Kebocoran Data Pribadi Elektronik Masyarakat Indonesia

Baru-baru ini, terjadi dugaan kebocoran data yang berasal dari ribuan perusahaan di Indonesia, dan perusahaan asing yang memiliki cabang di Indonesia, yang jumlahnya mencapai ratusan gigabyte. Data tersebut diperjualbelikan di suatu forum jual beli data di darkweb oleh akun bernama ‘’toshikana’ pada 15 Agustus 2022 lalu, dengan judul “347 GB Confidental Documents of 21.7K Indonesia Companies + Foreign Companies”.[1]

Data bagi suatu perusahaan memiliki peran yang penting karena digunakan untuk kepentingan bisnis dan operasional perusahaan, sehingga jika data perusahaan ini bocor atau dapat diakses oleh pihak luar dan disalahgunakan, tentunya akan mengakibatkan kerugian.  Salah satu perusahaan yang mengalami hal yang serupa terjadi pada PT. Perusahaan Listrik Negara (PLN), yang diduga mengalami kebocoran data meliputi 17 juta data pribadi pelanggan yang dijual di forum online bernama Breach Forum.[2] Perusahaan yang juga diduga mengalami permasalahan yang sama ialah PT. Telkom Indonesia (indihome), mengalami kebocoran data sebanyak 26 juta browsing history bersama dengan nama dan nomor identitas (NIK).[3] Kebocoran data yang dialami oleh beberapa perusahaan besar di Indonesia dalam kurun waktu dekat ini, menunjukkan bahwa keamanan terhadap data pribadi perlu diperhatikan, sebab data tersebut dikhawatirkan akan disalahgunakan untuk kepentingan-kepentingan tertentu.

Bocornya beberapa data perusahaan tersebut, yang tentunya melibatkan warga negara Indonesia, memberikan tanda bahwa perlindungan data pribadi di Indonesia tidak berjalan secara maksimal. Sampai saat ini, belum ada undang-undang yang mengatur secara khusus terkait perlindungan data pribadi ini, melainnkan menjadi satu dalam Undang-Undang Informasi dan Transaksi Elektronik. Perlu diketahui bahwa perlidungan terhadap data data pribadi merupakan salah satu bagian dari hak asasi yang dijamin oleh negara sebagaimana dimaksud dalam Pasal 28G Ayat (1) Undang-Undang Dasar Negara Republik Indonesia TAhun 1945 (UUD NRI 1945). Dengan adanya perlindungan tersebut, dapat menumbuhkan kesadaran masyarakat serta menjamin pengakuan dan penghormatan atas pentingnya perlindungan data pribadi.

Data pribadi adalah data yang berhubungan dengan seorang individu yang hidup yang dapat diidentifikasikan dari data atau dari data-data atau informasi yang dimiliki atau akan dimiliki oleh data controller. Selain itu data prbadi juga dapat dikaitkan dengan ciri responden contohnya jenis kelamin, umur, nama dan lain-lain.[4] Di Indonesia sendiri, terdapat Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permenkominfo 20/2016). Secara pengertiannya, data pribadi didefinisikan dalam Pasal 1 Angka 1 Permenkominfo 20/2016 yang menyebutkan bahwa:

Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

Secara umum data pribadi terdiri atas fakta-fakta yang berkaitan dengan individu yang merupakan informasi sangat pribadi, sehingga orang yang bersangkutan ingin menyimpan untuk dirinya sendiri dan/atau membatasi orang lain untuk menyebarkannya kepada pihak lain maupun menyalahgunakannya. Secara khusus, data pribadi menggambarkan suatu informasi yang erat kaitannya dengan seseorang yang akan membedakan karakteristik masing-masing individu.[5]

Berkaitan dengan perlindungan data pribadi sendiri, dapat dilihat dalam ketentuan Undang-Undang Nomor 19 Tahun 2016 Tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE dan perubahannya). Mengenai perlindungan data pribadi, Pasal 26 UU ITE menyebutkan bahwa:

1. Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.
2. Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ini.
3. Setiap Penyelenggara Sistem Elektronik wajib menghapus Informasi Elektronik dan/atau Dokumen Elektronik yang tidak relevan yang berada di bawah kendalinya atas permintaan Orang yang bersangkutan berdasarkan penetapan pengadilan.
4. Setiap Penyelenggara Sistem Elektronik wajib menyediakan mekanisme penghapusan Informasi Elektronik dan/atau Dokumen Elektronik yang sudah tidak relevan sesuai dengan ketentuan peraturan perundang-undangan.
5. Ketentuan mengenai tata cara penghapusan Informasi Elektronik dan/atau Dokumen Elektronik sebagaimana dimaksud pada ayat (3) dan ayat (4) diatur dalam peraturan pemerintah.

