Bukti Pentingnya Kelanjutan Proses Pembahasan RUU PDP
Bukti Pentingnya Kelanjutan Proses Pembahasan RUU PDP

Bukti Pentingnya Kelanjutan Proses Pembahasan RUU PDP

Kamis, 29 Jul 2021

Siaran Pers Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP)

Bukti Pentingnya Kelanjutan Proses Pembahasan RUU PDP

Data 2 juta nasabah dan 463.000 dokumen perusahaan BRI Life diduga bocor (27/7). Kabar ini bermula dari akun twitter @UnderTheBreach yang mengungkapkan bahwa data nasbah BRI Life dijual dengan harga USD 7.000 atau sekitar Rp 101 juta oleh akun anonim di sebuah forum peretas. Beberapa data pribadi yang dijual tersebut antara lain KTP, buku rekening, NPWP, akta kelahiran, surat kematian, hingga rekam medis—yang masuk dalam kualifikasi data pribadi sensitif. Kebocoran data sensitif sangat disayangkan, mengingat data ini mengidentifikasi seseorang seumur hidupnya, dan kerap menjadi sumber permasalahan stigmatisasi, diskriminasi, dan eksklusivisme. 

Hudson Rock, sebuah perusahaan pemantau kejahatan siber, mengungkapkan terdapat bukti yang menunjukkan bahwa beberapa komputer milik karyawan BRI dan BRI Life telah disusupi peretas. Pihak BRI mengklaim bahwa pihaknya sedang melakukan investigasi untuk melakukan pelacakan digital dan untuk mengambil upaya-upaya penting terhadap data pribadi pengguna BRI Life. Atas dugaan kebocoran ini, Kominfo telah melakukan investigasi. Namun hingga saat ini, belum terdapat kejelasan atas penyebab terjadinya kebocoran data pribadi tersebut. Kebocoran data dapat berakibat pada berbagai dampak bagi subjek data yang datanya bocor. Mulai dari kasus jual-beli data pribadi, pencurian identitas oleh fintech ilegal, hingga berpotensi menyebabkan kerugian negara yang tidak sedikit.

Dugaan bocornya data pribadi pengguna BRI Life merupakan rentetan panjang dari kasus serupa yang telah berulang kali terjadi di Indonesia. Saat ini data pribadi dipandang menjadi komoditas, seiring makin meningkatnya penggunaan data tersebut secara masif di berbagai sektor—baik publik maupun swasta. Kasus terbaru ini menegaskan adanya problem sistemik yang melatarbelakangi kegagalan para aktor bisnis sebagai pengendali data dalam melindungi data pribadi. Salah satu indikasi kegagalan terhadap pelindungan data pribadi adalah belum adanya undang-undang yang mengatur secara khusus mengenai pelindungan data pribadi. 

Saat ini, pengaturan mengenai data pribadi di Indonesia masih dilakukan secara sporadis dan terpencar dalam berbagai peraturan perundang-undangan sektoral. Dalam konteks perasuransian, terdapat setidaknya UU Otoritas Jasa Keuangan, UU Perasuransian, dan Peraturan OJK Nomor 1/POJK.07/2013 tentang Perlindungan Konsumen Sektor Jasa Keuangan yang mengatur terkait data pribadi. Asuransi sebagai kegiatan jasa keuangan yang diawasi OJK dilarang untuk menggunakan atau mengungkapkan informasi rahasia kepada pihak lain sebagaimana diamanatkan Pasal 33 UU Otoritas Jasa Keuangan. Hal ini menjadi prinsip dalam perlindungan konsumen di sektor jasa keuangan yang tertuang secara khusus dalam Pasal 2 huruf d Peraturan OJK No. 1/POJK. 07/2013 tentang Perlindungan Konsumen Jasa Keuangan, yakni terkait prinsip kerahasiaan dan keamanan data/informasi konsumen. Selain itu, Pasal 31 peraturan tersebut juga mengatur mengenai larangan bagi pelaku usaha jasa keuangan untuk memberikan data dan/atau informasi mengenai konsumennya kepada pihak ketiga. Sanksi terhadap pelanggaran diatur lebih lanjut dalam Pasal 53 ayat (1) yang mengatur mengenai pengenaan sanksi administratif berupa peringatan tertulis, denda hingga pencabutan izin kegiatan usaha. 

