JAKARTA - Perusahaan keamanan siber Kaspersky Lab melaporkan setidaknya 21 juta data rincian penumpang anak perusahaan Lion Air yakni, Malindo Air dan Thai Lion Air, bocor dan diunggah ke forum daring pada awal September lalu. Data itu berisi informasi pribadi penumpang mencakup detail paspor, alamat rumah hingga tanggal lahir.

Kementerian Komunikasi dan Informatika (Kominfo) baru sebatas memanggil pihak Lion Air untuk mendapatkan klarifikasi terkait insiden kebocoran data tersebut. "Terbatasnya langkah yang dapat diambil oleh Kominfo, salah satunya dikarenakan tidak adanya undang-undang yang secara komprehensif mengatur perlindungan data pribadi di Indonesia," kata Direktur Riset ELSAM Wahyudi Djafar dalam keterangannya kepada Gresnews.com, Senin (23/9).

Wahyudi mendesak pemerintah untuk segera menyerahkan RUU Perlindungan Data Pribadi kepada DPR, guna dilakukan proses pembahasan bersama, dan segera dilakukan pengesahan. Selain itu, mengingat periode DPR yang akan segera berakhir pada akhir September ini, juga penting memastikan kontinuitas pembahasannya pada periode DPR berikutnya.

Lebih jauh, menurutnya, sebagai akibat dari kekosongan hukum ini, Lion Air selaku pengendali data (data controller), terhindar dari kewajiban-kewajiban yang sepatutnya dilekatkan selaku pengendali data pribadi. Secara umum, pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya.

Yakni (1) penerapan pseudonymization dan enkripsi data pribadi, (2) memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan, (3) memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (seperti kebocoran data), (4) menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan (termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs)).

Selain itu, kekosongan hukum juga berdampak pada hilangnya hak-hak pelanggan sebagai subjek data, khususnya hak atas informasi dan hak atas pemulihan serta kompensasi. Dalam hal terjadinya kebocoran, pengendali data berkewajiban untuk memberikan pemberitahuan kepada subjek data dan otoritas perlindungan data pribadi.

Ketentuan ini juga diatur dalam Pasal 15 ayat (2) PP Nomor 82 Tahun 2012, yang menyebutkan: “Jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”. Detailnya, jika terjadi kebocoran pemberitahuan kepada pemilik data mustinya berisi: (1) kategorisasi data pribadi apa saja yang bocor, (2) jumlah subjek data yang terdampak, (3) informasi kontak petugas perlindungan data pribadi yang dapat dihubungi, (4) konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran, dan (5) langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang).

Sampai dengan saat ini kita juga tidak memiliki panduan yang memadai, terkait dengan langkah-langkah penanggulangan ketika terjadi kebocoran, termasuk pihak yang harus melakukan investigasi. Lain halnya dengan Inggris misalnya, ketika terjadi kebocoran 500.000 data penumpang British Airways pada 2018 lalu, maskapai tersebut dikenakan denda hingga 183 juta poundsterling (Rp3 triliun).

Hal ini dimungkinkan karena Inggris memiliki lembaga independen yang menjalankan fungsi pengawasan terhadap perlindungan data, melalui Komisi Informasi Inggris (ICO). Lembaga inilah yang memiliki wewenang untuk menginvestigasi, dan kemudian menjatuhkan sanksi denda bagi perusahaan, sebagai pengendali data. Pelaksanaan investigasi pun dimungkinkan karena sebelumnya British Airways telah memberikan pemberitahuan kepada Komisi, bahwa telah terjadi kebocoran data pribadi penumpangnya. Langkah-langkah penanggulangan ini dimungkinkan, karena adanya hukum perlindungan data yang komprehensif. (G-2) 

BACA JUGA:
Tags