Dalam ketentuan pasal tersebut telah ditegaskan bahwa penggunaan informasi elektronik apapun di media harus dengan persetujuan pemilik data tersebut. Penjelasan Pasal 26 UU ITE menyatakan bahwa data pribadi merupakan salah satu bagian dari hak pribadi seseorang. Kemudian, dalam ketentuan tersebut, apabila pemilik data mengalami kerugian atas tindakan penyelenggara sistem elektronik dapat mengajukan gugatan untuk meminta ganti kerugian tersebut.

Berdasarkan hal tersebut, kaitannya dengan perlindungan data pribadi yang dipergunakan dalam sistem elektronik perusahaan, dapat dilihat juga dalam Pasal 28 Permenkominfo 20/2016 yang menyebutkan bahwa:

Setiap Penyelenggara Sistem Elektronik wajib:

1. melakukan sertifikasi Sistem Elektronik yang dikelolanya sesuai dengan ketentuan peraturan perundang-undangan;
2. menjaga kebenaran, keabsahan, kerahasiaan, keakuratan dan relevansi serta kesesuaian dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi;
3. memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:

1. harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi;
2. dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya;
3. harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
4. pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut;

d. memiliki aturan internal terkait perlindungan Data Pribadi yang sesuai dengan ketentuan peraturan perundang-undangan;

e. menyediakan rekam jejak audit terhadap seluruh kegiatan penyelenggaraan Sistem Elektronik yang dikelolanya;

f. memberikan opsi kepada Pemilik Data Pribadi mengenai Data Pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas Persetujuan sepanjang masih terkait dengan tujuan perolehan dan pengumpulan Data Pribadi;

g. memberikan akses atau kesempatan kepada Pemilik Data Pribadi untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;

h. memusnahkan Data Pribadi sesuai dengan ketentuan dalam Peraturan Menteri ini atau ketentuan peraturan perundang-undangan lainnya yang secara khusus mengatur di masing-masing Instansi Pengawas dan Pengatur Sektor untuk itu; dan

i.menyediakan narahubung (contact person) yang mudah dihubungi oleh Pemilik Data Pribadi terkait pengelolaan Data Pribadinya.

Setiap Penyelenggara Elektronik (PSE), diartikan ialah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan atau keperluan pihak lain. Ketentuan tersebut mengharuskan adanya sertifikasi keamanan terhadap sistem elektronik yang dimilikinya. Hal ini berguna untuk mengatasi permasalahan kebocoran data informasi bagi suatu penyelenggara sistem elektronik. Berkaitan dengan kasus yang dialami beberapa perusahaan di Indonesia yang dikaitkan dengan Pasal 28 huruf a Permenkominfo 20/2016 tersebut, maka seharusnya perusahaan-perusahaan dimaksud telah memasang suatu pengamanan guna menghindari adanya kebocoran data.

Selanjutnya, dengan adanya Permenkominfo 20/2016, maka perusahaan dengan sistem elektronik yang sudah tersertifikasi dan mempunyai aturan internal tentang perlindungan data pribadi, wajib memperhatikan aspek penerapan teknologi, sumber daya manusia, metode, dan biayanya. Hal ini berkaitan dengan hak pemilik data pribadi yakni berhak atas kerahasiaan data miliknya, berhak mengajukan pengaduan dalam rangka penyelesaian sengketa data pribadi, berhak mendapatkan akses untuk memperoleh historis data pribadinya, dan berhak meminta pemusnahan data perseorangan tertentu miliknya dalam sistem elektronik.

