 |
| Ilustrasi Serangan Siber |
Data pribadi lebih
dari 200 juta orang Indonesia konon telah bocor beberapa waktu lalu
dan dijual secara online, dan hingga sekarang dalam proses
penyelidikan, informasi tersebut menurut sebuah posting di forum online
yang sering dikunjungi oleh peretas.
Kemudian, Juru Bicara Kementerian Komunikasi dan
Informatika RI, Dedy Permadi, Kementerian
menanggapi hal itu dengan mengumumkan siaran pers yang menyebutkan
dugaan data pribadi dari Penyelenggara Jaminan Sosial Kesehatan atau yang
diketahui oleh BPJS.
Sesuai amanat Peraturan Pemerintah Republik
Indonesia Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi
Elektronik, Kementerian telah meminta Direksi BPJS Kesehatan pada Jumat, 21
Mei 2021 (hampir satu tahun lebih yang lalu) untuk mengelola data pribadi yang
diduga bocor untuk proses yang lebih mendalam dengan hasil sebagai berikut:
1.
BPJS akan segera
mengkonfirmasi dan menguji ulang data yang diduga bocor;
2.
Penyidikan yang
dilakukan oleh tim internal BPJS akan selalu dikoordinasikan dengan Kementerian
Komunikasi dan Informatika serta BSSN (Badan Siber Nasional dan Sandi Negara);
3.
BPJS akan
mengambil langkah-langkah keamanan data untuk memitigasi risiko kebocoran data
pribadi yang lebih luas.
Masalah ini pertama kali diangkat dalam tweet oleh Nuice
Media , yang menyertakan tangkapan layar postingan dari utas di
RaidForums, di mana peretas meninggalkan postingan yang terkait dengan
pelanggaran basis data dan dalam beberapa kasus menempatkan kumpulan data untuk
dijual.
Seorang pengguna dengan nama panggilan “kotz” mengaku
memiliki data sebanyak 279 juta orang, termasuk orang yang sudah
meninggal. Dua puluh juta catatan termasuk foto
pribadi. Dilansir KrASIA melihat
snapshot dari data, yang meliputi KTP, informasi pendaftaran pajak, dan nomor
ponsel. Peretas mengklaim di forum bahwa set itu juga mencakup data gaji.
Hukum pokok yang mengatur perlindungan data di
Indonesia adalah Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan
Transaksi Elektronik sebagaimana telah diubah dengan Undang-Undang
Nomor 19 Tahun 2016 (25 November 2016) (Undang-Undang Informasi Transaksi
Elektronik).
Selain Undang-Undang Informasi Transaksi Elektronik,
aturan yang mengatur tentang perlindungan data pribadi juga terdapat
dalam Peraturan Pemerintah Republik Indonesia Nomor 71 Tahun 2019 tentang
Penyelenggaraan Sistem dan Transaksi Elektronik (PP 71/2019) dan Peraturan
Menteri Komunikasi dan Informatika Republik Indonesia Nomor 20 Tahun 2016
tentang Perlindungan Data Pribadi (Permenkominfo Nomor
20/2016). Undang-Undang ITE, PP 71, dan Permenkominfo 20 untuk selanjutnya
secara bersama-sama disebut sebagai “Peraturan Perlindungan Data Pribadi”.
Apakah Ada Undang-Undang Khusus Lainnya yang Mengatur
terkait Perlindungan Data Pribadi?
Perlindungan Privasi dan Data Pribadi Warga Negara
Secara konstitusional dijamin oleh negara, Negara berkewajiban untuk melindungi
privasi dan data penduduk. Sebagaimana amanat Pasal 28G ayat (1)
Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 (UUD NRI
1945) berbunyi:
“Setiap
orang berhak atas perlindungan diri, keluarga, kehormatan, martabat, dan harta
benda yang berada di bawah kekuasaannya, serta atas rasa aman dan perlindungan
dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan
hak asasi manusia.”
Peraturan perundang-undangan tersebut antara lain
melindungi data pribadi di Indonesia, antara lain:
1.
Undang-Undang
Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan
Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas Undang-Undang Nomor 7
Tahun 1992 tentang Perbankan;
2.