Walau demikian, hukum pelindungan data pribadi yang bersifat sektoral, dalam konteks ini regulasi di sektor jasa keuangan saat ini belum dapat mengakomodir mekanisme-mekanisme pemulihan yang efektif bagi konsumen sebagai subjek data. Lemahnya hukum pelindungan data pribadi yang tersebar secara sektoral mestinya mengarah pada penguatan dan percepatan pembahasan RUU Pelindungan Data Pribadi. Kebutuhan saat ini adalah melindungi hak masyarakat dari penyalahgunaan data pribadi, sehingga negara wajib menelurkan bangunan hukum yang memadai dan komprehensif, serta mendesain mekanisme pengawasan dan pemulihan yang efektif melalui pembentukan Otoritas PDP yang independen. Salah satu fungsi Otoritas PDP dalam usulan DPR RI bagi RUU PDP saat ini adalah, fungsi untuk (1) melakukan investigasi dalam hal terjadinya kebocoran data, kemudian (2) melakukan proses ajudikasi dan pada akhirnya (3) memfasilitasi proses mediasi ganti kerugian bagi subjek data yang terlanggar haknya oleh pengendali data.

Berangkat dari rentetan kasus kebocoran data pribadi, khususnya kebocoran data pengguna BRI Life, Indonesia tengah dalam kondisi yang sangat rentan sehingga urgensi adanya UU Perlindungan Data Pribadi tak terbantahkan lagi. Oleh karena itu Koalisi Advokasi Pelindungan Data Pribadi mendesak bahwa: 

  1. Kementerian Komunikasi dan Informatika RI, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur dalam PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, juga Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap BRI Life selaku penyelenggara sistem dan transaksi elektronik, termasuk pemberian notifikasi kepada subjek data yang datanya bocor, informasi mengenai langkah-langkah mitigasi dan pemulihan yang telah diambil oleh BRI Life;
  2. Otoritas Jasa Keuangan RI, untuk melakukan pengawasan terhadap kepatuhan BRI Life mengenai penerapan perlindungan konsumen, khususnya dalam hal keamanan data pribadi konsumen;
  3. BRI Life mengevaluasi sekaligus meningkatkan kebijakan internal terkait tata kelola pelindungan data dan keamanan data, yang sesuai dengan prinsip-prinsip pelindungan data pribadi dan keamanan siber;
  4. DPR dan Pemerintah untuk segera mempercepat proses pengesahan RUU Pelindungan Data Pribadi, dengan tetap menjamin partisipasi aktif seluruh pemangku kepentingan, sekaligus juga kualitas substansinya. Akselerasi ini penting mengingat banyaknya peristiwa dan insiden terkait dengan eksploitasi data pribadi, oleh karenanya, pembentukan otoritas pengawas yang independen merupakan salah satu pilar utama dalam memberikan pelindungan yang efektif bagi hak atas privasi dan data pribadi di Indonesia.

Jakarta, 28 Juli 2021

Koalisi Advokasi Pelindungan Data Pribadi

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Direktur Eksekutif ELSAM), telp: 081382083993, Alia Yofira (Peneliti ELSAM), telp: 081217015759, Parasurama Ardi (Peneliti ELSAM), telp: 082232001783

 

A R T I K E L T E R K A I T

Mendesak Audit Independen Alutsista
Siaran Pers
Selasa, 27 Apr 2021
Mendesak Audit Independen Alutsista
Kami menilai bahwa pengadaan alutsista sebagai bagian dari upaya modernisasi dan penguatan pertahanan Indonesia memang sangat penting dan diperlukan. Meski demikian, upaya tersebut harus dijalankan secara transparan dan akuntabel. Dalam praktiknya, beberapa kasus pengadaan alutsista selama ini bukan hanya menyimpang dari kebijakan pembangunan postur pertahanan, tetapi juga sarat dengan dugaan terjadinya korupsi.
Pembentukan Otoritas PDP Independen: Langkah Awal Utama untuk Memaksimalkan Implementasi RUU PDP di Indonesia Kedepannya
Siaran Pers
Kamis, 1 Jul 2021
Pembentukan Otoritas PDP Independen: Langkah Awal Utama untuk Memaksimalkan Implementasi RUU PDP di Indonesia Kedepannya
Berdasarkan situasi ini, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) menyayangkan  sikap Kominfo dan kembali menegaskan bahwa terbentuknya Otoritas PDP yang independen merupakan salah satu pilar utama dalam memastikan efektif dan optimalnya penegakan perlindungan data pribadi di Indonesia.
+