Pemerintah dan Dewan Perwakilan Rakyat (DPR) melanjutkan pembahasan daftar inventarisasi masalah (DIM) Rancangan Undang-undang Perlindungan Data Pribadi (RUU PDP) pada hari ini (30/11). Salah satu yang disepakati yakni pengguna bisa menggugat perusahaan, jika terjadi pelanggaran pemrosesan data pribadi.
Itu diatur dalam pasal 13 RUU PDP yang berbunyi, “subjek data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan perundang-undangan,” demikian tertulis dalam dokumen hasil pembahasan DPR, Senin (30/11).
Dengan begitu, perusahaan yang mengelola data pengguna seperti e-commerce Tokopedia hingga Bukalapak, maupun teknologi financial (fintech) bisa digugat jika terjadi kebocoran data. “Pelakunya bisa dituntut di pengadilan, sementara perusahaan dapat digugat,” kata Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika (Kominfo) Semuel Abrijani Pangerapan saat rapat dengan Komisi I di Gedung DPR, Jakarta.
Pasal tersebut berubah dibandingkan rancangan awal yang berbunyi, “pemilik data pribadi berhak menuntut dan menerima ganti rugi atas pelanggaran data pribadi miliknya sesuai dengan ketentuan perundang-undangan,” demikian dikutip dari draf RUU PDP yang terdiri dari 39 halaman.
“Ini bicara menggugat, jadi penyelesaiannya bisa bermacam-macam,” kata Semuel. “Ini karena ada kewajiban melindungi data. Kalau ini bocor ya itu kelalaian mereka.”
Rerata anggota Komisi I DPR sepakat dengan pasal tersebut. Sedangkan fraksi PPP menilai perlu ada kepastian kapan pemilik data pribadi bisa merima ganti rugi, yakni setelah ada keputusan hukum yang mengikat dari lembaga berwenang.
Pada tahun ini, terjadi beberapa kasus kebocoran data. Sebanyak 91 juta data pengguna Tokopedia dikabarkan bocor pada awal Mei lalu (2/5). CEO Tokopedia William Tanuwijaya pun menyurati para pengguna layanannya dan mengakui bahwa ada pencurian data oleh pihak ketiga.
Pada bulan yang sama, ada peretas yang mengklaim telah mendapatkan 1,2 juta data pengguna Bhinneka. Kemudian lebih dari 800 ribu data nasabah fintech Kredit Plus bocor di forum internet pada Juli. Informasi yang bocor berupa nama, KTP, alamat e-mail, status pekerjaan dan lainnya.
Kemudian 2,9 juta data pengguna fintech agregator Cermati bocor pada bulan ini. Informasi yang diretas berupa nama lengkap, e-mail, alamat, nomor ponsel, rekening, pekerjaan, nomor induk kependudukan (NIK), nomor pokok wajib pajak (NPWP) hingga nama ibu kandung pengguna. Data ini dijual US$ 2.200.
Riset Palo Alto Networks menyebutkan bahwa 66% dari 400 responden menilai platfom e-commerce berpotensi dibobol. Lalu 62% menyebut, sistem pembayaran digital berpeluang diretas.
Responden yang disurvei menjabat posisi manajemen perusahaan terkait teknologi informasi (IT) di Thailand, Indonesia, Filipina, dan Singapura. Survei dilakukan selama 6-15 Februari lalu.
Pakar informasi dan teknologi (IT) menilai, RUU PDP juga perlu memuat perihal hukuman. “Kalau tidak, esensi regulasi ini bukan melindungi rakyat, tetapi pemilik layanan,” kata Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha kepada Katadata.co.id, Juli lalu (10/7).
Tanpa aturan terkait sanksi, UU PDP sama seperti Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE). "UU ITE tidak bisa digunakan untuk menindak PSTE yang lalai," kata Pratama.
Pada Pasal 30 UU ITE ayat 1 hingga 3 misalnya, melarang setiap orang dengan sengaja dan tanpa hak mengakses komputer dan/atau sistem elektronik orang lain, untuk memperoleh informasi maupun menjebol sistem pengamanan.
Bagi yang melanggar Pasal 30 ayat 1, akan didenda Rp 600 juta. Sedangkan yang melanggar Pasal 30 ayat 2 dan 3 didenda Rp 700 juta dan Rp 800 juta. Ini diatur dalam Pasal 46.
Jika pelanggaran itu merugikan orang lain, maka pelaku bisa dipidana penjara paling lama 12 tahun dan/atau denda maksimal Rp 12 miliar.
(Revisi: pada judul Pukul 17.32 WIB, 30 November)