Qnews.co.id, JAKARTA – Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha mengingatkan bahwa bulan depan, tepatnya 18 Oktober 2024 menjadi hari pertama Undang-Undang Pelindungan Data Pribadi (UU PDP) diberlakukan, setelah ditetapkan dan disahkan pada 17 Oktober 2022.
“UU itu telah memberikan waktu selama 2 tahun untuk Pengendali Data Pribadi serta Prosesor Data Pribadi dan pihak lain yang terkait dengan pemrosesan data pribadi untuk melakukan penyesuaian,” kata Pratama dalam keterangannya, Rabu (18/9).
UU PDP telah memberikan kerangka hukum yang lebih jelas mengenai pengumpulan, penggunaan, dan penyimpanan data pribadi, serta memberikan sanksi yang lebih tegas bagi pelanggaran.
Namun sangat disayangkan, kata Pratama, Presiden Joko Widodo belum juga membentuk lembaga penyelenggara PDP.
“Apabila presiden tidak segera membentuk lembaga penyelenggara PDP sampai batas waktu 17 Oktober 2024, Presiden Jokowi berpotensi melanggar UU PDP,” ujarnya.
UU PDP secara tegas mengamanatkan presiden untuk membentuk lembaga penyelenggara PDP seperti yang tertera pada pasal 58 sampai dengan pasal 61 yang mengatur tentang kelembagaan UU PDP.
Pelindungan Data Pribadi masuk ke dalam pelindungan hak asasi manusia karena merupakan amanat Pasal 28G ayat (1) Undang-Undang Dasar Tahun 1945 yang menyatakan, ‘Setiap orang berhak atas perlindungan data pribadi, keluarga, kehormatan, martabat, dan harya benda yang dibawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.’
“Dengan tidak adanya lembaga penyelenggara PDP yang dapat memberikan sanksi, maka perusahaan atau organisasi yang mengalami kebocoran data pribadi seolah-olah abai terhadap insiden keamanan siber,” jelas Pratama.
Bahkan jika perusahaan yang mengalami kebocoran data tidak mempublikasikan insiden tersebut, maka dianggap melanggar Pasal 46 ayat 1, UU no 27 Tahun 2022 tentang Pelindungan Data Pribadi.
“Dimana UU tersebut mengatur bahwa dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada subjek data pribadi dan lembaga,” terang Pratama.
Adapun data yang perlu diungkapkan sebagaimana tertuang dalam Pasal 46 ayat 2 UU PDP yaitu minimal terkait data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap dan upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh Pengendali Data Pribadi.
Aspek hukum lainnya, kata Pratama, adalah Pasal 47 yang menjelaskan pengendali data pribadi memiliki kewajiban untuk membuktikan pemenuhan kewajiban dalam menerapkan prinsip-prinsip pelindungan data pribadi.
“Sehingga pengendali data pribadi yang mengalami insiden kebocoran data wajib memberikan klarifikasi hasil investigasi serta apa saja metode keamanan yang dipergunakan agar dapat menjamin keamanan data pribadi yang dikendalikannya,” katanya.
Selain itu, aspek hukum lainnya adalah ancaman terhadap pelanggaran UU PDP, seperti Pasal 57 ayat (2) yang mengatur denda administratif paling tinggi sebesar 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran, serta Pasal 65 ayat (1) yang mengatur pidana penjara paling lama 5 (empat) tahun atau denda paling banyak 5 milyar rupiah.
Oleh karena itu, pembentukan lembaga penyelenggara PDP merupakan sebuah urgensi yang harus segera diselesaikan oleh pemerintah, terutama jika dilihat dari 3 (tiga) perspektif.
Perspektif pertama adalah keamanan siber, karena pembantukan lembaga penyelenggara PDP akan memberikan perlindungan kepada data sensitif, memberikan pencegahan terhadap serangan siber, melakukan penegakan hukum terhadap pelanggaran, peningkatan kesadaran dan edukasi, kolaborasi dengan pihak terkait serta meningkatkan kepercayaan investor serta konsumen.
Perspektif kedua adalah keamanan nasional, dimana lembaga penyelenggara PDP memberikan perlindungan infrastruktur kritis di Indonesia, mencegah spionase dan mata-mata digital, membangun ketahanan terhadap ancaman siber, serta mengurangi kerentanan terhadap serangan asimetris atau perang siber.
Perspektif terakhir adalah ketahanan nasional dimana lembaga penyelenggara PDP harus menjaga kedaulatan negara dan kedaulatan ekonomi, meningkatkan stabilitas sosial serta menjamin kontinuitas operasional yang menyangkut layanan kepada masyarakat luas.
Oleh karena itu, lembaga penyelenggara PDP yang dibentuk diharapkan sesuai dengan best practice yang ada, di antaranya adalah harus memiliki wewenang dan kewenangan yang kuat untuk mengatur, mengawasi dan menegakkan kepatuhan terhadap standar keamanan data pribadi.
“Lembaga penyelenggara PDP harus secara teratur melakukan penilaian risiko terhadap data pribadi yang diolah oleh organisasi publik dan swasta,” ujarnya.
Lembaga penyelenggara PDP juga harus melakukan audit dan pemeriksaan independen terhadap kepatuhan organisasi atas kebijakan dan dan standar keamanan data pribadi.
Berikutnya, lembaga penyelenggara PDP harus mendorong penggunaan teknologi enkripsi dan pengamanan data lainnya untuk melindungi data pribadi dari akses yang tidak sah.
Lembaga penyelenggara PDP juga harus menyiapkan organisasi untuk memiliki rencana terperinci untuk mendeteksi, merespon, dan memulihkan diri dari serangan siber.
“Selain itu, lembaga penyelenggara PDP harus bisa mendorong organisasi untuk melaporkan insiden keamanan siber kepada pihak berwenang sesuai dengan regulasi yang berlaku,” paparnya.
Hal lain yang perlu diperhatikan oleh pemerintah tidak hanya terkait kelembagaan saja, namun juga penting menunjuk pemimpin yang memiliki kompetensi untuk memimpin lembaga penyelenggara PDP.
“Karena kepemimpinan yang memiliki kompetensi tinggi sangatlah krusial mengingat tantangan ruang siber semakin kompleks dan beragam sehingga memerlukan pemimpin yang memahami berbagai aspek keamanan siber termasuk ancaman yang berkembang, teknologi terbaru, dan regulasi terkait,” katanya.
Pemimpin yang berkompeten akan dapat memimpin tim dengan efisien serta mampu merespons dengan cepat dan tepat dalam mengidentifikasi, menganalisis, dan merespons ancaman siber yang muncul dalam menghadapi ancaman siber yang terus berubah.
“Kepemimpinan yang kompeten dan efektif akan bisa meningkatkan kepercayaan publik terhadap kemampuan negara dalam melindungi warga dan infrastruktur dari ancaman siber,” pungkasnya
