:
Oleh Norvantry Bayu Akbar, Senin, 4 Mei 2020 | 10:21 WIB - Redaktur: DT Waluyo - 2K
Jakarta, InfoPublik - Akhir pekan lalu, tepatnya Sabtu (02/05/2020) malam, warganet dikejutkan sebuah kabar yang menyebut adanya kasus pencurian 15 juta data pengguna salah satu marketplace di Indonesia, Tokopedia. Bahkan, info terakhir menyebut jumlah data yang dicuri justru lebih banyak mencapai 91 juta.
Akun Twitter @underthebreach yang pertama mengungkap kebocoran itu. Akun yang mengaku sebagai layanan pengawasan dan pencegahan kebocoran data asal Israel itu, mengunggah tangkapan layar soal data pribadi pengguna Tokopedia yang bocor, yakni berupa e-mail, hash password, nama, alamat, nomor telepon, dan sebagainya.
Merespons isu ini, Tokopedia mengakui memang ada upaya pencurian data pengguna. Kendati demikian, Tokopedia memastikan informasi penting seperti password dan data pembayaran tetap terlindungi.
Kementerian Komunikasi dan Informatika (Kemkominfo) selaku regulator pun telah meminta Tokopedia melakukan tiga, yakni segera melakukan pengamanan sistem untuk mencegah meluasnya pencurian data, memberitahu pengguna yang kemungkinan data pribadinya dicuri, dan melakukan investigasi internal untuk memastikan dugaan pencurian data serta mencari tahu penyebabnya.
Pasalnya, Tokopedia sebagai Penyelenggara Sistem Elektronik (PSE) memiliki kewajiban memenuhi Standar Pelindungan Data Pribadi yang tertuang dalam Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 Tentang Penyelengaraan Sistem Dan Transaksi Elektronik, serta Peraturan Menkominfo Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.
Saat ini, dugaan pencurian data pengguna Tokopedia tengah ditangani dengan menggunakan Undang-Undang Nomor 11 Tahun 2008 Tentnag Informasi dan Transaksi Elektronik (ITE) dan PP Nomor 71 Tahun 2019.
Kasus pencurian data pelanggan bukan hanya terjadi kali ini saja. Tahun lalu, misalnya, kasus serupa juga dialami salah satu marketplace lainnya di Indonesia, Bukalapak. Peretas asal Pakistan, Gnosticplayers, mengklaim telah meretas puluhan situs populer, termasuk salah satunya Bukalapak.
Gnosticplayers mengungkapkan ada 13 juta akun pengguna Bukalapak yang telah diretas dan dijual di Dream Market, sebuah situs jual beli di dark web. Seperti Tokopedia, pihak Bukalapak juga mengakui adanya usaha peretasan pada situsnya.
Maka itu, guna mencegah kejadian ini terus berulang, Pemerintah bersama Dewan Perwakilan Rakyat (DPR) terus mengupayakan percepatan pengesahan Rancangan Undang-Undang (RUU) Pelindungan Data Pribadi (PDP) yang masuk dalam daftar Program Legislasi Nasional (Prolegnas) Prioritas 2020.
Pemerintah pun telah mengirim Surat Presiden (Supres) kepada DPR dan saat ini proses politik di DPR sedang berjalan.
Urgensi UU PDP
Bila RUU yang masuk ke meja DPR pada 24 Januari 2020 lalu ini telah menjadi UU, maka Indonesia akan menjadi negara kelima di Asia Tenggara yang memiliki aturan terkait pelindungan data pribadi. Sebelumnya, ada Singapura, Malaysia, Thailand, dan Filipina. Sementara di tingkat dunia, Indonesia bisa menjadi negara ke-127 dari 126 negara yang telah memiliki aturan yang biasa disebut sebagai General Data Protection Regulation (GDPR) itu.
UU PDP ini nantinya akan menjadi standar pengaturan nasional tentang pelindungan data pribadi, baik data pribadi yang berada di Indonesia maupun data pribadi warga negara Indonesia yang berada di luar negeri. Jangkauannya sendiri akan berlaku untuk sektor publik (pemerintah) maupun sektor swasta (perorangan maupun korporasi, baik yang badan hukum maupun tidak badan hukum).
Setidaknya ada empat unsur penting yang menjadi perhatian pemerintah dalam UU ini, yakni data sovereignty (kedaulatan data) dan data security (keamanan data) demi kepentingan keamanan negara, pelindungan data owner (pemilik data, baik data pribadi maupun data spesifik lainnya yang sudah diatur secara jelas dalam draf RUU PDP), data user (pengguna data) yang membutuhkan data akurat dan terverifikasi dengan baik, serta pengaturan lalu lintas data, khususnya antarnegara, atau cross-border data flow.
Selain itu, RUU PDP juga memuat beberapa substansi pengaturan yang esensial untuk memberikan pelindungan terhadap masyarakat. Sehingga, ketika sudah disahkan, UU ini dapat menjadi kerangka regulasi yang lebih kuat serta dapat memayungi ketentuan perundang-undangan lain yang terkait dengan data pribadi namun masih tersebar ke beberapa sektor.
