Saat Kebocoran Data Makin Ramai, Kajian RUU PDP Belum Jua Usai

Jakarta, FORTUNE – Data bagaikan ‘minyak baru’, Presiden Joko Widodo (Jokowi) beberapa kali mengulangi pernyataan itu ke publik. Itu menggambarkan betapa tingginya nilai data hingga disandingkan dengan komoditas sekelas minyak. Bahkan, menurut sang kepala negara, data dengan validitas tinggi lebih berharga ketimbang minyak.

“Data yang valid menjadi salah satu kunci pembangunan,” begitu katanya pada awal tahun lalu.

Pernyataan Jokowi bukan tanpa basis. Berbagai perusahaan dengan pertumbuhan signifikan—seperti Gojek, Tokopedia, Grab, Bukalapak, Traveloka, dan OVO—mengandalkan data sebagai kunci melahirkan terobosan. Mereka merancang produk yang memecahkan masalah berdasarkan profil, pola perilaku, hingga selera konsumen.

Tak ayal, banyak pihak memburu data, apa pun bentuknya. Pada akhirnya, melesatnya pamor data juga membawa risiko kebocoran, seperti terjadi belakangan ini.

Dewasa ini, berbagai kasus kebocoran data masyarakat menjadi buah bibir. Pada awal September 2021, Nomor Induk Kependudukan (NIK) peserta pemilihan umum presiden 2019 berceceran di media sosial. Karena masalah itu, NIK Jokowi, Ma’ruf Amin, Prabowo Subianto, hingga Sandiaga Uno dapat dengan mudah ditemukan menggunakan mesin pencarian.

Sebulan sebelumnya, beredar dugaan kebocoran 1,3 juta data pengguna e-Hac Kementerian Kesehatan—berdasarkan temuan VPNMentor. Perusahaan jaringan virtual pribadi itu menyatakan telah mengabarkannya kepada Kementerian Kesehatan pada Juli 2021, tetapi gayung tak bersambut. Pada akhirnya, penindaklanjutan baru dilakukan pada 24 Agustus 2021.

Pada Juli 2021, akun Twitter @UnderTheBreach juga mengungkapkan dugaan kebocoran 2 juta data nasabah BRI Life, yang kabarnya peretas sukses mengambil 463.000 dokumen. Ada pula dugaan kebocoran ratusan juta data BPJS Kesehatan yang dikabarkan telah dijual di forum online. Jangan lupa juga dengan dugaan kebocoran data 130.000 pengguna Facebook di Indonesia pada April 2021.

Kominfo mengklaim telah menangani dugaan kebocoran data terhadap 36 PSE (Penyelenggara Sistem Elektronik) sejak 2019 hingga Agustus 2021. 31 di antaranya selesai diinvestigasi, dengan 4 PSE dikenakan sanksi tertulis, 18 PSE mendapat rekomendasi teknis peningkatan sistem dan tata kelola, sedangkan 9 lainnya masih menunggu putusan sanksi.

Mengingat tingginya risiko kebocoran data, sudah saatnya Indonesia memiliki aturan perlindungan data pribadi, seperti General Data Protection Regulation (GDPR) yang berlaku bagi negara-negara Uni Eropa. Dengan peraturan itu, konsumen memiliki kendali atas data pribadi yang mereka setor ke berbagai perusahaan.

Perusahaan wajib menginformasikan kebocoran data kepada konsumen, bahkan harus merinci data apa saja yang terdampak. Melansir laman IT Governance Indonesia, siapapun yang melanggar GDPR akan dikenai denda 20 juta euro atau setara 4 persen dari pendapatan globalnya.

Bagaimana dengan Indonesia? Mengutip laman Direktorat Jenderal Aplikasi dan Informatika (Aptika) Kominfo, Tenaga Ahli Bidang Tata Kelola Aptika Kominfo, Mariam Fatimah Barata mengatakan Indonesia sebetulnya telah memiliki aturan perlindungan data pribadi. Sayangnya, regulasi-regulasi itu belum komprehensif.

Sejauh ini, pengenaan sanksi penyalahgunaan data masih menggunakan Undang-Undang (UU) No.11/2008 yang diubah dalam UU No.19/2016, serta Peraturan Menteri Komunikasi dan Informatika (Kominfo) No.20/2016.

Pertanyaannya, cukup kuatkah dasar-dasar hukum itu bertindak sebagai langkah preventif, penindakan, dan mitigasi kebocoran data pribadi?

Kementerian Kominfo dan DPR RI sepakat, kehadiran Undang-Undang Perlindungan Data Pribadi (RUU PDP) penting, khususnya ketika penggunaan aplikasi digital semakin masif di tengah hantaman wabah. “Semakin maraknya kasus kebocoran data pribadi menegaskan, Indonesia butuh sebuah payung hukum,” ujar Menteri Kominfo, Johnny G. Plate pada awal September 2021.