Jakarta (pilar.id) – Direktur Eksemutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar menilai, masa transisi Undang-undang Pelindungan Data Pribadi (UU PDP) rawan memunculkan pembiaran kebocoran pribadi.
Beberapa hari ini, publik dihebohkan dengan rentetan dugaan kebocoran data pribadi yang melibatkan dua entitas strategis, karena mengelola hajat hidup banyak orang dan fungsi pelayanan publik, selain jumlah data yang dibocorkan juga sangat signifikan.
Setelah dugaan kebocoran 44,237 juta data pribadi yang dikelola oleh aplikasi MyPertamina, di bawah PT Pertamina, masyarakat kembali dikejutkan dengan dugaan kebocoran 3,250 miliar data yang berasal dari aplikasi PeduliLindungi, yang dikelola Kementerian Kesehatan sebagai aplikasi contact tracing.
“Rangkaian insiden kebocoran data pribadi tersebut sejatinya menunjukkan belum siapnya pengendali data, khususnya yang berasal dari badan publik, untuk memastikan pemenuhan seluruh kewajiban sebagai pengendali data, sebagaimana diatur dalam UU No. 27/2022 tentang Pelindungan Data Pribadi,” kata Wahyu, Rabu (16/11/2022).
Sebab, kata dia, salah satu prinsip dalam pemrosesan data pribadi yang diakui dalam UU PDP adalah prinsip integritas dan kerahasiaan, yang diimplementasikan dengan adanya kewajiban untuk memastikan keamanan pemrosesan, menjaga kerahasiaan, dan kewajiban pemberitahuan (notification) jika terjadi kebocoran.
Setiap pengendali/pemroses data juga harus menerapkan langkah-langkah teknis dan organisasi untuk memastikan tingkat keamanan yang tinggi dalam pemrosesan data pribadi yang dilakukannya.
Langkah-langkah tersebut termasuk: anonimisasi; pseudonimitas; enkripsi data; memastikan sistem dan layanan pemrosesan; menjaga kerahasiaan, integritas, ketersediaan dan ketahanan; memulihkan ketersediaan dan akses ke data jika datanya hilang; dan adanya suatu proses untuk menguji, menilai dan mengevaluasi efektivitas tindakan untuk menjamin keamanan pemrosesan data.
Sayangnya, menurut dia, sejauh ini peraturan pelaksana untuk mengimplementasikan berbagai kewajiban pengendali data yang diatur dalam UU PDP, termasuk pembentukan Lembaga Pengawas Perlindungan Data Pribadi, saat ini masih dalam proses penyusunan.
“Pertanyaannya kemudian, siapa yang bertanggung jawab untuk memastikan kepatuhan pengendali data terhadap standar-standar pelindungan data pribadi, termasuk langkah mitigasi ketika terjadi insiden kebocoran, selama masa transisi UU PDP?” kata dia.
Periode transisi implementasi UU PDP memang menjadi masa kritis dalam hal kepatuhan pengendali data untuk memastikan penerapan standar perlindungan data pribadi, termasuk risiko pembiaran jika terjadi insiden kebocoran data pribadi. Situasi ini terjadi dikarenakan adanya keharusan penyesuaian berbagai regulasi terkait perlindungan data pribadi dengan UU PDP, termasuk kelembagaannya.
Kondisi ini memunculkan pertanyaan apakah keberadaan regulasi saat ini (existing regulation), seperti PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permen PDPSE), masih dapat diterapkan? Siapa lembaga yang bertanggungjawab untuk memastikan pelindungan data pribadi sebelum terbentuknya Lembaga Pengawas PDP?
Secara hukum, untuk menghindari kekosongan hukum dan tetap memastikan jaminan pelindungan data pribadi warga negara, semestinya existing institution (lembaga yang ada saat ini) yang bertanggungjawab dalam pelindungan data pribadi, dalam hal ini Kementerian Komunikasi dan Informatika (Kominfo), tetap secara proaktif mengimplementasikan berbagai peraturan perlindungan data pribadi (PP PSTE dan Permen PDPSE).
Kehadiran UU PDP justru dapat menjadi rujukan tambahan yang dapat mengoptimalkan langkah- langkah perlindungan data pribadi, termasuk respons ketika terjadi insiden kebocoran. Salah satunya, saat ini misalnya adanya kejelasan terkait dengan pengaturan hak subjek data, termasuk dalam hal notifikasi kepada subjek data, ketika terjadi kegagalan dalam perlindungan data pribadi oleh pengendali data.
“Notifikasi ini menekankan pada prinsip without undue delayed, dalam UU PDP diatur dalam rentang waktu 3 x 24 jam, meski sayangnya tidak dijelaskan terhitung semenjak kapan hitungan tersebut berlaku,” ujarnya. (her/hdl)