Berkaitan dengan kasus yang dialami oleh beberapa perusahaan yang telah diuraikan diatas, maka diduga kebocoran data tersebut diakibatkan kurangnya pengaman. Padahal bagi setiap PSE wajib mengoperasikan Sistem Elektronik yang memenuhi persyaratan minimum yang dapat melindungi ketersediaan, keutuhan, keotentikan, kerahasiaan, dan keteraksesan Informasi Elektronik dalam penyelenggaraan Sistem Elektronik tersebut.[6] Selain itu, bagi setiap Penyelenggara Sistem Elektronik wajib melakukan pengamanan terhadap komponen Sistem Elektronik.[7] Pengamanan data bagi PSE sendiri merupakan hal yang wajib dimiliki agar dalam menjalankan prosedur dan sarana pengamanan sistem elektronik, PSE dapat terhindar dari gangguan, kegagalan, dan kerugian. PSE juga wajib menyediakan sistem pengamanan yang mencakup prosedur dan sistem pencegahan dan penanggulangan terhadap ancaman dan serangan yang menimbulkan gangguan, kegagalan, dan kerugian. Dalam hal terjadi kegagalan atau gangguan sistem yang berdampak serius sebagai akibat perbuatan (meretas) dari pihak lain terhadap sistem elektronik, PSE wajib mengamankan Informasi Elektronik dan Dokumen Elektronik dan segera melaporkan kepada aparat penegak hukum dan Kementerian atau Lembaga terkait.[8] Hal tersebut dikarenakan PSE wajib melindungi penggunanya dan masyarakat luas dari kerugian yang ditimbulkan oleh Sistem Elektronik yang diselenggarakannya.[9] Adanya kasus dugaan kebocoran data pada beberapa perusahaan di Indonesia, menunjukkan bahwa keamanan data yang tidak berjalan secara efektif dan menimbulkan kerugian bagi pemilik data, sehingga dalam hal ini perusahaan atau badan usaha tersebut dapat dikenakan sanksi administratif dapat berupa teguran tertulis, denda administratif, penghentian sementara, pemutusan akses dan/atau dikeluarkan dari daftar.[10]

Dengan demikian, perlu dibentuk suatu regulasi khusus pada tataran undang-undang yang mengatur tentang data pribadi elektronik, sehingga tidak hanya sanksi administratif saja yang dapat diberikan melainkan juga sanksi pidana bagi siapapun yang menyalahgunakan atau tidak memberikan perlindungan secara maksimal bagi data pribadi elektronik pelanggan. Namun demikian, apabila terbukti bahwa perusahaan yang datanya terbocorkan tersebut sengaja tidak memberikan perlindungan secara maksimal, maka tidak hanya sanksi administratif, melainkan dapat pula perusahaan-perusahaan tersebut diminta untuk memberikan ganti rugi kepada masyarakat.

[1] Bill Clinten, Data Ribuan Perusahaan di Indonesia Bocor, Dijual di Darkweb, https://tekno.kompas.com/read/2022/08/20/09000027/data-ribuan-perusahaan-di-indonesia-bocor-dijual-di-darkweb.

[2] detikNet, Heboh Dugaan Kebocoran Data PLN dan Ribuan Perusahaan di Indonesia, https://inet.detik.com/security/d-6244800/heboh-dugaan-kebocoran-data-pln-dan-ribuan-perusahaan-di-indonesia

[3] Novina Putri Bestari, Setelah PLN, 26 Juta Data Indihome Bocor & Disebar Hacker, https://www.cnbcindonesia.com/tech/20220822062837-37-365431/setelah-pln-26-juta-data-indihome-bocor-disebar-hacker

[4] Pasal 1 Ayat (1) Data Protection Act Inggris tahun 1998

[5] Jerry Kang, Information Privacy in Cyberspace Transaction, Stanford Law Review Vol. 50 Issue 4, Standford, 1998.

[6] Pasal 4 Peraturan Pemerintah Nomor 71 Tahun 2019 Tentang Penyelenggaraan Sistem Dan Transaksi Elektronik

[7] Pasal 23 Peraturan Pemerintah Nomor 71 Tahun 2019 Tentang Penyelenggaraan Sistem Dan Transaksi Elektronik

[8] Pasal 24 Peraturan Pemerintah Nomor 71 Tahun 2019 Tentang Penyelenggaraan Sistem Dan Transaksi Elektronik

[9] Pasal 31 Peraturan Pemerintah Nomor 71 Tahun 2019 Tentang Penyelenggaraan Sistem Dan Transaksi Elektronik

[10] Pasal 100 Peraturan Pemerintah Nomor 71 Tahun 2019 Tentang Penyelenggaraan Sistem Dan Transaksi Elektronik