Serangkaian insiden kebocoran data pribadi yang melibatkan lembaga-lembaga penting di Indonesia telah menimbulkan kekhawatiran serius. Mulai dari serangan ransomware pada sistem PDN, penjualan data oleh peretas anonim bernama MoonzHaxor yang melibatkan data Inafis, BAIS, Kemenhub, KPU, hingga kebocoran data Dirjen Pajak oleh Bjorka. Insiden-insiden ini juga berdampak pada peningkatan penipuan berbasis data pribadi yang bocor, seperti pengambilan pinjaman online ilegal dan penawaran judi online.
Situasi ini semakin mengkhawatirkan dengan belum terbentuknya Lembaga Penyelenggara Pelindungan Data Pribadi (PDP), yang seharusnya dibentuk oleh Presiden Joko Widodo sesuai amanat Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Lembaga ini sangat penting untuk memberikan sanksi administratif dan denda terhadap organisasi yang mengalami kebocoran data pribadi.
Berdasarkan UU PDP yang akan mulai berlaku pada 18 Oktober 2024, lembaga tersebut harus dibentuk sebelum batas waktu 17 Oktober 2024. Jika tidak, Presiden Jokowi berpotensi melanggar UU ini. Pasal 58 hingga Pasal 61 UU PDP menyatakan bahwa pembentukan lembaga ini adalah kewajiban Presiden, seperti dijelaskan pada Pasal 58 ayat 3 yang berbunyi: “Lembaga sebagaimana pada ayat (2) ditetapkan oleh Presiden.”
Risiko Kebocoran Data yang Belum Terkendali
Pengamat keamanan siber yang juga merupakan Chairman Lembaga Riset Keamanan Siber (CISSReC), Pratama Persadha menjelaskan bahwa belum adanya lembaga yang mampu memberikan sanksi tegas membuat organisasi cenderung mengabaikan kewajiban mereka dalam melaporkan kebocoran data.
“Perusahaan atau organisasi yang mengalami kebocoran data seolah-olah abai terhadap insiden tersebut, padahal menurut UU PDP Pasal 46, Pengendali Data Pribadi wajib melaporkan insiden paling lambat 3 x 24 jam setelah kebocoran terjadi,” jelas Pratama dalam keterangan persnya kepada inilah.com, Rabu (18/9/2024).
Tanpa lembaga pengawas, risiko kebocoran data akan semakin besar, dan organisasi tidak akan mendapatkan sanksi tegas yang diatur dalam UU PDP. Dalam Pasal 57 ayat (2), UU PDP mengatur denda administratif hingga 2 persen dari pendapatan tahunan organisasi yang melanggar, dan Pasal 65 ayat (1) menetapkan ancaman pidana penjara hingga 5 tahun atau denda maksimal Rp5 miliar.
Urgensi Pembentukan Lembaga Penyelenggara PDP
Pembentukan Lembaga Penyelenggara PDP merupakan langkah mendesak yang harus segera dilakukan untuk memastikan perlindungan data pribadi. Dari perspektif keamanan siber, lembaga ini akan memberikan perlindungan terhadap data sensitif, mencegah serangan siber, dan meningkatkan kepercayaan konsumen serta investor.
Selain itu, lembaga ini juga memiliki peran penting dalam melindungi infrastruktur kritis nasional, mencegah spionase digital, serta menjaga stabilitas dan kedaulatan negara di tengah ancaman perang siber.
“Keberadaan lembaga ini juga akan menjamin bahwa perusahaan dan organisasi yang mengendalikan data pribadi bertanggung jawab atas keamanan data yang mereka kelola,” tambahnya.
Lembaga yang dibentuk diharapkan memiliki kewenangan kuat untuk mengawasi, menilai risiko, dan menegakkan standar keamanan data. Selain itu, penting bagi lembaga ini untuk mendorong penggunaan teknologi enkripsi dan pengamanan data yang lebih baik guna melindungi data pribadi dari akses tidak sah.
Pemimpin Kompeten untuk Lembaga PDP
Tidak hanya pembentukan lembaga, penunjukan pemimpin yang kompeten dan berpengalaman dalam keamanan siber juga menjadi faktor kunci. Pratama menekankan pentingnya memilih pemimpin yang memahami ancaman siber yang terus berkembang dan mampu memimpin tim secara efektif dalam merespons insiden.
“Kepemimpinan yang kompeten akan mampu meningkatkan kepercayaan publik terhadap kemampuan negara dalam melindungi warga dan infrastruktur dari ancaman siber,” tutup Pratama.