Kebocoran data registrasi SIM Card: RUU PDP harus jadi jawaban dan publik harus berpartisipasi

ZONAUTARA.com – Menanggapi insiden kebocoran data registrasi SIM card serta proses pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) yang sedang berlangsung, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) mendorong Pemerintah dan DPR untuk memastikan adanya partisipasi publik yang bermakna sebelum dan sesudah RUU PDP disahkan.

KA-PDP memandang penting agar Indonesia memiliki pondasi UU PDP yang baik guna menopang kesiapan Indonesia untuk mengimplementasikannya kelak secara sederhana dan bermakna bagi sektor privat, sektor publik, serta beragam kalangan masyarakat di Indonesia di era transformasi digital saat ini.

Mengenai insiden kebocoran data registrasi SIM Card, sebagai latar belakang, tahun 2016 lalu, Kementerian Komunikasi dan Informatika (Kominfo) mengeluarkan sebuah regulasi terkait dengan kewajiban pelanggan jasa telekomunikasi untuk mendaftarkan mendaftarkan SIM card-nya dengan memasukkan Nomor Induk Kependudukan (NIK). Aturan tersebut kini telah dicabut dan digantikan dengan Permenkominfo Nomor 5 Tahun 2021 tentang Registrasi Pelanggan Jasa Telekomunikasi.

Pada aturan tersebut, Kominfo menjamin keamanan data pribadi yang dikumpulkannya dengan mendalilkan telah menerapkan ISO 27001. Akan tetapi, pada Rabu, 31 Agustus 2022 lalu, terjadi insiden kebocoran data di mana akun peretas Bjorka menjual 1,3 miliar data pribadi warga Indonesia yang didapat dari Kominfo, yaitu NIK, nomor telepon, penyelenggara telekomunikasi, dan tanggal registrasi. Data tersebut diperjualbelikan di sebuah forum peretas.

Kominfo merilis Siaran Pers Nomor 377/HM/KOMINFO/09/2022 pada 1 September 2022 yang menyatakan secara sepihak bahwa “data tersebut tidak berasal dari Kementerian Kominfo”.

Sebagai catatan, kebocoran data pribadi yang dialami oleh sektor publik juga pernah terjadi pada Komisi Pemilihan Umum (KPU), Komisi Perlindungan Anak Indonesia (KPAI), dan Kementerian Kesehatan (Kemenkes).

Insiden kebocoran data registrasi SIM card ini menunjukkan bahwa Kementerian dan Lembaga di Indonesia menjalani dua peranan, yaitu sebagai entitas yang turut mengatur dan mengimplementasikan isu PDP sekaligus sebagai pelaku pemrosesan data pribadi.

Hal ini berarti Indonesia memerlukan Otoritas Pengawas Pelindungan Data Pribadi (Otoritas PDP) yang memiliki kompetensi sekaligus bisa secara adil melaksanakan tugas dan kekuasaannya untuk mengawasi kegiatan pemrosesan data yang dilakukan termasuk oleh atau untuk sektor publik.

Oleh karena itu, keberadaan RUU PDP harus memastikan kehadiran Otoritas PDP yang independen. Tanpa otoritas PDP yang independen, Indonesia akan mengalami kesulitan dalam membangun kepercayaan masyarakat dan mendorong akselerasi transformasi digital yang berkesinambungan di negara ini.

Sementara itu, KA-PDP mendapatkan informasi bahwa RUU PDP terbaru belum mengatur kelembagaan Otoritas PDP yang independen. Kewenangan utama penyelenggaraan pelindungan data pribadi dan pengawasannya ada pada pemerintah (Pasal 58 ayat 1) .

Kemudian, pemerintah akan menurunkannya pada sebuah “lembaga” yang nantinya akan ditetapkan oleh Presiden (Pasal 58 ayat 2 dan 3) dan lembaga tersebut juga akan bertanggung jawab kepada presiden (Pasal 58 ayat 4).

Nampak bahwa bakal Otoritas PDP di Indonesia adalah sebuah lembaga yang berada pada kaki pemerintah. Sementara itu, pemerintah akan memiliki dua persona, yaitu sebagai pengawas sekaligus yang diawasi.

RUU PDP juga perlu secara saksama mengatur isu-isu krusial yang berdampak pada beragam kalangan masyarakat, seperti pada uang lingkup data pribadi spesifik dan mekanisme pelindungannya; pendefinisian usia anak; pengaturan terkait pengendali data gabungan serta penghapusan sanksi pidana dan pengenaan sanksi denda administratif secara berjenjang (berdasarkan skala usaha pengendali data)

Selain itu dampak lainnya adalah kewajiban pengendali dan pemroses data serta hak-hak subjek data serta pengaturan pengecualian pemrosesan data pribadi yang menjunjung tinggi pelindungan subjek data.

Berangkat dari pertimbangan di atas, KA-PDP mendorong beberapa poin berikut:

1. Pemerintah dan DPR harus memastikan adanya partisipasi publik yang bermakna sebelum RUU PDP disahkan;
2. Melalui partisipasi publik yang bermakna, Pemerintah dan DPR harus memastikan pengaturan dalam RUU PDP adalah baik dan layak untuk kelak undang-undang ini menjadi payung regulasi isu PDP di Indonesia;
3. Melalui partisipasi publik yang bermakna, Pemerintah dan DPR harus memastikan keberadaan pengaturan Otoritas PDP yang independen dan kompeten dalam RUU PDP;
4. Pemerintah harus melakukan upaya dan tindakan secara serius, transparan, dan akuntabel dalam penanganan kasus kebocoran data pribadi SIM card, termasuk memberikan notifikasi kepada subjek data yang terdampak;
5. Melalui partisipasi publik yang bermakna, Indonesia juga sudah harus memikirkan dan memulai langkah-langkah persiapan implementasi RUU PDP dengan dapat merujuk kepada “Peta Jalan Tata Kelola Pelindungan Data Pribadi”.