Undang-Undang Perlindungan Data Pribadi (UU PDP) telah disahkan lebih dari satu tahun lalu. Meski demikian, pemerintah mendapatkan kritikan karena urusan perlindungan data dinilai tak kunjung membaik.
Lembaga Studi dan Advokasi Masyarakat (ELSAM) mencatat ada dugaan pelanggaran hukum dari pengungkapan atau kebocoran 668 juta data pribadi. Salah satunya, dari dugaan kebocoran sistem informasi daftar pemilih pada November 2023 lalu.
"Rentetan kasus dugaan insiden kebocoran data pribadi di atas menunjukkan rendahnya atensi pengendali data yang berasal dari badan publik," demikian keterangan tertulis ELSAM, Minggu (28/1).
Beberapa dugaan kebocoran yang disinggung ELSAM antara lain:
1. Dugaan kebocoran 44 juta data pribadi dari aplikasi MyPertamina pada November 2022.
2. Dugaan kebocoran 15 juta data dari insiden BSI pada Mei 2023.
3. Dugaan kebocoran 35,9 juta data dari MyIndihome pada Juni 2023.
4. Dugaan kebocoran 34,9 juta data dari Direktorat Jenderal Imigrasi pada Juli 2023.
5. Dugaan kebocoran 337 juta data Kementerian Dalam Negeri pada Juli 2023.
6. Dugaan kebocoran 252 juta data dari sistem informasi daftar pemilih di Komisi Pemilihan Umum pada November 2023.
ELSAM mengatakan badan publik terutama institusi pemerintah memang menekankan inovasi untuk transformasi pelayanan publik ke digital. Namun hal tersebut dinilai tak dibarengi langkah-langkah pengamanan dalam pemrosesan data.
"Ini berbeda dengan pola yang terjadi di banyak negara dengan hukum perlindungan data pribadi yang telah mature," kata ELSAM.
Mereka juga menyoroti adanya kesalahan dalam memahami pemberlakukan UU PDP. Pemerintah menyatakan UU ini berlaku dua tahun setelah diundangkan yakni 2024.
UU ini diundangkan pada 17 Oktober 2022 dan langsung berlaku saat diundangkan. Namun, pemerintah dan Dewan Perwakilan Rakyat memberikan masa transisi selama 2 tahun.
"Hal ini menjadi alasan tidak bertindak secara layak ketika terjadi dugaan insiden kebocoran data pribadi," kata ELSAM.
ELSAM juga meminta pemerintah menyiapkan aturan teknis yang lebih jelas dalam perlindungan data pribadi. Mereka menilai Rancangan Peraturan Pemerintah Tentang Peraturan Pelaksanaan UU PDP banyak mengulang materi pasal yang sama.
Salah satu yang menjadi sorotan adalah frasa “sesuai ketentuan peraturan perundangundangan” yang hampir ditemukan di semua bab. "Penggunaan frasa tersebut dalam beberapa pasal cenderung tidak jelas, sehingga berpotensi menimbulkan kebingungan dalam pelaksanaan RPP ini," demikian keterangan mereka.
Sedangkan Kementerian Komunikasi dan Informatika mengatakan lembaga perlindungan data pribadi ditargetkan terbentuk tahun ini. Badan pengawas Undang-Undang Pelindungan Data Pribadi atau UU PDP ini ditargetkan beroperasi selambatnya pada Oktober 2024.
“Targetnya mid term. Badan ini harus beroperasi Oktober sesuai UU PDP,” kata Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan informatika atau Kominfo Semuel A Pangerapan dalam acara Ngopi Bareng Kominfo di Press Room Kominfo, Jumat (26/1).