Rentetan insiden dugaan kebocoran data pribadi kembali terjadi. Terbaru, giliran data pengguna MyIndihome milik PT Telkom Indonesia (Persero) dan data pemegang paspor milik Direktorat Jenderal Imigrasi.
Merespons kasus kebocoran data tersebut, Lembaga Studi dan Advokasi Masyarakat atau ELSAM mendesak Presiden Joko Widodo untuk memberi atensi khusus dan mempercepat pembentukan lembaga pengawas perlindungan data pribadi. Hal ini sesuai mandat Pasal 58 (3) Undang-undang Perlindungan Data Pribadi atau UU PDP.
"Untuk memastikan pembentukan otoritas PDP yang kuat, sebagai lembaga yang secara langsung bertanggungjawab kepada presiden, dan menjalankan tugas dan fungsi secara optimal," ujar Direktur Eksekutif ELSAM Wahyudi Djafar dalam keterangan tertulis, Jumat (7/7).
Seperti diketahui, data MyIndihome diduga bocor ke publik pada Selasa (26/6). Data yang bocor terdiri dari data IP, alamat email, nomor telepon, nomor Indihome, nama, nomor induk kewarganegaraan atau NIK, jenis perangkat, alamat, dan informasi langganan.
Terduga pelaku peretasan kembali menggunakan identitas Bjorka dan mengklaim telah memiliki akses ke server milik Telkom Indonesia. Peretas juga menjual kumpulan data tersebut seharga US$ 5.000 atau sekitar Rp 75,14 juta.
Dari laman resminya, mereka melampirkan informasi seperti jumlah kapasitas data uncompressed 55 GB dan compressed 7 GB dengan total 35, 9 juta data yang diambil Juni 2023 berformat CSV.
Insiden kedua dialami Direktorat Jenderal Imigrasi pada Rabu (5/7), yakni berupa data pribadi 34 juta pemilik paspor Indonesia. Peretas yang juga menamakan diri sebagai Bjorka ini mengaku memiliki akses informasi, mulai dari nomor paspor, tanggal kadaluwarsa paspor, tempat dan tanggal lahir, jenis kelamin, hingga tanggal terbit paspor.
Peneliti ELSAM Parasurama Pamungkas menilai insiden ini menggambarkan rentannya pelanggaran pelindungan data pribadi yang melibatkan pengendali data badan publik, tidak hanya sektor privat atau korporasi.
Belajar dari insiden yang banyak melibatkan pengendali data badan publik tersebut, menurut Parasurama, desain kelembagaan otoritas pengawas perlindungan data pribadi, yang dimandatkan UU PDP menjadi krusial.
"Hal ini mengingat perannya yang juga harus mengawasi dan memastikan kepatuhan badan publik atau pemerintah terhadap UU PDP, termasuk memberikan sanksi bila terjadi pelanggaran," katanya.
Menurut dia, otoritas PDP sebaiknya tak menjadi bagian kementerian tertentu, melainkan langsung berada di bawah pengawasan presiden. Pasalnya, akan sulit menjamin efektivitas pengawasan dan penegakan hukum, terlebih jika banyak data pribadi yang dikendalikan oleh pemerintah.
Merujuk pada rumusan sanksi yang diatur dalam Pasal 57 UU PDP, badan publik yang melanggar aturan perlindungan data pribadi hanya akan mendapat sanksi administratif dalam bentuk peringatan tertulis, penghentian sementara pemrosesan, dan penghapusan data pribadi.
Dari skema sanksi yang diatur, tidak dimungkinkan penerapan sanksi denda administratif terhadap pengendali data badan publik, apalagi sanksi pidana. Sanksi keras hanya dapat diterapkan terhadap pengendali data perseorangan atau korporasi.
"Dengan ancaman sanksi bagi badan publik yang demikian, tentunya menjadi tantangan besar bagi lembaga pengawas PDP dalam penegakan hukum terhadap sesama instansi pemerintah," katanya.