Salah satunya, sesuai Pasal 74, lembaga dan perusahaan pengelola data pribadi harus memiliki Petugas Perlindungan Data atau Data Protection Officer. Usai siap, pemerintah kemungkinan baru membentuk komisi PDP yang akan mulai mengawasi dan memberikan sanksi.

"Dalam kasus kebocoran data, pihak-pihak yang harus bertanggung jawab adalah perusahaan sebagai pengendali atau pemroses data, serta pelaku kejahatan siber yang menyebarkan data pribadi ke ruang publik," ujar Pratama.

Mantan direktur Badan Siber dan Sandi Negara (BSSN) tersebut mengatakan, Indonesia memiliki rekam jejak kebocoran data yang buruk. Dia mencatat sejumlah kasus bobolnya data pribadi masyarakat. 

Beberapa di antaranya adalah serangan ransomware pada Garuda Indonesia dan Bank Syariah Indonesia. Selain itu pencurian data passpor di Ditjen Imigrasi Kementerian Hukum dan HAM; data pelanggan Myindihome di Telkom Indonesia serta berbagai data pribadi lainnya oleh hacker dengan kode Bjorka. Terakhir, peretas dengan kode RRR mencuri jutaan data Kemendagri.

(frg)