Data Pelamar Pertamina PTC Bocor, ELSAM Soroti Notifikasi Pemilik Data hingga Posko Pengaduan
PT Pertamina Training and Consulting | Foto: Ayo Surabaya/Giusti Reza
Cyberthreat.id – Notifikasi kebocoran data harus diberikan penyelenggara sistem elektronik (PSE) kepada subjek atau pemilik data jika sifat data yang bocor berisiko tinggi.
Risiko itu dapat dilihat dari jenis data yang bocor. Jika data-data itu bisa dipakai untuk mengidentifikasi seseorang, hal tersebut bisa dikategorikan berisiko tinggi bagi pemilik data. Sebaliknya, jika tidak memiliki risiko, tidak perlu ada notifikasi ke pemilik data.
“Harus dilihat data-data apa saja yang bocor, semakin banyak yang bocor tentu akan semakin membahayakan pemilik data,” kata Peneliti Lembaga Studi dan Advokasi Masyarakat (ELSAM), Shevierra Danmadiyah kepada Cyberthreat.id, Rabu (19 Januari 2022).
Pernyataan Shevierra tersebut menanggapi kebocoran data pribadi pelamar PT Pertamina PTC beberapa waktu lalu. Saat berkoordinasi dengan Badan Siber dan Sandi Negara (BSSN), perusahaan juga telah mengakui adanya kebocoran data. Insiden tersebut terjadi pada Oktober 2021. (Baca: Pertamina PTC Akui Data Pelamarnya Bocor Tiga Bulan Lalu)
Pertamina PTC ialah anak perusahaan minyak negara, Pertamina, yang bergerak di bidang pengembangan sumber daya manusia melalui pelatihan, konsultasi, dan manajemen.
Pembocor data tersebut ialah akun “Astarte” yang sebelumnya juga mengklaim telah membobol server terpusat Kementerian Kesehatan RI dan mengambil 720 gigabita (GB) dokumen serta 6 juta basis data pasien WNI. (Baca: Yang Perlu Dipahami tentang Insiden Bocornya Data Pasien)
Data pelamar kerja itu diunggah dengan titel “163k Indonesian documents KYC” pada Sabtu (8 Januari 2021) di sebuah forum jual beli data. Ukuran datanya mencapai 60 GB. Astarte mengklaim bahwa isi data tersebut mencapai 163.181 file.
Dalam penelusuran Cyberthreat.id yang dibantu peneliti keamanan siber independen Afif Hidayatullah, data para pelamar yang dibocorkan tersebut mencakup, antara lain:
- KTP
- KK
- SIM
- NPWP
- SKCK
- foto diri
- Akta kelahiran
- Ijazah sekolah
- transkrip nilai
- curriculum vitae
- kartu BPJS Kesehatan
- surat lamaran kerja
- surat keterangan sehat, dan
- surat keterangan bebas narkoba.
Salah satu lamaran pekerjaan yang dikirimkan pelamar ke Pertamina PTC yang dibocorkan di forum jual beli data. Dari lamaran tersebut terlihat sejumlah dokumen pribadi yang dilampirkan. | Foto: Tangkapan layar/Cyberthreat.id
Menurut Sevierra, sebetulnya tidak ada istilah “pengakuan” jika berdasarkan RUU Pelindungan Data Pribadi. Yang harus dilakukan adalah PSE memberikan notifikasi terkait pelanggaran data.
Pemberitahuan kebocoran data juga bukan ditujukan kepada BSSN. Alasannya, BSSN bukan otoritas pengawas data pribadi. Dalam konteks RUU PDP, notifikasi diberikan ke subjek data dan ke Kementerian Kominfo.
“Jadi, kalau pertanyannya apakah sesuai dengan RUU PDP, jawabannya tidak. Apalagi penyampaian dari PTC ke BSSN pada saat berkoordinasi, bukan notifikasi pas terjadi kebocoran data mereka,” tegas dia.
3x24 jam
Ia mengatakan, PSE wajib menyampaikan pemberitahuan secara tertulis dalam waktu paling lambat 3x24 kepada otoritas pengawas.
Apabila pemberitahuan kepada otoritas pengawas tidak disampaikan dalam jangka waktu sebagaimana diatur, maka harus disampaikan dengan alasan penundaan pemberitahuan kebocoran data.
Terkait dengan pelaporan PSE itu telah diatur dalam Pasal 24 ayat 3 PP Nomor 71 Tahun 2019. Sementara pelanggaran terhadap pasal ini, PSE bisa dikenai sanksi administratif berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses, dan/atau dikeluarkan dari daftar PSE di Indonesia.
Selain itu, kata dia, ada yang perlu diperhatikan oleh PSE yaitu wajib membuka posko pengaduan bagi subjek data. Hal ini dilakukan untuk menangani masalah penyalahgunaan data setelah kebocoran data.
Sepekan lebih sejak Cyberthreat.id memberitakan kebocoran data tersebut, Pertamina PTC belum memberikan keterangan resmi. Tidak ada kejelasan apakah perusahaan juga telah memberitahukan insiden kebocoran data tersebut kepada para pelamar yang terkena dampak.
Padahal, Kementerian Kominfo mewanti-wanti agar para penyelenggara sistem elektronik (PSE) segera melaporkan jika terjadi kegagalan perlindungan data pribadi pada sistemnya. “Setiap PSE wajib memberitahukan secara tertulis kepada pemilik data pribadi,” kata Dedy pekan lalu.[] (Baca: Kominfo Ingatkan PSE Segera Lapor dan Beritahu Pemilik Data)
Redaktur: Andi Nugroho
