Oleh: NURMADJITO SH MH
(Pengamat Hukum dan HAM, KSA XIII Tahun 2005)
Serangan ransomware terhadap Pusat Data Nasional Sementara (PDNS), tidak hanya mengguncang keamanan siber, tetapi juga berimplikasi terhadap keamanan data pribadi masyarakat Indonesia. Serangan siber seperti ini, menunjukkan bahwa kejahatan siber bisa menjadi alat yang dapat menguasai data pribadi.
Sejak berlakunya Undang-undang No 27 Tahun 2022 tentang Perlindungan Data Pribadi, pemerintah berkewajiban memberikan jaminan keamanan data pribadi masyarakat dari pencurian atau pemalsuan. Undang-undang ini menjadi penanda era baru tata kelola data pribadi masyarakat, terkhusus dalam urusan digital. Ketika terjadi serangan siber, tidak hanya negara yang menjadi korban, tetapi masyarakat juga menjadi korban karena infrastruktur data pribadi akan dirusak dan aksi Kriminal akan timbul setelah para hacker menguasasi data pribadi masyarakat.
Para hacker ini bisa bekerjasama dengan kelompok kriminal untuk memanfaatkan kebocoran data pribadi penduduk, pengungkapan data pribadi tanpa kendali terbukti menimbulkan banyak risiko beragam tindak kriminalitas. Perundungan, ancaman, penipuan, hingga pembobolan akun menjadi hal yang tidak terhindarkan. Sampai dengan saat ini, Kelompok ini belum mengumumkan peretasan data pribadi, berbeda halnya dengan peretas Bjorka yang mengaku telah memiliki data pribadi milik warga Indonesia, termasuk beberapa data pribadi pejabat publik.
Kegagalan pemerintah menghadapi serangan siber ransom ini menunjukkan bukti \ ketidakpercayaan publik dan meresahkan. Padahal dewasa ini telah tumbuh perilaku masyarakat yang dengan mudahnya berbagi data pribadi. Penyerahan data pribadi dalam kerangka hukum terjadi adalah misalnya dalam pendataan kependudukan, pendataan perpajakan dan penyerahan data pribadi secara suka rela terjadi karena kebutuhan, seperti data perbankan, data rumah sakit, data BPJS, data penggunaan telpon seluler.
Sampai dengan saat ini, kewajiban pengendalian data yang dilakukan oleh setiap orang, badan hukum, badan publik, dan organisasi sosial termasuk organisasi internasional, belum ditata degan baik, padahal Undang-undang Pelayanan Publik telah mengatur Kewajiban itu juga ditujukan kepada setiap pihak termasuk institusi pemerintahan atau lembaga swasta yang meminta dan memproses data pribadi masyarakat. Pihak ini dikategorikan sebagai pengendali data dan Undang-undang mengatur kewajiban menunjukkan bukti persetujuan dari subjek data, melakukan perekaman seluruh kegiatan pemrosesan data pribadi, melindungi dan memastikan keamanan data pribadi, serta menyampaikan legalitas, tujuan, dan relevansi pemrosesan data pribadi.
Dalam situasi di mana pemerintah dianggap gagal melindungi kepentingan publik, seharusnya Pemerintah mempercepat pengaturan pelaksanaan Undang-undang. Sejak dinyatakan berlaku bulan Oktober 2022, sampai dengan kini, Kementerian Komunikasi dan Informatika, belum satupun menerbitkan peraturan yang melaksanakan Undang-undang. Ketiadaan ini, menjadikan pihak yang oleh undang-undang diwajibkan menjaga Data Pribadi Publik, sama sekali tidak merasa memiliki kepentingan untuk menjaga Data Publik.
Sejalan dengan perkembangan dunia digital di Indonesia dengan Industri 4.0, data Hootsuite (We are Social) 2022, menunjukkan 204,7 juta penduduk Indonesia menggunakan internet dan 93,5 persen di antaranya aktif sebagai pengguna media sosial. Ternyata, lembaga perlindungan data pribadi yang bertanggung jawab kepada presiden dan kewenangan Lembaga, belum sama sekali diatur Menteri Komunikasi dan Infromatika.
Akibatnya penjaminan atas hak warga negara atas perlindungan diri pribadi dan pengakuan serta penghormatan atas pentingnya perlindungan data pribadi, terelakan. Padahal Perlindungan data pribadi merupakan salah satu hak asasi manusia yang merupakan bagian dari perlindungan diri pribadi, tercantum Pasal 28G UUD 1945. Oleh karena itu, beban pelaksanaan undang-undang diletakan berada di pundak pemerintah. Karena sebagian besar Data pribadi publik dikelola instansi pemerintah untuk kebutuhan pelayanan publik. Seperti, Nomor Induk Kependudukan (NIK) dan Nomor Pokok wajib Pajak (NPWP). Namun demikian perusahaan swasta memiliki kewajiban yang sama dan wajib menjaga agar data pribadi tidak dimanfaatkan menjadi komoditas ekonomi. ***