Konten dari Pengguna

Refleksi Akhir Tahun: Akuntabilitas Negara dalam Perlindungan Data Pribadi

Hanif Abdul Halim
Seorang mahasiswa master di Utrecht Law School. Peneliti di PSHKI UII dan konsultan hukum di beberapa perusahaan. Ia juga aktif menjadi pemerhati Hukum Bisnis, Perlindungan Data Pribadi, Privasi Anak, dan Hukum Teknologi Digital.
23 Desember 2024 11:33 WIB
·
waktu baca 8 menit
comment
0
sosmed-whatsapp-white
copy-link-circle
more-vertical
Tulisan dari Hanif Abdul Halim tidak mewakili pandangan dari redaksi kumparan
Sumber: https://www.freepik.com/free-photo/hand-holding-cloud-system-with-data-protection_17121563.htm#fromView=search&page=1&position=15&uuid=8aaf10df-a5e6-431b-a766-830311ab9214&new_detail=true
zoom-in-whitePerbesar
Sumber: https://www.freepik.com/free-photo/hand-holding-cloud-system-with-data-protection_17121563.htm#fromView=search&page=1&position=15&uuid=8aaf10df-a5e6-431b-a766-830311ab9214&new_detail=true
ADVERTISEMENT
Menjelang akhir tahun 2024, Indonesia menghadapi momen refleksi yang penting terkait keamanan data nasional. Serangan ransomware terhadap server Pusat Data Nasional (PDN) menjadi peristiwa yang mengguncang kepercayaan publik terhadap sistem pengelolaan data pribadi, khususnya oleh instansi negara pada tahun ini. Perubahan dalam susunan kabinet, termasuk pelantikan Meutya Hafid sebagai Menteri Komunikasi dan Digital, memberikan konteks baru terhadap tantangan pengelolaan data di era transformasi digital ini.
ADVERTISEMENT
Apa yang terjadi di medio tahun ini? Pada Juni 2024, serangan ransomware terhadap PDN mengakibatkan terganggunya lebih dari 230 layanan publik, termasuk kementerian, pemerintah daerah, serta layanan imigrasi dan sertifikasi halal. Pemerintah menolak membayar tuntutan tebusan sebesar 8 juta dolar AS, meskipun kelompok peretas, Brain Cipher, akhirnya memberikan kunci deskripsi secara gratis. Peristiwa ini menyoroti lemahnya sistem perlindungan data di Indonesia dan pentingnya evaluasi menyeluruh terhadap regulasi keamanan data.

Pergeseran Kepemimpinan dan Tanggung Jawab

Dalam Kabinet Merah Putih yang baru dilantik Presiden Prabowo Subianto, Meutya Hafid menggantikan Budi Arie Setiadi sebagai Menteri di Kementerian Komunikasi dan Informasi (Kominfo) yang kini berubah nomenklatur menjadi Menteri Komunikasi dan Digital (Komdigi).
Posisi ini juga didampingi oleh dua Wakil Menteri, yaitu Nezar Patria dan Angga Raka Prabowo, yang berpengalaman di sektor komunikasi dan keamanan digital. Pergeseran ini memberikan harapan akan perhatian yang lebih serius terhadap reformasi keamanan data, terutama dalam implementasi Undang-Undang Perlindungan Data Pribadi (UU PDP) yang disahkan pada 2022 lalu.
ADVERTISEMENT
Pada saat serangan siber itu terjadi, Menteri Budie Arie Setiadi bersama Kepala Badan Siber dan Sandi Negara (BSSN) Hinsa Siburian mengatakan serangan terhadap PDN tersebut merupakan tanggung jawab semua pihak. Setidaknya dari sudut pandang hukum, kita layak untuk tidak setuju!
Mengambil pelajaran dari masyarakat sipil dan mekanisme peradilan Eropa yang kuat, kita mungkin bisa mengajukan pertanyaan penting di sini; bagaimana warga negara Indonesia dapat meminta pertanggungjawaban otoritas (Negara) atas pelanggaran yang belum pernah terjadi sebelumnya tersebut?

