RUU PDP Belum Adopsi Sanksi Denda Perihal Kebocoran Data
Ilustrasi | Foto: freepik.com
Jakarta, Cyberthreat.id – Pemerintah disarankan untuk memasukkan mekanisme sanksi denda dalam Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP), khususnya terkait dengan kebocoran data di penyelenggara sistem elektronik (PSE).
Jika mengacu kepada regulasi perlindungan data pribadi Eropa (General Data Protectuon Regulation/GDPR), setiap terjadi kebocoran data, perusahaan akan dikenai denda yang sangat besar.
"Sejauh ini saya belum menemukan perundang-undangan di Indonesia yang spesifik mengatur perihal kebocoran data ini," ujar Eryk Budi Pratama, praktisi keamanan siber di salah satu perusahaan konsultan global (Big Four Auditors), saat berbincang dengan Cyberthreat.id, Rabu (6 Mei 2020).
Oleh karenanya, menurut dia, jika tak ada mekanisme denda, pemerintah sulit menjerat PSE untuk dimintai pertanggungjawaban hukum.
Ada tujuh poin dalam ketentuan pidana RUU PDP, menurut Eryk, platform e-commerce sulit dikenai sanksi denda. Alasannya, kebocoran data dianggap sebagai sesuatu hal yang tidak disengaja, tidak dimaksudkan untuk melawan hukum, tidak untuk memalsukan data pribadi, dan tidak untuk menjual atau membeli data pribadi.
Berita Terkait:
- Sebagian Password Pengguna Tokopedia Berhasil Dibobol dan Mulai Dijual
- Soal Kasus Tokopedia, Mana Aksi Pemerintah?
- Komisi I: Tokopedia Wajib Penuhi Standar Keamanan PSE
“Justru, pihak yang akan dikenai denda adalah pihak yang menjual dan membeli data tersebut,” tutur mantan Cybersecurity dan IT Advisory di PwC, perusahaan konsultan dan audit asal Inggris.
Tujua poin yang dimaksud tertutama pada Pasal 61 hingga Pasal 64, seperti berikut ini:
- Sengaja memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain secara melawan hukum atau dapat mengakibatkan kerugian. – Pasal 61 ayat 1.
- Sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya. – Pasal 61 ayat 2
- Sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya. – Pasal 61 ayat 3
- Sengaja dan melawan hukum memasang dan/atau mengoperasikan alat pemroses atau pengolah data visual. – Pasal 62
- Sengaja dan melawan hukum menggunakan alat pemroses atau pengolah data visual yang dipasang di tempat umum dan/atau fasilitas pelayanan publik. – Pasal 63
- Sengaja memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain atau yang dapat mengakibatkan kerugian bagi orang lain. – Pasal 64 ayat 1
- Sengaja menjual atau membeli Data Pribadi. – Pasal 64 ayat2
Berita Terkait:
- Kasus Pelanggaran Data Tokopedia, BPKN: Negara Belum Hadir, Jutaan Orang Jadi Korban
- Soal Pelanggaran Data Pengguna, idEA: Lihat dengan Adil, Tokopedia Korban
- Pakar Hukum UI Sarankan Gugatan Class Action Soal Kasus Tokopedia
Hak Menuntut
Namun, kata Eryk, dalam draf RUU PDP yaitu Pasal 13 mengatur tentang hak penuntutan bagi pengguna atau konsumen.
Konsumen dari pelaku e-commerce berhak untuk menuntut dan menerima ganti rugi atas pelanggaran data yang terjadi, salah satunya jika terjadi kebocoran data.
Oleh karenanya, ia mendorong agar RUU PDP perlu diperkuat perihal pengenaan sanksi bagi perusahaan yang gagal untuk melindungi data pribadi.
“Tetapi yang menjadi tantangan adalah bagaimana menentukan penyebab dari kelalaian tersebut,” ujar dia.
Menurut dia, sebaiknya pemberian sanksi denda juga perlu dibuat tingkatan. Sebab, antara perusahaan yang menerapkan keamanan informasi sesuai standar ISO 27001 juga memiliki sumber daya keamanan cukup, tentu saja, sangat berbeda dengan perusahaan yang tak memiliki kapabilitas menjaga keamanan data.
Semua tetap dikenai sanksi, tapi dengan tingkat yang berbeda, ujar Eryk.
Berita Terkait:
- Pakar Forensik Digital Ruby Alamsyah Sangsi Tokopedia Dijerat Hukum
- Data Pengguna Bocor, Ruby Alamsyah: Tokopedia Tak Belajar dari Kasus Bukalapak
- Tokopedia Klaim Tak Ada Kebocoran Password, Metode Pembayaran Dijamin Aman
Celah PP 72/2019
Eryk juga menyoroti Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).
Sebetulnya, kata dia, dalam PP ini telah diatur tentang data pribadi hingga data residency (penempatan data). PP juga mengatur perihal proses pengumpulan dan pemrosesan data, serta kewajiban data controller terkait permintaan penghapusan data pribadi dari sistem elektronik.
Hanya, Eryk menyayangkan ada “kelonggaran” pada regulasi tersebut, terutama penempatan data untuk PSE sektor privat.
Jika PSE sektor publik diwajibkan menyimpan data di Indonesia, sedangkan sektor privat diperbolehkan menyimpan data di luar Indonesia.
"Ketika terjadi pelanggaran data, penegakan hukumnya akan kesulitan jika penyedia layanan cloud atau data center berada di luar negeri," kata Eryk.[]
Berita Terkait:
- Hai Toppers, Hati-hati Anda Rawan Serangan Phishing!
- Jangan Anggap Remeh Bocornya 91 Juta Data Pengguna Tokopedia
- 91 Juta Data Pengguna Tokopedia Dijual Seharga US$ 5.000
- Bocornya Data Tokopedia Bisa Menjalar ke Akun Lain, Pakar: Ganti Password, Aktifkan OTP
Redaktur: Andi Nugroho
