Logo Bloomberg Technoz

Kedua, mengacu pada ketentuan peralihan UU PDP, masa transisi atau engagement period undang-undang ini akan segera berakhir pada Oktober 2024, artinya mulai Oktober 2024 seharusnya seluruh standar kepatuhan pelindungan data pribadi harus diimplementasikan oleh pengendali dan prosesor data. Termasuk juga seluruh mekanisme penegakan hukum terkait dengan pelaksanaan kepatuhan, harus mulai dijalankan.

Namun demikian, insiden ini sekali lagi memperlihatkan belum siapnya institusi publik dalam mengimplementasikan kewajiban kepatuhan sebagai pengendali dan prosesor data pribadi.

Ketiga, meskipun dalam Penjelasan Pasal 15 huruf c UU PDP tertulis bahwa perpajakan masuk dalam ruang lingkup pengecualian dengan alasan untuk kepentingan umum dalam rangka penyelenggaraan negara, bukan berarti DJP dikecualikan dari kewajiban kepatuhan sebagai pengendali data pribadi, dan bukan berarti pula data pribadi subjek data dikecualikan.

Pengecualian ini hanya dimaksudkan berkaitan dengan penyelenggaraan fungsi pengawasan dalam penyelenggaraan negara, termasuk yang terkait dengan pengawasan perpajakan. Artinya, data-data pribadi subjek pajak yang diduga terungkap, merupakan dari data pribadi yang dilindungi, dan DJP sebagai pihak pengendali data bertanggung jawab dalam pelindungan tersebut.

Untuk itu, ELSAM mendorong pemerintah untuk melakukan 5 hal ini:

1. DJP Kemenkeu bertindak cepat untuk melakukan investigasi internal terkait dugaan insiden kebocoran data pribadi subjek pajak, termasuk juga memberikan notifikasi tertulis kepada subjek data sebagaimana diwajibkan Pasal 46 UU PDP.

Pemberitahuan setidaknya harus memuat informasi mengenai data yang terungkap, kapan dan bagaimana data tersebut terungkap, upaya dan penanganan pemulihannya, termasuk bila dimungkinkan menjelaskan langkah-langkah mitigasi yang dapat dilakukan oleh subjek datanya, untuk meminimalisir risiko yang mungkin terjadi akibat kebocoran data tersebut.

2. Sampai dengan terbentuknya lembaga pelindungan data pribadi, sebagaimana dimandatkan UU PDP, Kementerian Kominfo harus bertindak sebagai otoritas pelindungan data, mengacu pada PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE), untuk memastikan tidak adanya kekosongan institusi penegakan kepatuhan dalam pelindungan data pribadi.

Merujuk Pasal 35 PP PSTE Kominfo memiliki wewenang untuk mengawasi Penyelenggara Sistem Elektronik (PSE) lingkup publik dan privat, terkait dengan pelaksanaan kewajiban mereka sebagai PSE, termasuk kewajiban pelindungan data pribadi.

Oleh karenanya Kominfo harus segera mengambil langkah proaktif untuk menginvestigasi dugaan insiden ini, untuk menghentikan kebocoran atau pengungkapan, termasuk memberikan rekomendasi perbaikan dalam pelaksanaan standar kepatuhan.

3. Dalam banyak kasus kebocoran data pribadi, seringkali terjadi sebagai akibat dari insiden keamanan siber, seperti cyber attack, sehingga Badan Siber dan Sandi Negara (BSSN) juga penting melakukan investigasi terhadap dugaan terjadinya insiden keamanan siber yang berdampak pada terjadinya kebocoran data pribadi ini, dan segera memberikan rekomendasi perbaikan sistem keamanan untuk mencegah insiden serupa terjadi kembali.

4. Apabila dari proses investigasi ditemukan adanya dugaan unsur tindak pidana pelindungan data pribadi, sebagaimana diatur UU PDP, maka dapat segera diteruskan kepada penyidik untuk proses penegakan hukum pidana. Meski standar kepatuhan pelindungan data pribadi baru akan diimplementasikan 2 tahun setelah diundangkannya UU PDP, namun pidana pelindungan data pribadi langsung dapat ditegakkan sejak undang-undang ini berlaku, pada saat diundangkan (Pasal 76 UU PDP).

5. Pemerintah, khususnya Presiden, perlu memastikan adanya akselerasi proses penyelesaian penyusunan Peraturan Pemerintah tentang Implementasi Pelindungan Data Pribadi, termasuk pembentukan lembaga pelindungan data pribadi, sebagai instrumen kunci dalam memastikan efektivitas implementasi UU PDP. Pemerintah juga perlu secara sistemik mengembangkan beragam upaya peningkatan kapasitas pelindungan data pribadi bagi kementerian atau lembaga sebagai pengendali atau prosesor data, guna menjamin konsistensi sektor publik dalam menerapkan seluruh standar kepatuhan pelindungan data pribadi.

(spt/frg)

No more pages