Undang-Undang
Nomor 8 Tahun 1997 tentang Dokumen Perusahaan;
3.
Undang-Undang
Nomor 36 Tahun 1999 tentang Telekomunikasi;
4.
Undang-Undang
Nomor 23 Tahun 2006 tentang Administrasi Kependudukan sebagaimana telah diubah
dengan Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang
Nomor 23 Tahun 2006 tentang Administrasi Kependudukan;
5.
Undang-Undang
Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana
telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas
Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik;
6.
Undang-Undang
Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik;
7.
Undang-Undang
Nomor 36 Tahun 2009 tentang Kesehatan;
8.
Undang-Undang
Nomor 43 Tahun 2009 tentang Kearsipan.
Undang - Undang Informasi Transaksi
Elektronik tidak memuat peraturan khusus tentang perlindungan data
pribadi. Hanya saja ketentuan tersebut terdapat pada Pasal 26 ayat
(1) dan penjelasannya Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan
atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi
Elektronik yang berbunyi:
Pasal 26 ayat (1) Undang-Undang Nomor 19 Tahun
2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi
dan Transaksi Elektronik :
Kecuali
ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi
melalui media elektronik yang menyangkut data pribadi seseorang harus
dilakukan atas persetujuan Orang yang bersangkutan.
Penjelasan Pasal 26 ayat (1) Undang-Undang Nomor
19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang
Informasi dan Transaksi Elektronik:
Dalam
pemanfaatan Teknologi Informasi, perlindungan data pribadi merupakan salah satu
bagian dari hak pribadi (privacy rights). Hak pribadi
mengandung pengertian sebagai berikut:
- Hak pribadi merupalan hak untuk menikmati kehidupan
pribadi dan bebas dari segala macam gangguan.
- Hak pribadi merupakan hak untuk dapat berkomunikasi
dengan Orang lain tanpa Tindakan memata-matai.
- Hak pribadi merupakan hak untuk mengawasi akses
informasi tentang kehidupan pribadi dan data seseorang.
Jika data seseorang digunakan tanpa izin yang
bersangkutan, maka orang yang haknya dilanggar dapat mengajukan gugatan
atas kerugian yang ditimbulkan.
Sementara itu, dalam hal penjabaran data elektronik
pribadi, UU ITE mengamanatkan kembali dalam Peraturan Pemerintah Nomor 71 Tahun
2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Pengertian data pribadi terdapat dalam Pasal 1
Angka 29 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan
Sistem dan Transaksi Elektronik:
“Data
Pribadi adalah setiap data tentang seseorang baik yang teridentifikasi dan/atau
dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi
lainnya baik secara langsung maupun tidak langsung melalui Sistem Elektronik
dan /atau nonelektronik.”
Pengertian data pribadi yang telah disebutkan
sebelumnya tidak cukup menjelaskan apa yang termasuk data pribadi, maka kami
akan menjelaskan data pribadi yang diatur dalam Pasal 84 ayat (1)
Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23
Tahun 2006 tentang Administrasi Kependudukan, antara lain:
Data
Pribadi Penduduk yang harus dilindungi memuat:
-
keterangan tentang cacat fisik dan/atau mental;
- sidik
jari;
- iris
mata;
- tanda
tangan; dan
- elemen
data lainnya yang merupakan aib seseorang.
Perlu dicatat bahwa data pribadi warga negara ini
harus disimpan dan dilindungi oleh negara.
Berdasarkan Pasal 2 Undang-Undang Nomor 23
Tahun 2006 tentang Administrasi Kependudukan jo. Undang-Undang
Nomor 24 Tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 Tahun 2006
tentang Administrasi Kependudukan mengatur bahwa:
Setiap
Penduduk mempunyai hak untuk memperoleh:
- Dokumen Kependudukan;
- Pelayanan yang sama dalam Pendaftaran Penduduk dan
Pencatatan Sipil;
- Perlindungan atas Data Pribadi;
- Kepastian hukum atas kepemilikan dokumen;
- Informasi mengenai data hasil Pendaftaran Penduduk dan
Pencatatan Sipil atas dirinya dan/atau keluarganya; dan
- Ganti rugi dan pemulihan nama baik sebagai akibat
kesalahan dalam Pendaftaran Penduduk dan Pencatatan Sipil serta penyalahgunaan
Data Pribadi oleh Instansi Pelaksana.
