Jakarta, suarakendari.com- Menanggapi insiden kebocoran data registrasi SIM card serta proses pengesahan RUU PDP yang sedang berlangsung, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) mendorong Pemerintah dan DPR untuk memastikan adanya partisipasi publik yang
bermakna sebelum dan sesudah RUU PDP disahkan. Hal ini penting agar Indonesia
memiliki pondasi UU PDP yang baik guna menopang kesiapan Indonesia untuk
mengimplementasikannya kelak secara sederhana dan bermakna bagi sektor privat, sektor publik, serta beragam kalangan masyarakat di Indonesia di era transformasi digital saat ini.
Mengenai insiden kebocoran data registrasi SIM Card, sebagai latar belakang, tahun 2016
lalu, Kementerian Komunikasi dan Informatika (Kominfo) mengeluarkan sebuah regulasi
terkait dengan kewajiban pelanggan jasa telekomunikasi untuk mendaftarkan mendaftarkan SIM card-nya dengan memasukkan Nomor Induk Kependudukan (NIK).
1 Kominfo menjamin keamanan data pribadi yang dikumpulkannya dengan mendalilkan telah menerapkan ISO 27001. Akan tetapi, pada Rabu, 31 Agustus 2022 lalu, terjadi insiden kebocoran data di mana akun peretas Bjorka menjual 1,3 miliar data pribadi warga Indonesia yang didapat dari Kominfo, yaitu NIK, nomor telepon, penyelenggara telekomunikasi, dan tanggal registrasi di sebuah forum peretas.
Kominfo merilis Siaran Pers Nomor 377/HM/KOMINFO/09/2022 pada
1 September 2022 yang menyatakan secara sepihak bahwa “data tersebut tidak berasal dari
Kementerian Kominfo”. Sebagai catatan, kebocoran data pribadi yang dialami oleh sektor
publik juga pernah terjadi pada Komisi Pemilihan Umum (KPU), Komisi Perlindungan Anak
Indonesia (KPAI), dan Kementerian Kesehatan (Kemenkes).
Insiden kebocoran data registrasi SIM card menunjukkan bahwa Kementerian dan Lembaga
di Indonesia menjalani dua peranan, yaitu sebagai entitas yang turut mengatur dan
mengimplementasikan isu PDP sekaligus sebagai pelaku pemrosesan data pribadi. Hal ini
berarti Indonesia memerlukan Otoritas Pengawas Pelindungan Data Pribadi (Otoritas PDP) yang memiliki kompetensi sekaligus bisa secara adil melaksanakan tugas dan
kekuasaannya untuk mengawasi kegiatan pemrosesan data yang dilakukan termasuk oleh
atau untuk sektor publik. Oleh karena itu, keberadaan Rancangan Undang-Undang
Pelindungan Data Pribadi (RUU PDP) harus memastikan kehadiran Otoritas PDP yang
independen. Tanpa otoritas PDP yang independen, Indonesia akan mengalami kesulitan di dalam membangun kepercayaan masyarakat dan mendorong akselerasi transformasi digital
yang berkesinambungan di negara ini.
Sementara itu, KA-PDP mendapatkan informasi bahwa RUU PDP terbaru belum mengatur
kelembagaan Otoritas PDP yang independen. Kewenangan utama penyelenggaraan
pelindungan data pribadi dan pengawasannya ada pada pemerintah (Pasal 58 ayat (1) RUU
PDP). Kemudian, pemerintah akan menurunkannya pada sebuah “lembaga” yang nantinya akan ditetapkan oleh presiden (Pasal 58 ayat (2) dan (3) RUU PDP) dan lembaga tersebut
juga akan bertanggung jawab kepada presiden (Pasal 58 ayat (4) RUU PDP).
Nampak bahwa bakal Otoritas PDP di Indonesia adalah sebuah lembaga yang berada pada kaki
1 Permenkominfo Nomor 12 Tahun 2016 tentang Registrasi Pelanggan Jasa Telekomunikasi, yang
saat ini telah dicabut dan digantikan dengan Permenkominfo Nomor 5 Tahun 2021 tentang Registrasi Pelanggan Jasa Telekomunikasi. Peraturan yang dikeluarkan pada tahun 2016 tersebut, secara efektif diberlakukan pada Oktober 2017.
Sementara itu, pemerintah akan memiliki 2 (dua) persona, yaitu sebagai
pengawas sekaligus yang diawasi.
RUU PDP juga perlu secara saksama mengatur isu-isu krusial yang berdampak pada
beragam kalangan masyarakat, seperti 1) ruang lingkup data pribadi spesifik dan
mekanisme pelindungannya, 2) pendefinisian usia anak, 3) pengaturan terkait pengendali
data gabungan, 4) penghapusan sanksi pidana dan pengenaan sanksi denda administratif
secara berjenjang (berdasarkan skala usaha pengendali data), 5) kewajiban pengendali dan
pemroses data, 6) hak-hak subjek data serta pengaturan pengecualian pemrosesan data
pribadi yang menjunjung tinggi pelindungan subjek data.
Berangkat dari pertimbangan di atas, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP)
mendorong beberapa poin yakni;
Pemerintah dan DPR harus memastikan adanya partisipasi publik yang bermakna
sebelum RUU PDP disahkan;
Melalui partisipasi publik yang bermakna, Pemerintah dan DPR harus memastikan
pengaturan dalam RUU PDP adalah baik dan layak untuk kelak undang-undang ini
menjadi payung regulasi isu PDP di Indonesia;
Melalui partisipasi publik yang bermakna, Pemerintah dan DPR harus memastikan
keberadaan pengaturan Otoritas PDP yang independen dan kompeten dalam RUU
PDP;
Pemerintah harus melakukan upaya dan tindakan secara serius, transparan, dan
akuntabel dalam penanganan kasus kebocoran data pribadi SIM card, termasuk
memberikan notifikasi kepada subjek data yang terdampak;
Melalui partisipasi publik yang bermakna, Indonesia juga sudah harus memikirkan
dan memulai langkah-langkah persiapan implementasi RUU PDP dengan dapat
merujuk kepada “Peta Jalan Tata Kelola Pelindungan Data Pribadi”.