Struktur Regulasi dan Tata Kelola PDN

PDN sendiri merupakan sarana yang dimaksudkan untuk digunakan dalam rangka penempatan sistem elektronik dan komponen terkait lainnya untuk keperluan penempatan, penyimpanan data, pengolahan data, dan pemulihan data. PDN dibentuk berdasarkan Peraturan Presiden Nomor 95 Tahun 2018 tentang Sistem Pemerintahan Berbasis Elektronik (Perpres SPBE).
ADVERTISEMENT
Instrumen hukum ini mengamanatkan bahwa PDN nantinya akan menjadi infrastruktur pendukung yang dapat dimanfaatkan bersama oleh pemerintah pusat dan daerah serta untuk menjamin terselenggaranya interoperabilitas data antar instansi pemerintah (Pasal 27 ayat 4). PDN dalam bentuk operasionalnya berada di bawah dua lembaga negara, yaitu Komdigi dan BSSN.
Di satu sisi, Komdigi bertanggung jawab atas kelayakan dan operasional PDN, sedangkan BSSN bertanggung jawab atas aspek keamanan sibernya. Perpres SPBE juga mewajibkan instansi pemerintah pusat dan daerah untuk menggunakan layanannya dalam menyimpan data (Pasal 30 ayat 3). Artinya, data yang dimiliki instansi tersebut tersimpan dalam sistem PDN, termasuk data warga negara.
Kita sekarang wajib melihat Undang-Undang Perlindungan Data Pribadi (UU PDP) nomor 27 tahun 2022 yang baru saja efektif berlaku pada Oktober lalu, ketentuannya sangat relevan dalam konteks serangan ransomware ini terhadap PDN. Menurut undang-undang ini, data pribadi diklasifikasikan ke dalam kategori tertentu, seperti data biometrik dan keuangan, serta kategori umum, termasuk nama, jenis kelamin, dan agama, beserta kombinasinya.
ADVERTISEMENT
Mengingat lembaga-lembaga utama seperti Kementerian Dalam Negeri, Kementerian Sosial, dan Badan Pusat Statistik (BPS) memanfaatkan layanan PDN untuk penyimpanan data, jelas bahwa sejumlah besar data pribadi tersimpan dalam sistem PDN. Data ini kemungkinan besar telah terpengaruh, jika tidak dilanggar, oleh serangan siber baru-baru ini.
Berdasarkan UU PDP, lembaga-lembaga ini termasuk dalam definisi sebagai Pengendali Data, sementara PDN dapat dikategorikan sebagai Pengolah Data yang ditunjuk oleh Pengendali Data untuk mengelola penyimpanan data. Ketika pelanggaran data terjadi, tanggung jawab Pengendali Data dan Pengolah Data harus menjadi fokus utama. Serangan ini menggarisbawahi pentingnya mendefinisikan dan menegakkan tanggung jawab ini dengan jelas untuk memastikan perlindungan dan akuntabilitas masing-masing pihak.
Selain itu, sangat disayangkan bahwa saat serangan terjadi, Menteri Kominfo pada saat itu malah memberikan sejumlah tanggung jawab kepada penyewa, yang terdiri dari lembaga pemerintah pusat dan daerah, karena tidak memelihara cadangan data mereka yang tersimpan di PDN.
ADVERTISEMENT
Namun, penting untuk dicatat bahwa saat ini tidak ada peraturan khusus yang mewajibkan penyewa untuk melakukan pencadangan data. Meskipun terlambat, celah peraturan ini telah diakui oleh Menteri, yang telah berkomitmen untuk menerbitkan Peraturan Menteri yang mewajibkan penyewa PDN untuk menerapkan prosedur pencadangan data.
Merujuk pada logika di atas, UU PDP, misalnya, secara tegas mengatur beberapa langkah yang harus diambil oleh Pengendali Data ketika terjadi kegagalan dalam menjaga keamanan data pribadi yang mereka miliki. Pasal 24, misalnya, mengharuskan Pengendali Data untuk membuat pemberitahuan tertulis kepada subjek data pribadi dan lembaga yang berwenang.
Pemberitahuan ini setidaknya harus mencakup data apa yang bocor, kapan dan bagaimana itu terjadi, dan langkah-langkah yang akan diambil untuk menangani kebocoran tersebut. Sesuatu yang sejauh yang saya teliti belum dilakukan oleh lembaga mana pun termasuk Komdigi. Kegagalan Pengendali Data untuk melaksanakan langkah-langkah ini dapat mengakibatkan sanksi mulai dari administratif hingga denda. Menurut pasal 57, denda yang dapat dikenakan adalah hingga dua persen dari total pendapatan tahunan.
ADVERTISEMENT

