejadian tidak sengaja / insisdental. Kebocoran data pribadi yang disebabkan oleh serangan hacker, biasanya dilakukan dengan akses ilegal pada suatu sistem elektronik. Akses ilegal dilakukan oleh hacker untuk mendapatkan data pribadi user dan menggunakannya untuk tujuan-tujuan ilegal. Bahkan tak jarang hacker menjual data-data pribadi melalui forum jual-beli online.
Dalam hal terjadinya kebocoran data seperti ini, PSE dapat berupaya melakukan penanggulangan atas kebocoran data dengan beberapa cara sebagai berikut:
A. Melakukan pelaporan kepada instansi atau lembaga terkait, yaitu Kementerian Komunikasi dan Informatika, serta pihak Kepolisian. Ketentuan ini telah diatur dalam Peraturan Pemerintah No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
- Kementerian Komunikasi dan Informatika
PSE wajib segera melaporkan dalam kesempatan pertama kepada Kementerian Komunikasi dan Informatika dan aparat penegak hukum dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan dari pihak lain terhadap sistem elektronik.[1]
- Kepolisian Republik Indonesia
PSE dapat melapor kepada kepolisian atas dugaan tindak pidana akses ilegal yang dilakukan oleh pihak ketiga ke sistem elektronik miliknya. Tindak pidana akses ilegal terhadap suatu sistem elektronik diatur dalam Pasal 30 jo. Pasal 46 Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik dengan ancaman pidana penjara paling lama 6 hingga 8 tahun dan denda paling banyak Rp. 600.000.000 hingga Rp. 800.000.000 tergantung dengan kejahatan. Pelaporan kepada pihak kepolisian ini dilakukan untuk penegakkan hukum secara pidana dengan harapan menimbulkan efek jera.
B. Pemberitahuan kepada pemilik data pribadi
Jika terjadi kegagalan dalam pelindungan terhadap Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut.[2] Pemberitahuan atas kegagalan perlindungan rahasia data pribadi dalam sistem elektronik yang dikelolanya dilakukan dengan ketentuan sebagai berikut:[3]
- Menyertakan alasan terjadinya kebocoran data;
- Dapat dilakukan secara elektronik apabila pemilik data pribadi telah memberikan persetujuan;
- Pemberitahuan harus dipastikan telah diterima oleh pemilik data pribadi apabila kebocoran data mengandung potensi kerugian bagi pemilik data pribadi; dan
- Pemberitahuan tertulis disampaikan paling lambat 14 hari sejak diketahuinya peristiwa kebocoran data pribadi.
Pemberitahuan tersebut dilakukan untuk memungkinkan pemilik data pribadi mengambil langkah-langkah yang diperlukan untuk meminimalisir kerugian yang mungkin dapat terjadi. Langkah-langkah yang dapat dilakukan pemilik data pribadi setelah menerima pemberitahuan dapat berupa penggantian kata sandi akun, mengeluarkan akun dari perangkat yang terhubung, dan/atau menghapus data.
Adapun kebocoran data pribadi yang terjadi akibat kejadian yang sifatnya insidental dapat berupa ketidak sengajaan atau di luar kendali dari si Pengendali Data (Data Controller), seperti contoh berikut ini:
- Hilang atau dicurinya Laptop atau Handphone yang memuat data-data pribadi user dari suatu perusahaan Penyelenggara Sistem Elektronik;
- Staf dari perusahaan yang menyelenggarakan sistem elektronik mengirimkan email pada alamat yang salah;
- Seorang pemilik data pribadi dengan tanpa kehati-hatian mem-posting KTP di social media; dll.
Kebocoran akibat kejadian insidental seperti di atas tidak mungkin dapat diketahui secara pasti oleh Penyelenggara Sistem Elektronik. Kehilangan perangkat yang memuat data pribadi tidak berarti telah terjadi kebocoran data. Hal ini dikarenakan misalnya perangkat tersebut telah terenkripsi dan tidak dapat diakses oleh orang lain, walaupun tetap tidak menutup kemungkinan bagi orang lain dengan kemampuan meretas untuk mengakses perangkat tersebut. Perangkat yang hilang tersebut juga mungkin tidak pernah ditemukan oleh orang lain, sehingga data-data pribadi yang ada di dalamnya tetap aman.
Risiko kebocoran data pribadi yang timbul akibat kejadian-kejadian insidental haruslah dapat ditanggulangi. Sayangnya, langkah-langkah yang harus dilakukan PSE untuk menanggulangi risiko terjadinya kebocoran data pribadi tidak dijelaskan secara jelas dalam peraturan perundang-undangan yang berlaku saat ini. Namun, langkah-langkah penanggulangan atas risiko kebocoran data pribadi dilakukan berdasarkan aturan internal perlindungan data pribadi miliknya seperti diwajibkan dalam Pasal 5 ayat (1), dan ayat (2) Permenkominfo 20/2016 yang berbunyi sebagai berikut:
Pasal 5
- Setiap Penyelenggara Sistem Elektronik harus mempunyai aturan internal perlindungan Data Pribadi untuk melaksanakan proses sebagaimana dimaksud dalam Pasal 3.
- Setiap Penyelenggara Sistem Elektronik harus menyusun aturan internal perlindungan Data Pribadi sebagai bentuk tindakan pencegahan untuk menghindari terjadinya kegagalan dalam perlindungan Data Pribadi yang dikelolanya.
PSE dapat menyusun langkah-langkah penanggulangan atas risiko terjadinya kebocoran data pribadi dalam aturan internal perlindungan data pribadi, misalnya dengan:
- Secepatnya melakukan penghapusan data jarak jauh (remote wipe) atas data-data yang ada dalam perangkat yang hilang atau dicuri;
- Melakukan pemberitahuan kepada pemilik data pribadi atas adanya risiko kebocoran data pribadi.
Kesimpulan
Penyelenggara Sistem Elektronik berkewajiban untuk melindungi kerahasiaan data pribadi pengguna yang ada pada sistem elektronik yang dikelolanya. Penyelenggara Sistem Elektronik juga memiliki kewajiban untuk membuat aturan internal perlindungan Data Pribadi sebagai bentuk tindakan pencegahan. Dalam hal terjadi kebocoran data pribadi, Penyelenggara Sistem Eelektronik memiliki kewajiban untuk melakukan upaya penaggulangan seperti segera melaporkannya kepada lembaga pemerintah terkait seperti Kementerian Komunikasi dan Informatika, serta pemberitahuan kepada pemilik data pribadi. Selain itu, Penyelenggara Sistem Elektronik dapat melaporkan kepada pihak kepolisian jika ada dugaan tindak pidana akses ilegal ke dalam sistem elektroniknya.
Namun sebenarnya, kita sebagai pemilik data pribadi juga harus aktif melakukan upaya-upaya untuk mencegah terjadinya kebocoran data pribadi kita sendiri. Dengan kasus kebocoran data pribadi yang marak terjadi akhir-akhir ini, pemilik data pribadi tidak bisa hanya mengandalkan peran dari Penyelenggara Sistem Eelektronik saja. Pemilik data pribadi dapat melakukan beberapa upaya pencegahan seperti rutin mengganti kata sandi akun dan menggunakan two step verification/authentication pada setiap akun miliknya.
Catatan kaki:
[1] Pasal 24 ayat (3) PP 71/2019
[2] Pasal 14 ayat (5) PP 71/2019
[3] Pasal 28 Huruf C Permenkominfo 20/2016