Data Diduga Bocor di Dark Web, BSI Bisa Didenda dalam Aturan UU PDP?
Data Bank Syariah Indonesia atau BSI diduga bocor di situs gelap atau dark web. Bila terjadi kebocoran data, apakah Badan Usaha Milik Negara (BUMN) ini bisa didenda sesuai ketentuan UU Pelindungan Data Pribadi? Berapakah potensi dendanya?
Kelompok peretas Rusia, LockBit mengunggah data yang diklaim milik Bank Syariah Indonesia atau BSI. Hal ini diketahui dari unggahan perusahaan keamanan teknologi yang berbasis di Singapura, Fusion Intelligence Center @DarkTracer di Twitter.
DarkTracer mengunggah tangkapan layar atau screenshot yang menunjukkan data-data diduga milik BSI bocor, di antaranya:
- Operasional
- Pendanaan
- Transaksi
- Basis data
Tertulis bahwa data-data diduga milik BSI itu diretas selama 8 Maret – 15 Mei. "Hentikan penggunaan BSI. Orang-orang ini tidak tahu bagaimana melindungi uang dan informasi pribadi Anda dari penjahat," tulis LockBit sebagaimana dikutip dari tangkapan layar tersebut, Selasa (16/5).
Corporate Secretary Bank Syariah Indonesia Gunawan A Hartoyo mengatakan perusahaan akan bekerja sama dengan otoritas terkait dalam menangani dugaan data BSI bocor.
Ia memastikan dana dan data nasabah aman. “Nasabah dapat bertransaksi secara normal,” kata Gunawan dalam keterangan pers, Selasa (16/5).
BSI melakukan langkah preventif penguatan sistem keamanan teknologi informasi terhadap potensi gangguan data, dengan peningkatan proteksi dan ketahanan sistem.
Selain itu, melakukan investigasi internal dan terus berkoordinasi dengan pihak-pihak terkait, baik Badan Siber dan Sandi Negara (BSSN), Otoritas Jasa Keuangan (OJK), Bank Indonesia (BI), serta instansi lainnya.
BSI Bisa Didenda karena Data Bocor?
Berdasarkan UU Pelindungan Data Pribadi atau UU PDP yang disahkan oleh DPR dalam rapat paripurna akhir tahun lalu (20/9/2022), perusahaan yang melanggar dapat dikenakan denda hingga triliunan rupiah.
Pasal 70 berbunyi, dalam hal tindak pidana dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.
Pidana yang dapat dijatuhkan terhadap korporasi hanya pidana denda. Besarannya, paling banyak 10 kali dari maksimal pidana denda yang diancamkan.
Selain itu, ada sanksi administratif bagi pengendali data yang melanggar. Pengendali data pribadi yakni setiap orang atau badan publik atau organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan pengendalian atas pemrosesan data pribadi.
Itu artinya, sanksi administratif berlaku juga untuk korporasi dan kementerian atau lembaga (K/L) yang menentukan tujuan dan melakukan pengendalian atas pemrosesan data pribadi.
Rincian ancaman hukuman atas pelanggaran data pribadi dapat dilihat pada Infografik di bawah ini:
Jika menghitung denda administratif 2% dari pendapatan tahunan saja, maka BSI berpotensi didenda Rp 384 miliar. Sebab pendapatan bank syariah ini Rp 19,2 triliun tahun lalu.
Namun UU Pelindungan Data Pribadi baru akan berlaku penuh dua tahun sejak diundangkan pada 17 Oktober 2022. Itu artinya, berlaku pada 17 Oktober 2024.
Selain itu, perlu pemeriksaan lebih lanjut mengenai benar tidaknya data bocor dan apakah ada data pribadi pengguna yang terkena dampak.