Pakar keamanan siber Doktor Pratama Persadha menyatakan jangan sampai Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) kehilangan taji sebelum menjadi undang-undang.
"Ini terkait dengan tidak adanya pengaturan teknis terkait dengan standar teknologi, sumber daya manusia (SDM), dan manajerial dalam pemrosesan data pribadi oleh pengendali data," kata Pratama Persadha menjawab pertanyaan ANTARA di Semarang, Senin pagi.
Pratama berharap Undang-Undang Pelindungan Data Pribadi ini memperkuat kedaulatan informasi di Tanah Air. Akan tetapi, bila dilihat dari draf terakhir RUU PDP ini, ancaman hukuman terkait dengan kebocoran data akibat peretasan terhadap pengendali data tidak ada.
Ia menegaskan bahwa sanksi berupa administrasi maupun denda ini harus masuk dalam RUU PDP, khususnya pada pengendali data yang mengalami kebocoran data, termasuk akibat peretasan.
Pasal ancaman pidana dan denda yang ada pada Pasal 61 sampai dengan Pasal 66, menurut dia, hanya mengatur soal perilaku meski soal data pribadi sudah ada aturannya dalam Pasal 26 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) sebagaimana diubah dengan UU Nomor 19 Tahun 2016.
Namun, lanjut Pratama, pengendali data yang mengalami kebocoran data ini tidak diatur dalam RUU PDP. Misalnya, pengendali data jadi korban peretasan namun memang mereka tidak baik dalam mengelola data pribadi masyarakat.
"Hal ini nanti bisa diketahui lewat investigasi Komisi PDP apakah organisasi tersebut melaksanakan standar teknis yang diharuskan UU PDP," kata Pratama yang juga dosen STIN.
Masalahnya, apabila hanya pedoman perilaku tanpa ada standar teknis apa yang harus diimplementasikan, menurut dia, sama saja dengan saat ini akan terus terjadi kebocoran data akibat peretasan. Artinya, semua organisasi yang mengalami kebocoran data tidak bisa ditindak hukum.
Dengan pengaturan teknis oleh UU PDP, Pratama berharap semua pengendali data mau untuk memperbaiki sistem informasi mereka, baik offline (luar jaringan/luring) maupun online (dalam jaringan/daring).
Pratama juga beranggapan frasa "dengan sengaja" dalam draf RUU PDP mengandung tafsiran sepanjang tidak melawan hukum atau tidak ada kesengajaan melakukan pembocoran data sebuah organisasi tidak bisa terkena sanksi denda.
Padahal, kata dia, semangatnya adalah memaksa para pengendali data untuk meningkatkan standar sistem informasi karena mereka mengelola/memproses data pribadi masyarakat dalam jumlah besar.
Oleh karena itu, Pratama menekankan harus ada pasal minimal denda dan pidana penjara terhadap pengendali data pribadi yang mengalami kebocoran data dengan alasan apa pun, baik karena peretasan, kesalahan sistem, maupun adanya faktor orang dalam.
Standar teknis ini, lanjut dia, nanti ditentukan bersama antara Komisi PDP, negara, akademikus, praktisi, dan asosiasi industri. Dengan demikian, tidak bisa UU hanya mengamanatkan pada asosiasi saja, tetapi harus ada campur tangan negara, masyarakat, dan para pakar dalam hal ini.
Menurut Pratama, kelak Komisi PDP yang akan menentukan apakah pengendali data tersebut sudah memenuhi standar sebagaimana amanat UU PDP dalam menjalankan pemrosesan data pribadi atau tidak.
Di sinilah letak krusial Komisi PDP. Oleh karena itu, kata Pratama, tidak kunjung selesai pembahasan RUU ini karena selisih paham Komisi I DPR RI dan Kementerian Komunikasi dan Informatika (Kominfo).
"Komisi I ingin Komisi PDP di luar Kominfo atau menjadi lembaga independen langsung di bawah Presiden, sedangkan Kominfo sebaliknya," katanya menjelaskan.
