Data Pribadi Penumpang Lion Air Bocor: Pengesahan RUU Perlindungan Data Pribadi Makin Mendesak

Siaran Pers ELSAM

Data Pribadi Penumpang Lion Air Bocor:

Pengesahan RUU Perlindungan Data Pribadi Makin Mendesak

Awal September 2019 lalu, Perusahaan keamanan siber Kaspersky Lab melaporkan setidaknya 21 juta data rincian penumpang anak perusahaan Lion Air yakni, Malindo Air dan Thai Lion Air, bocor dan diunggah ke forum daring. Data pribadi penumpang yang bocor dikabarkan meliputi paspor, alamat, dan nomor telepon penumpang. Merespon hal itu, langkah yang diambil oleh Kementerian Komunikasi dan Informatika (Kominfo), baru sebatas memanggil pihak Lion Air, untuk mendapatkan klarifikasi terkait insiden kebocoran data tersebut. Terbatasnya langkah yang dapat diambil oleh Kominfo, salah satunya dikarenakan tidak adanya Undang-Undang yang secara komprehensif mengatur perlindungan data pribadi di Indonesia.

Lebih jauh, sebagai akibat dari kekosongan hukum ini, Lion Air selaku pengendali data (data controller), terhindar dari kewajiban-kewajiban yang sepatutnya dilekatkan selaku pengendali data pribadi. Secara umum, pengendali data memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya, yang meliputi: (1) penerapan pseudonymization dan enkripsi data pribadi, (2) memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan, (3) memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (i.e. kebocoran data), (4) menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan (termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs)).

Selain itu, kekosongan hukum juga berdampak pada hilangnya hak-hak pelanggan sebagai subjek data, khususnya hak atas informasi dan hak atas pemulihan serta kompensasi. Dalam hal terjadinya kebocoran, pengendali data berkewajiban untuk memberikan pemberitahuan kepada subjek data dan otoritas perlindungan data pribadi—ketentuan ini juga diatur dalam Pasal 15 ayat (2) PP No. 82/2012, yang menyebutkan: “Jika terjadi kegagalan dalam perlindungan rahasia Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”. Detailnya, jika terjadi kebocoran pemberitahuan kepada pemilik data mustinya berisi: (1) kategorisasi data pribadi apa saja yang bocor, (2) jumlah subjek data yang terdampak, (3) informasi kontak petugas perlindungan data pribadi yang dapat dihubungi, (4) konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran, dan (5) langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang).

Sampai dengan saat ini kita juga tidak memiliki panduan yang memadai, terkait dengan langkah-langkah penanggulangan ketika terjadi kebocoran, termasuk pihak yang harus melakukan investigasi. Lain halnya dengan Inggris misalnya, ketika terjadi kebocoran 500.000 data penumpang British Airways pada 2018 lalu, maskapai tersebut dikenakan denda hingga 183 juta poundsterling (3 triliun rupiah).  Hal ini dimungkinkan karena Inggris memiliki lembaga independen yang menjalankan fungsi pengawasan terhadap perlindungan data, melalui Komisi Informasi Inggris (ICO). Lembaga inilah yang memiliki wewenang untuk menginvestigasi, dan kemudian menjatuhkan sanksi denda bagi perusahaan, sebagai pengendali data. Pelaksanaan investigasi pun dimungkinkan karena sebelumnya British Airways telah memberikan pemberitahuan kepada Komisi, bahwa telah terjadi kebocoran data pribadi penumpangnya. Langkah-langkah penanggulangan ini dimungkinkan, karena adanya hukum perlindungan data yang komprehensif.

Sementara Indonesia, meski pemerintah telah merampungkan proses penyusunan RUU Perlindungan Data Pribadi, dan RUU ini masuk sebagai salah satu prioritas Prolegnas 2019, namun hingga saat ini Pemerintah tak kunjung menyerahkannya ke DPR, untuk dilakukan pembahasan bersama. Hal ini sebenarnya bertolak belakang dengan komitmen yang disampaikan Presiden Joko Widodo dalam Pidato Kenegaraan pada 16 Agustus 2019 lalu. Beliau menegaskan bahwa “Data pribadi harus dilindungi. Regulasinya harus segera disiapkan tidak boleh ada kompromi!! Sekali lagi, inti dari regulasi adalah melindungi kepentingan rakyat, serta melindungi kepentingan bangsa dan negara.

Menimbang situasi di atas, serta kebutuhan mendesak hukum perlindungan data pribadi yang komprehensif, Lembaga Studi dan Advokasi Masyarakat (ELSAM) menekankan:

  1. Kementerian Komunikasi dan Informatika, meminta kepada pihak Lion Air untuk memberikan informasi lebih lanjut terkait jumlah data penumpang yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh pihak Lion Air untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi penumpang;
  2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 82/2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, juga Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data, juga memastikan pemulihan bagi para pemilik data;
  3. Pemerintah untuk segera menyerahkan RUU Perlindungan Data Pribadi kepada DPR, guna dilakukan proses pembahasan bersama, dan segera dilakukan pengesahan. Selain itu, mengingat periode DPR yang akan segera berakhir pada akhir September ini, juga penting memastikan kontinuitas pembahasannya pada periode DPR berikutnya.

Jakarta, 23 September 2019

Lembaga Studi dan Advokasi Masyarakat (ELSAM)

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Direktur Riset ELSAM), telp: 081382083993, atau Alia Yofira (Peneliti ELSAM), telp: 081217015759.