Kemkominfo sendiri sejak 2016 telah berusaha mengisi kekosongan regulasi yang komprehensif terkait pelindungan data pribadi dengan mengeluarkan Peraturan Menkominfo Nomor 20 tahun 2016 tentang Pelindungan Data Pribadi Dalam Sistem Elektronik. Namun demikian, peraturan tersebut dinilai masih belum memadai.
Sanksi Kebocoran dan Penyalahgunaan Data
Berdasarkan data Kemkominfo, RUU PDP terdiri atas 15 bab dan 72 pasal. Bab-bab yang terkandung di dalamnya adalah ketentuan umum, jenis data pribadi, hak pemilik data pribadi, pemrosesan data pribadi, kewajiban pengendali data pribadi dan prosesor data pribadi dalam pemrosesan data pribadi, dan transfer data pribadi.
Kemudian sanksi administratif, larangan dalam penggunaan data pribadi, pembentukan pedoman perilaku pengendali data pribadi, penyelesaian sengketa dan hukum acara, kerja sama internasional, peran pemerintah dan masyarakat, ketentuan pidana, ketentuan peralihan, dan ketentuan penutup.
Seperti halnya harapan masyarakat, Pemerintah juga berharap RUU PDP ini dapat segera dibahas bersama DPR sehingga menjadi UU yang bisa memayungi masyarakat dari kebocoran dan penyalahgunaan data pribadi.
Namun demikian, apabila setelah disahkan menjadi UU dan kebocoran serta penyalahgunaan data pribadi tetap terjadi, pada Bab XIII dalam draf RUU yang bisa diunduh di laman Kemkominfo itu telah memuat ketentuan pidana yang terdiri atas sembilan pasal.
Pasal 61 ayat (1), misalnya, menyebutkan bahwa setiap orang yang dengan sengaja memperoleh atau mengumpulkan data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian Pemilik Data Pribadi sebagaimana dimaksud dalam Pasal 51 ayat (1) dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp50 miliar.
Sementara ayat (2) berbunyi setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (2) dipidana dengan pidana penjara paling lama dua tahun atau pidana denda paling banyak Rp20 miliar.
Sedangkan ayat (3) berisi setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 51 ayat (3) dipidana dengan pidana penjara paling lama tujuh tahun atau pidana denda paling banyak Rp70 miliar.
Kemudian Pasal 62 menyatakan setiap orang yang dengan sengaja dan melawan hukum memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual di tempat umum atau fasilitas pelayanan publik yang dapat mengancam atau melanggar pelindungan data pribadi sebagaimana dimaksud dalam Pasal 52, dipidana dengan pidana penjara paling lama satu tahun atau pidana denda paling banyak Rp10 miliar.
Selanjutnya dalam Pasal 63 disebutkan setiap orang yang dengan sengaja dan melawan hukum menggunakan alat pemroses atau pengolah data visual yang dipasang di tempat umum dan/atau fasilitas pelayanan publik yang digunakan untuk mengidentifikasi seseorang sebagaimana dimaksud dalam Pasal 53 dipidana dengan pidana penjara paling lama satu tahun atau pidana denda paling banyak Rp10 miliar.
Pasal 64 yang memuat dua ayat menyebutkan bahwa setiap orang yang dengan sengaja memalsukan data pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain sebagaimana dimaksud dalam Pasal 54 ayat (1) dipidana dengan pidana penjara paling lama enam tahun atau pidana denda paling banyak Rp60 miliar.
Selain itu, setiap orang yang dengan sengaja menjual atau membeli data pribadi sebagaimana dimaksud dalam Pasal 54 ayat (2) dipidana dengan pidana penjara paling lama lima tahun atau pidana denda paling banyak Rp50 miliar.
Selain dijatuhi pidana sebagaimana dimaksud dalam Pasal 61 sampai dengan Pasal 64, pada Pasal 65 menyatakan terhadap terdakwa juga dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.
Selanjutnya, Pasal 66 mengatur mengenai pihak mana saja yang dapat dikenakan pidana. Dalam ayat (1) disebutkan, dalam hal tindak pidana sebagaimana dimaksud dalam Pasal 61 sampai dengan Pasal 64 dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.
Kemudian ayat (2) menyebutkan pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Sementara ayat (3) menyebutkan pidana denda yang dijatuhkan kepada korporasi paling banyak tiga kali dari maksimal pidana denda yang diancamkan.
Terakhir, ayat (4) menyatakan, selain dijatuhi pidana denda sebagaimana dimaksud pada ayat (2), korporasi dapat dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, pelarangan permanen melakukan perbuatan tertentu, penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, dan pembayaran ganti kerugian.
Keberadaan UU ini memang merupakan suatu keniscayaan, bahkan keharusan yang tidak dapat ditunda-tunda lagi karena sangat mendesak bagi berbagai kepentingan nasional.
Selain itu, keberadaan UU ini juga merupakan amanat dari Pasal 28 G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 yang menyatakan bahwa setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi. (FOTO: istimewa)