COPYRIGHT © ANTARA News Aceh 2022
"Ini terkait dengan tidak adanya pengaturan teknis terkait dengan standar teknologi, sumber daya manusia (SDM), dan manajerial dalam pemrosesan data pribadi oleh pengendali data," kata Pratama Persadha menjawab pertanyaan ANTARA di Semarang, Senin pagi.
Pratama berharap Undang-Undang Pelindungan Data Pribadi ini memperkuat kedaulatan informasi di Tanah Air. Akan tetapi, bila dilihat dari draf terakhir RUU PDP ini, ancaman hukuman terkait dengan kebocoran data akibat peretasan terhadap pengendali data tidak ada.
Ia menegaskan bahwa sanksi berupa administrasi maupun denda ini harus masuk dalam RUU PDP, khususnya pada pengendali data yang mengalami kebocoran data, termasuk akibat peretasan.
Pasal ancaman pidana dan denda yang ada pada Pasal 61 sampai dengan Pasal 66, menurut dia, hanya mengatur soal perilaku meski soal data pribadi sudah ada aturannya dalam Pasal 26 Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) sebagaimana diubah dengan UU Nomor 19 Tahun 2016.
Namun, lanjut Pratama, pengendali data yang mengalami kebocoran data ini tidak diatur dalam RUU PDP. Misalnya, pengendali data jadi korban peretasan namun memang mereka tidak baik dalam mengelola data pribadi masyarakat.
"Hal ini nanti bisa diketahui lewat investigasi Komisi PDP apakah organisasi tersebut melaksanakan standar teknis yang diharuskan UU PDP," kata Pratama yang juga dosen STIN.
Masalahnya, apabila hanya pedoman perilaku tanpa ada standar teknis apa yang harus diimplementasikan, menurut dia, sama saja dengan saat ini akan terus terjadi kebocoran data akibat peretasan. Artinya, semua organisasi yang mengalami kebocoran data tidak bisa ditindak hukum.
Dengan pengaturan teknis oleh UU PDP, Pratama berharap semua pengendali data mau untuk memperbaiki sistem informasi mereka, baik offline (luar jaringan/luring) maupun online (dalam jaringan/daring).
Pratama juga beranggapan frasa "dengan sengaja" dalam draf RUU PDP mengandung tafsiran sepanjang tidak melawan hukum atau tidak ada kesengajaan melakukan pembocoran data sebuah organisasi tidak bisa terkena sanksi denda.
Padahal, kata dia, semangatnya adalah memaksa para pengendali data untuk meningkatkan standar sistem informasi karena mereka mengelola/memproses data pribadi masyarakat dalam jumlah besar.
Oleh karena itu, Pratama menekankan harus ada pasal minimal denda dan pidana penjara terhadap pengendali data pribadi yang mengalami kebocoran data dengan alasan apa pun, baik karena peretasan, kesalahan sistem, maupun adanya faktor orang dalam.
Standar teknis ini, lanjut dia, nanti ditentukan bersama antara Komisi PDP, negara, akademikus, praktisi, dan asosiasi industri. Dengan demikian, tidak bisa UU hanya mengamanatkan pada asosiasi saja, tetapi harus ada campur tangan negara, masyarakat, dan para pakar dalam hal ini.
Menurut Pratama, kelak Komisi PDP yang akan menentukan apakah pengendali data tersebut sudah memenuhi standar sebagaimana amanat UU PDP dalam menjalankan pemrosesan data pribadi atau tidak.
Di sinilah letak krusial Komisi PDP. Oleh karena itu, kata Pratama, tidak kunjung selesai pembahasan RUU ini karena selisih paham Komisi I DPR RI dan Kementerian Komunikasi dan Informatika (Kominfo).
"Komisi I ingin Komisi PDP di luar Kominfo atau menjadi lembaga independen langsung di bawah Presiden, sedangkan Kominfo sebaliknya," katanya menjelaskan.
COPYRIGHT © ANTARA News Aceh 2022