Kebocoran Data Pribadi yang Terus Menerus: Di Mana Mekanisme dan Implementasi Akuntabilitas Proses Data Pribadi?

Penulis: Shita Laksmi, An Nisa Tri Astuti, Intan Fatma Dewi

Pada Rabu, 12 Mei 2021 lalu, sebuah akun di Raid Forums dengan nama pengguna Kotz merilis 240 MB sampel data pribadi dari satu juta penduduk Indonesia. Data tersebut diklaim berasal dari data kependudukan yang disimpan oleh BPJS Kesehatan. Kasus ini baru mencuat ke publik pada Kamis, 20 Mei 2021 dengan perkiraan total kebocoran data sebanyak 279 juta data penduduk Indonesia, yang juga dijual di Raid Forums.

Kasus kebocoran data bukanlah isu baru untuk Indonesia. Kompas mencatat, sepanjang tahun 2020 saja, Indonesia sudah mengalami tujuh kasus kebocoran data pribadi yang bersumber dari beragam entitas. Kebocoran data pribadi terjadi bukan hanya dari entitas bisnis yang didominasi oleh e-commerce dan fintech (Tokopedia, Bhinneka, RedDoorz, Shopback, dan lain lain) tetapi juga entitas pemerintah. Pada Mei 2020 lalu, akun @underthebreach mengungkap kebocoran 200 juta data Daftar Pemilih Tetap (DPT) Pemilu 2014 yang berasal dari server Komisi Pemilihan Umum (KPU).   Data tersebut mencakup sejumlah elemen data pribadi seperti nama lengkap, nomor kartu keluarga, NIK, tempat dan tanggal lahir, serta alamat rumah. Di bulan yang sama, 230 ribu data warga terkait COVID-19 juga diretas dan dijual di Raid Forum. Data yang dijual jauh lebih detail karena mencakup rekam medik pasien COVID-19—termasuk waktu pemeriksaan, gejala, periode sakit, hingga lokasi faskes rujukan.

Data adalah elemen sangat penting dalam era teknologi saat ini. Data, terutama yang berkualitas dan punya makna, adalah mata uang penting bagi inovasi teknologi yang bisa membantu proses pembangunan sebuah negara. Data pribadi, apalagi dengan jumlah 270 juta, adalah salah satu kekuatan, sekaligus kewajiban hukum bagi pemerintah Indonesia untuk melindungi. 

Hak atas privasi dan pelindungan data pribadi telah diakui oleh banyak negara dan organisasi internasional. Hak atas privasi tertuang dalam perjanjian Hak Asasi Manusia (HAM) internasional, khususnya pada Pasal 12 Deklarasi Universal Hak Asasi Manusia dan Pasal 17 Kovenan Internasional tentang Hak Sipil dan Politik. 

Pelindungan hukum menjadi bagian penting dalam perkembangan data pribadi. Tidak serta merta, karena selalu hukum hadir belakangan dari teknologi. Yayasan Tifa (2020) mencatat tiga perkembangan utama di pelindungan data pribadi. Generasi pertama di era pra-internet mengacu pada Panduan tentang Pelindungan dan Arus Lintas Batas Data Pribadi 1980 yang dirilis oleh OECD dan direvisi pada tahun 2013, serta Konvensi Dewan Eropa untuk Pelindungan Individu terkait Pemrosesan Otomatis Data Pribadi (Konvensi 108) yang ditetapkan pada tahun 1981.  Generasi kedua mengacu pada EU Data Protection Directive (1995) dan Protokol Tambahan dari Konvensi 108 (2001). Terakhir, generasi ketiga, kerangka yang menjadi acuan di era internet saat ini adalah Konvensi 108+ dan Regulasi Pelindungan Data Umum Uni Eropa (GDPR). 

Implementasi Pelindungan Data Pribadi 

Sekarang yang menjadi pertanyaan untuk Indonesia, mengingat beragam kasus kebocoran di Indonesia, apa yang harus dilakukan? 

Indonesia bukan tidak memiliki peraturan untuk Pelindungan Data Pribadi. Elsam (2020) mencatat  bahwa Indonesia sebenarnya tidak awam terhadap pelindungan data pribadi. Sudah ada 32 Undang-undang yang terkait dengan data pribadi, walaupun, sayangnya tidak sepenuhnya mengacu pada prinsip pelindungan data pribadi.  

