Kebocoran Data Berulang, RUU PDP Terganjal Aturan Kelembagaan
Sebanyak 279 juta data penduduk Indonesia bocor yang menjadi peserta BPJS Kesehatan diperjualbelikan di situs dark web Raid Forums. Namun, hingga saat ini Undang-Undang Perlindungan Data Pribadi (UU PDP) yang mengatur soal pelanggaran data pribadi belum juga disahkan.
Anggota Komisi I Dewan Perwakilan Rakyat (DPR) dari Fraksi Partai Golkar Bobby Adhityo Rizaldi mengatakan, DPR masih menemui kendala untuk mengesahkan regulasi itu. "Hal substansial yang belum mencapai kesepakatan adalah belum adanya usulan dari pemerintah terkait kelembagaan badan otoritas independen," ujar Bobby kepada Katadata.co.id, Rabu (2/6).
Padahal, usulan terkait otoritas independen itu akan menjadi rujukan peraturan teknis. Aturan itu juga nantinya mengatur mengenai kewajiban pengendali data baik lembaga publik atau swasta.
"Wacana yang berkembang, bentuk kelembagaan ini apakah seperti di Uni Eropa melalui General Data Protection Regulation (GDPR), tidak di bawah lembaga negara, atau sebaliknya," ujar Bobby.
Selain itu, DPR belum mengesahkan RUU PDP karena masih menunggu penugasan dari Badan Musyawarah (Bamus) DPR RI. "Ini agar bisa dilakukan penjadwalan rapat lanjutan RUU PDP," kata Bobby.
Sedangkan, Bamus belum menugaskan rapat karena terpotong masa reses beberapa bulan lalu. Reses merupakan waktu bagi anggota DPR bertemu dengan konstituen guna menjaring aspirasi masyarakat.
Akibatnya, UU Pelindungan Data Pribadi sulit dikebut selesai sesuai target. Padahal Maret lalu, Komisi I DPR menargetkan RUU PDP rampung Mei.
Target itu pun sebenarnya mundur beberapa kali, dari rencana awal 2019. Kemudian, ditarget selesai November 2020. Lalu molor menjadi Desember 2020, kemudian hingga saat ini belum juga rampung.
RUU PDP mendesak untuk disahkan karena berulangnya peristiwa kebocoran data. Terbaru, sebanyak 279 juta data penduduk Indonesia bocor dan diperjualbelikan di situs dark web Raid Forums.
Akun penjualnya mengklaim data itu berisi Nomor Induk Kependudukan (NIK), nama, alamat, nomor telepon, e-mail, bahkan 20 juta data memiliki foto pribadi. Pembeli bisa menguji kelengkapan data itu dari 100.002 sampel secara gratis, sebelum membeli seluruh data senilai 0,15 per bitcoin (Rp 70 juta-80 juta).
Bobby mengatakan, meski RUU PDP belum disahkan, kejadian kebocoran data seperti yang menimpa BPJS Kesehatan masih bisa diatasi oleh Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) dan regulasi di sektor kesehatan. "Artinya, bukan berarti ada kekosongan hukum," ujarnya.
Hanya saja, yang menjadi kelemahan saat ini adalah tidak adanya otoritas independen yang menindak pelanggaran data pribadi. "Bila tidak ada badan otoritas independen atau lembaga pengawasnya berada dibawah cabang kekuasaan eksekutif, masyarakat hanya bisa pasrah saja," ujarnya.
Kementerian Komunikasi dan Informatika (Kominfo) telah menginvestigasi kebocoran data di Raid Forums identik dengan data BPJS Kesehatan. "Dari sampel itu kami menemukan bahwa data diduga kuat identik dengan data BPJS Kesehatan," ujar Juru Bicara Kementerian Komunikasi dan Informatika Dedy Permadi kepada Katadata.co.id, pekan lalu (21/5).
Kementerian Kominfo juga telah memutus akses ke tautan unduh data dan memblokir Raid Forums. Kemudian, pihak kepolisian juga melakukan pemeriksaan terhadap sistem informasi lembaga asuransi terbesar di Indonesia itu.