Menanggapi insiden kebocoran data registrasi SIM card serta proses pengesahan RUU PDP yang sedang berlangsung, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) mendorong Pemerintah dan DPR untuk memastikan adanya partisipasi publik yang bermakna sebelum dan sesudah RUU PDP disahkan. Hal ini penting agar Indonesia memiliki pondasi UU PDP yang baik guna menopang kesiapan Indonesia untuk mengimplementasikannya kelak secara sederhana dan bermakna bagi sektor privat, sektor publik, serta beragam kalangan masyarakat di Indonesia di era transformasi digital saat ini.
Mengenai insiden kebocoran data registrasi SIM Card, sebagai latar belakang, tahun 2016 lalu, Kementerian Komunikasi dan Informatika (Kominfo) mengeluarkan sebuah regulasi terkait dengan kewajiban pelanggan jasa telekomunikasi untuk mendaftarkan mendaftarkan SIM card-nya dengan memasukkan Nomor Induk Kependudukan (NIK).
Kominfo menjamin keamanan data pribadi yang dikumpulkannya dengan mendalilkan telah menerapkan ISO 27001. Akan tetapi, pada Rabu, 31 Agustus 2022 lalu, terjadi insiden kebocoran data di mana akun peretas Bjorka menjual 1,3 miliar data pribadi warga Indonesia yang didapat dari Kominfo, yaitu NIK, nomor telepon, penyelenggara telekomunikasi, dan tanggal registrasi di sebuah forum peretas. Kominfo merilis Siaran Pers Nomor 377/HM/KOMINFO/09/2022 pada 1 September 2022 yang menyatakan secara sepihak bahwa “data tersebut tidak berasal dari Kementerian Kominfo”. Sebagai catatan, kebocoran data pribadi yang dialami oleh sektor publik juga pernah terjadi pada Komisi Pemilihan Umum (KPU), Komisi Perlindungan Anak Indonesia (KPAI), dan Kementerian Kesehatan (Kemenkes).
Insiden kebocoran data registrasi SIM card menunjukkan bahwa Kementerian dan Lembaga di Indonesia menjalani dua peranan, yaitu sebagai entitas yang turut mengatur dan mengimplementasikan isu PDP sekaligus sebagai pelaku pemrosesan data pribadi. Hal ini berarti Indonesia memerlukan Otoritas Pengawas Pelindungan Data Pribadi (Otoritas PDP) yang memiliki kompetensi sekaligus bisa secara adil melaksanakan tugas dan kekuasaannya untuk mengawasi kegiatan pemrosesan data yang dilakukan termasuk oleh atau untuk sektor publik. Oleh karena itu, keberadaan Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) harus memastikan kehadiran Otoritas PDP yang independen. Tanpa otoritas PDP yang independen, Indonesia akan mengalami kesulitan di dalam membangun kepercayaan masyarakat dan mendorong akselerasi transformasi digital yang berkesinambungan di negara ini.
Sementara itu, KA-PDP mendapatkan informasi bahwa RUU PDP terbaru belum mengatur kelembagaan Otoritas PDP yang independen. Kewenangan utama penyelenggaraan pelindungan data pribadi dan pengawasannya ada pada pemerintah (Pasal 58 ayat (1) RUU PDP). Kemudian, pemerintah akan menurunkannya pada sebuah “lembaga” yang nantinya akan ditetapkan oleh presiden (Pasal 58 ayat (2) dan (3) RUU PDP) dan lembaga tersebut juga akan bertanggung jawab kepada presiden (Pasal 58 ayat (4) RUU PDP). Nampak bahwa bakal Otoritas PDP di Indonesia adalah sebuah lembaga yang berada pada kakiPermenkominfo Nomor 12 Tahun 2016 tentang Registrasi Pelanggan Jasa Telekomunikasi, yang saat ini telah dicabut dan digantikan dengan Permenkominfo Nomor 5 Tahun 2021 tentang Registrasi Pelanggan Jasa Telekomunikasi. Peraturan yang dikeluarkan pada tahun 2016 tersebut, secara efektif diberlakukan pada Oktober 2017.
Sementara itu, pemerintah akan memiliki 2 (dua) persona, yaitu sebagai pengawas sekaligus yang diawasi. RUU PDP juga perlu secara saksama mengatur isu-isu krusial yang berdampak pada beragam kalangan masyarakat, seperti 1) ruang lingkup data pribadi spesifik dan mekanisme pelindungannya, 2) pendefinisian usia anak, 3) pengaturan terkait pengendali data gabungan, 4) penghapusan sanksi pidana dan pengenaan sanksi denda administratif secara berjenjang (berdasarkan skala usaha pengendali data), 5) kewajiban pengendali dan pemroses data, 6) hak-hak subjek data serta pengaturan pengecualian pemrosesan data pribadi yang menjunjung tinggi pelindungan subjek data.
Berangkat dari pertimbangan di atas, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) mendorong beberapa poin berikut:
- Pemerintah dan DPR harus memastikan adanya partisipasi publik yang bermakna sebelum RUU PDP disahkan;
- Melalui partisipasi publik yang bermakna, Pemerintah dan DPR harus memastikan pengaturan dalam RUU PDP adalah baik dan layak untuk kelak undang-undang ini menjadi payung regulasi isu PDP di Indonesia;
- Melalui partisipasi publik yang bermakna, Pemerintah dan DPR harus memastikan keberadaan pengaturan Otoritas PDP yang independen dan kompeten dalam RUU PDP;
- Pemerintah harus melakukan upaya dan tindakan secara serius, transparan, dan akuntabel dalam penanganan kasus kebocoran data pribadi SIM card, termasuk memberikan notifikasi kepada subjek data yang terdampak;
- Melalui partisipasi publik yang bermakna, Indonesia juga sudah harus memikirkan dan memulai langkah-langkah persiapan implementasi RUU PDP dengan dapat merujuk kepada “Peta Jalan Tata Kelola Pelindungan Data Pribadi”.
Jakarta, Kamis, 8 September 2022
Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP): ELSAM, AJI Indonesia, ICT Watch, PUSKAPA UI, ICJR, LBH Jakarta, AJI Jakarta, LBH Pers, Yayasan Tifa, Imparsial, HRWG, YLBHI, Forum Asia, Kemudi, Pamflet, Medialink, IPC, ICW, Perludem, SAFEnet, IKI, PurpleCode, Kemitraan, IAC, YAPPIKA-ActionAid, IGJ, Lakpesdam PBNU, ICEL, PSHK, CCHRS UPNVJ. (siaran pers)