Indonesia juga sudah punya Peraturan Pemerintah No. 71/ 2019 sebagai pengganti PP 82/2012 yang di pasal 14 sudah menyebutkan beberapa prinsip dasar penting dalam pelindungan data pribadi. Misalnya: proses pengumpulan data yang dilakukan secara terbatas serta spesifik; sah secara hukum, adil, dengan sepengetahuan dan pesetujuan dari pemilik data pribadi, proses data yang harus sesuai tujuan serta pentingnya menjaga keamanan data.

Lalu, apa persoalan sebenarnya? Ada beberapa dimensi yang bisa ditelusuri, seperti misalnya terkait dengan tanggung jawab masing-masing entitas pemerintah (Kementerian Komunikasi dan Informatika, BSSN dan Kepolisian). Tapi, tak kalah penting adalah segenap instrumen untuk implementasi data pribadi yang memang perlu kepatuhan dan standar yang jelas untuk semua entitas pengelola data pribadi. Di Indonesia saat ini, persoalan utamanya adalah tidak adanya mekanisme penerapan sanksi dan mekanisme akuntabilitas yang jelas termasuk tugas pokok dan fungsi yang jelas baik untuk pengawas ataupun pengendali data. 

General Data Protection Regulation (GDPR) menjadi rujukan Indonesia menuliskan alur akuntabilitas di titik awal regulasinya. Terdapat enam elemen yang saling bersambung dan tidak terputus. Elemen tersebut diatur dalam GDPR yang juga diadopsi pada Rancangan Undang-Undang Pelindungan Data Pribadi, yaitu:

  1. Keabsahan, keadilan, dan transparansi: data diproses harus dengan dasar hukum, berasas keadilan serta transparan bahkan sebelum data dikumpulkan. 
  2. Batasan tujuan: setelah ada dasar hukum, harus jelas dan spesifik tujuan pengumpulan dan proses data
  3. Minimalisasi data: data yang dikumpulkan terbatas, sesuai tujuan. 
  4. Akurasi data: data yang dikumpulkan harus akurat dan ketika diperlukan, bisa diperbarui dengan segera. 
  5. Retensi: data disimpan dengan jangka waktu tertentu dan jelas. Informasi ini juga diberitahu ke pemilik data
  6. Integritas dan kerahasiaan: ada perilaku aktif dari pengendali data untuk menyimpan data secara aman dan dijaga integritasnya. 

Proses ini yang dilakukan secara sadar, tercatat untuk kemudian bisa dimintai pertanggungjawaban oleh otoritas kapan pun dibutuhkan. Apabila semua proses ini tercatat, maka proses pertanggungjawaban apabila ada kebocoran data, bisa relatif terdeteksi di wilayah mana. BPJS dalam konferensi persnya menyebutkan sudah menggunakan ISO/IEC 27701:2019 tetapi masih terjadi kebocoran karena dinamika luar biasa di peretasan program. ISO 27701 memang mekanisme internal yang penting, tetapi tidak cukup. 

Apa yang bisa ditambahkan dalam proses implementasi pelindungan data pribadi ini? Jawabnya adalah sanksi. Satu hal yang membedakan GDPR dengan rangkaian peraturan pelindungan data pribadi di Eropa sebelumnya adalah besarnya sanksi denda yang diberikan. Ada dua tipe sanksi denda di GPDR. Untuk pelanggaran yang tidak terlalu berat, dendanya bisa mencapai 10 juta Euro atau 2% dari total keuntungan dari tahun sebelumnya (tergantung nilai mana yang besar). Untuk pelanggaran yang berat, sanksinya mencapai 20 juta Euro atau 4% dari total keuntungan tahun lalu. Dengan adanya sanksi yang berat, maka ada keinginan dari para pengendali data pribadi untuk lebih patuh menjaga data pribadi yang dia kelola. Dalam rangkaian peraturan perundangan pelindungan data pribadi di Indonesia, proses dan jenis sanksi mencakup sanksi administratif (Pasal 51) dan sanksi pidana (Pasal 61-69). Namun, RUU PDP belum memiliki mekanisme penegakan sanksi yang jelas tentang siapa lembaga yang berwenang dan memiliki kompetensi untuk melakukan penegakan tersebut. Ketidakpastian dalam pengaturan sanksi dan mekanisme penegakan ini berpotensi melemahkan kekuatan hukum RUU PDP ketika disahkan sebagai undang-undang yang menjadi acuan prinsip pelindungan data di Indonesia. Maka dari itu, pengaturan yang jelas terkait otoritas pelindungan data independen dan mekanisme penegakan yang jelas dan detail menjadi PR besar dalam pembahasan RUU PDP kedepannya.