RealitaKita – Pakar keamanan siber, Pratama Persadha, menyoroti ketidakjelasan pembentukan lembaga pengawas Pelindungan Data Pribadi yang seharusnya sudah dibentuk sebelum 17 Oktober 2024.
Berbagai insiden siber yang terjadi di Indonesia belakangan ini, seperti serangan ransomware terhadap sistem PDN, penjualan data pribadi dari Inafis, BAIS, Kemenhub, KPU, serta pencurian data 4,7 juta ASN dari BKN, memperlihatkan betapa rentannya sistem pelindungan data. Insiden terbaru adalah dugaan kebocoran data Dirjen Pajak oleh pihak yang dikenal sebagai Bjorka.
Pratama menjelaskan bahwa kebocoran data ini turut memperburuk situasi penipuan, termasuk penggunaan data curian untuk mengambil pinjaman online serta penyebaran iklan-iklan berisi ajakan bermain judi online.
Baca Juga:Kebocoran 6 Juta Data NPWP, Ancaman Besar bagi Keamanan PublikSetup iPhone Mirroring di MacBook, Rahasia Produktivitas yang Wajib Dicoba
Pratama, yang juga merupakan Ketua Lembaga Riset Keamanan Siber CISSReC, menyatakan bahwa salah satu faktor penyebab maraknya kebocoran data adalah belum adanya sanksi administratif atau denda yang tegas bagi perusahaan atau organisasi yang mengalami insiden kebocoran data. Sanksi-sanksi ini, menurutnya, hanya bisa dijatuhkan oleh lembaga atau komisi yang dibentuk oleh pemerintah, dalam hal ini Presiden.
Lebih lanjut, Pratama mengingatkan bahwa pada 18 Oktober 2024 akan menjadi hari pertama diberlakukannya Undang-Undang Pelindungan Data Pribadi (UU PDP), yang disahkan pada 17 Oktober 2022. UU ini memberikan waktu dua tahun bagi pengendali dan prosesor data pribadi untuk menyesuaikan diri dengan regulasi yang berlaku.
UU PDP tersebut memberikan landasan hukum yang jelas terkait pengumpulan, penggunaan, dan penyimpanan data pribadi, serta menetapkan sanksi tegas bagi pelanggaran. Namun, hingga saat ini Presiden Joko Widodo belum juga membentuk lembaga yang bertanggung jawab atas pelaksanaan UU tersebut.
Jika lembaga ini tidak dibentuk sebelum 17 Oktober 2024, Presiden berpotensi melanggar UU PDP. Pratama menambahkan bahwa tanpa adanya lembaga pengawas ini, perusahaan atau organisasi yang mengalami kebocoran data cenderung mengabaikan insiden tersebut dan tidak memberikan laporan yang sesuai, padahal hal ini melanggar pasal 46 ayat 1 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.
UU PDP mewajibkan pengendali data pribadi untuk memberitahukan insiden pelanggaran secara tertulis kepada subjek data pribadi dan lembaga terkait paling lambat 3 x 24 jam setelah insiden terjadi. Pengendali data juga diwajibkan mengungkapkan informasi minimal mengenai data yang bocor, kapan dan bagaimana data tersebut terungkap, serta upaya penanganan yang telah dilakukan.