Sementara itu, Pasal 17 huruf
h Undang-Undang Nomor 14 Tahun 2008 tentang Keterbukaan Informasi Publik mengatur
bahwa setiap badan publik wajib membuka akses bagi setiap pemohon informasi
publik untuk memperoleh informasi publik, kecuali informasi publik yang terbuka
dan diberikan kepada pemohon informasi yaitu:
Informasi
Publik yang apabila dibuka dan diberikan kepada Pemohon Informasi Publik dapat
mengungkap rahasia pribadi, yaitu:
-
riwayat dan
kondisi anggota keluarga;
-
riwayat,
kondisi dan perawatan, pengobatan kesehatan fisik, dan psikis seseorang;
-
kondisi
keuangan, aset, pendapatan, dan rekening bank seseorang;
-
hasil-hasil
evaluasi sehubungan dengan kapabilitas, intelektualitas, dan rekomendasi
kemampuan seseorang; dan/atau
-
catatan yang
menyangkut pribadi seseorang yang berkaitan dengan kegiatan satuan Pendidikan
formal dan satuan pendidikan nonformal.
Indonesia bukan satu-satunya negara yang resah karena
data pribadi warganya akan bocor atau dicuri. Kasus seperti ini juga
dialami oleh negara lain. Mari kita lihat, negara tetangga. TheASEAN
Post melaporkan bahwa data alamat 5.400 Orang Dengan HIV/AIDS (ODHA)
dan data 1,5 juta pasien yang terdapat dalam National Electronic Medical
Records Project di Singapura telah dicuri.
Pada Januari 2019, The Star melaporkan bahwa data
sekitar 1,1 juta mahasiswa dan alumni Universiti Teknologi Mara (UiTM) dari
tahun 2008 hingga 2018 dicuri oleh peretas.
Sementara di Filipina, penyedia jasa keuangan Cebuana
Lhuillier mengatakan data 900 ribu kliennya telah diakses tanpa izin. Apa
yang membuat negara-negara ini berbeda dari Indonesia adalah kenyataan bahwa
mereka telah memiliki Undang-Undang Perlindungan Data Pribadi. Malaysia
telah memiliki Undang-Undang Perlindungan Data Pribadi sejak 2010.
Singapura dan Filipina telah memilikinya sejak 2012.
Negara Asia Tenggara lainnya yang baru-baru ini mengumumkan pemberlakuan
Undang-Undang Perlindungan Data Pribadi di Thailand.
Undang-Undang Perlindungan Data Pribadi Filipina
menyatakan data pribadi sebagai informasi pribadi, yaitu setiap informasi yang
dicatat dalam bentuk material atau tidak, di mana identitas seseorang dapat
secara wajar dan segera dikonfirmasi oleh entitas pemegang informasi.
Bahwa dalam Singapore Personal Data Protection
Act, data pribadi berarti data, baik benar atau tidak, tentang seseorang
yang dapat diidentifikasi melalui data tersebut; atau melalui data dan
informasi lain tersebut, organisasi memiliki atau mungkin memiliki akses ke.
Organisasi yang dimaksud meliputi orang, perusahaan,
perkumpulan atau sekelompok orang, korporasi, baik yang dibentuk atau diakui
menurut hukum Singapura atau berkantor di Singapura.
Menurut ISO27001 — standar internasional dalam menerapkan sistem manajemen
keamanan informasi — telah terpenuhi, tetapi implementasinya kacau seolah-olah
kepatuhan terhadap standar hanya untuk tujuan audit.
Pemerintah juga wajib melakukan pengujian sistem
atau entry testing secara berkala ke seluruh sistem
pemerintahan. Ini merupakan langkah preventif agar celah-celah bisa
ditemukan sejak awal yang harus segera diperbaiki.
Info lebih lanjut Anda dapat mengirimkan ke kami
persoalan Hukum Anda melalui: Link di sini. atau
melalui surat eletronik kami secara langsung: lawyerpontianak@gmail.com atau
langsung ke nomor kantor Hukum Eka Kurnia yang ada di sini.
Terima Kasih.
.png)