Kisah Perlindungan Data di Eropa

Mari kita sejenak melupakan bagaimana pejabat di Indonesia saling lempar tanggung jawab dan mencermati beberapa kasus pelanggaran terhadap perlindungan data di Eropa. Pada tahun 2008, seorang perawat Finlandia yang juga seorang pasien HIV mengajukan pengaduan ke Pengadilan Hak Asasi Manusia Eropa (ECtHR).
Rekan-rekannya mengakses catatan medisnya tanpa izin, yang melanggar hak privasinya berdasarkan Pasal 8 Konvensi Hak Asasi Manusia Eropa. Pengadilan memutuskan mendukung poin penggugat, dengan menyatakan bahwa Finlandia tidak mengambil langkah-langkah yang cukup untuk melindungi catatan medisnya dari akses yang tidak sah.
Dalam kasus penting lainnya, aktivis privasi Austria Max Schrems menggugat Facebook dalam kasus yang terkenal sebagai kasus ‘Schrems I’. Ia berpendapat bahwa pemindahan data pribadinya dari server Facebook di Uni Eropa ke Amerika Serikat tidak cukup melindungi privasinya, terutama dengan adanya program pengawasan AS seperti PRISM.
ADVERTISEMENT
Pengadilan Keadilan Uni Eropa (CJEU) setuju, dan membatalkan Perjanjian Safe Harbor yang telah mengizinkan pemindahan data tersebut, dengan alasan perlindungan yang tidak memadai terhadap pengawasan pemerintah AS. Tidak berhenti di situ, Schrems juga menentang penggunaan Klausul Kontrak Standar (SCC) dalam kasus Schrems II.
CJEU memutuskan bahwa meskipun SCC berlaku, otoritas perlindungan data harus menghentikan transfer data jika negara tujuan (dalam hal ini AS) tidak memastikan perlindungan yang memadai. Pengadilan juga membatalkan EU-US Privacy Shield, penerus Safe Harbor, karena gagal melindungi data warga negara UE dari pengawasan AS.
Selain itu, Otoritas Perlindungan Data Belanda (DPA) menyelidiki TikTok atas pelanggaran privasi yang melibatkan kaum muda dan anak-anak. Mereka menemukan bahwa kebijakan privasi TikTok tidak jelas dan tidak tersedia dalam bahasa Belanda, sehingga melanggar Peraturan Perlindungan Data Umum (GDPR).
ADVERTISEMENT
Pada bulan Juli 2021, TikTok didenda €750.000 atas kelalaian ini. Kasus ini menjadi preseden, yang menyoroti pentingnya praktik data yang transparan dan melindungi privasi anak di bawah umur secara daring.

Pelajaran dari Eropa: Masyarakat Sipil dan Mekanisme Peradilan

Dari kasus-kasus di atas yang telah kita bahas, ada dua hal penting yang dapat diambil: kekuatan masyarakat sipil dan pentingnya sistem hukum yang bekerja sama. Pertama, masyarakat sipil memegang peranan penting dalam memastikan proses peradilan berjalan. Kesadaran hukum di antara masyarakat tampaknya kuat di semua lapisan.
Di Finlandia, seorang individu menggugat pemerintah ke pengadilan atas kelalaiannya. Max Schrems menunjukkan bahwa tindakan kolektif, seperti LSM yang menantang perusahaan besar, dapat memberikan dampak besar dalam menjaga data pribadi. Bahkan dalam kasus TikTok, pemerintah sendiri, melalui DPA Belanda, yang bertindak untuk melindungi privasi warga negara.
ADVERTISEMENT
Kedua, mekanisme peradilan sangat penting untuk meminta pertanggungjawaban para pihak ketika terjadi pelanggaran data. Siapa pun Pengendali Datanya, mereka harus bertanggung jawab jika ada aturan hukum yang tidak dapat mereka penuhi atau bahkan mereka langgar.
Ketika lembaga diminta untuk bertanggung jawab atas kegagalan mereka dalam melindungi data pribadi, hal itu menjadi preseden yang kuat. Hal itu lah yang mengirimkan pesan bahwa menjaga keamanan data pribadi adalah tugas serius yang tidak dapat diabaikan.
Serangan ransomware di tahun ini terhadap PDN Indonesia telah menimbulkan kekhawatiran yang signifikan tentang keamanan sistem manajemen data negara tersebut. Situasi ini menggarisbawahi kebutuhan mendesak akan tindakan perlindungan data yang komprehensif dan akuntabilitas para pelakunya (Pengendali dan Pengolah Data).
ADVERTISEMENT
Pengenalan UU PDP bertujuan untuk menyediakan kerangka hukum yang kuat untuk perlindungan data pribadi, tetapi implementasinya yang efektif tak kalah penting. Lebih jauh, tanggung jawab Pengendali Data dan Pengolah Data harus didefinisikan dengan jelas dan ditegakkan untuk memastikan integritas dan keamanan data pribadi terutama yang mengandung informasi sensitif.
Sebagai kesimpulan, serangan ransomware PDN ini menjadi peringatan bagi Indonesia untuk memperkuat peraturan perlindungan data dan memastikan bahwa semua pemangku kepentingan bertanggung jawab. Komitmen pemerintah untuk mengatasi kesenjangan peraturan dan meningkatkan praktik keamanan data merupakan langkah maju yang positif.
Namun, sangat penting bahwa janji-janji ini diterjemahkan menjadi tindakan konkret untuk melindungi data pribadi jutaan warga negara dan memulihkan kepercayaan publik terhadap sistem manajemen data pribadi masyarakat yang dilakukan oleh aktor negara.
ADVERTISEMENT