ELSAM soal Data Polri Bocor: Tak Ada Investigasi Akuntabel
Kebocoran data Polri oleh peretas atau hacker menambah panjang rentetan kebocoran data di institusi publik. Hal ini dinilai terus terjadi tanpa ada investigasi lanjutan yang akuntabel.
Hal tersebut diungkap Lembaga Studi dan Advokasi Masyarakat ELSAM. Disebut dalam keterangan pers bahwa sebenarnya investigasi penting untuk dilakukan.
“Setiap kali terjadi insiden kebocoran data yang melibatkan institusi publik, hampir tidak ditemukan adanya suatu proses investigasi yang dilakukan secara akuntabel,” tulis ELSAM dalam keterangan pers.
“Padahal adanya laporan investigasi yang akuntabel ini tidak hanya penting bagi pengendali data, tetapi juga untuk memastikan pemenuhan hak‐hak subjek data, termasuk di dalamnya hak pemulihan yang efektif,” lanjut keterangan tersebut.
Database Polri yang terdiri dari 20 elemen data pribadi diduga bocor 17 November lalu, termasuk beberapa data pribadi yang bersifat sensitif, dengan tingkat ancaman risiko tinggi bagi subjek data.
Data pribadi yang bocor meliputi nama, Nomor Register Pokok (NRP), pangkat, tempat dan tanggal lahir, satuan kerja, jabatan, alamat, agama, golongan darah, suku, email, hingga nomor telepon.
Selain itu, ada juga yang terkait dengan posisi kasus korban tindak pidana mencakup data rehab putusan, rehab putusan sidang, jenis pelanggaran (termasuk kronologi pelanggaran dan juga nama korban yang terlibat), rehab keterangan, id propam, hukuman selesai, dan tanggal selesai pembinaan dan penyuluhan (binlu).
Mengacu pada PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (Permenkominfo 20/2016), setiap pemrosesan data pribadi harus sesuai dengan prinsip pelindungan data pribadi, termasuk kewajiban memastikan keamanan data pribadi.
Sebagai bagian dari SPBE, pengelolaannya juga wajib mengikuti Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik (Perpres SPBE), yang teknis operasionalisasinya telah diatur dalam Peraturan BSSN No. 4/2021 tentang Pedoman Manajemen Keamanan Informasi Sistem Pemerintahan Berbasis Elektronik dan Standar Teknis dan Prosedur Keamanan Sistem Pemerintahan Berbasis Elektronik (Peraturan BSSN 4/2021).
Dalam peraturan tersebut ditegaskan setiap penyelenggaraan SPBE, selain memastikan keamanan sistemnya, juga harus mampu mencapai tujuan perlindungan data pribadi.
ELSAM dalam rilisnya juga menyebut dengan rujukan pengaturan tersebut, semestinya Kepolisian dapat segera melakukan langkah‐langkah mitigasi, untuk memastikan berhentinya kebocoran data tersebut.
Selain itu untuk mengidentifikasi penyebab kebocoran, sekaligus risiko yang mungkin terjadi pada subjek datanya.
Dalam kapasitasnya sebagai pengendali data, ELSAM menyebut Kepolisian harus segera memberikan pemberitahuan tertulis kepada subjek data yang data pribadinya bocor atau terbuka ke publik.
“Mengacu pada peraturan yang berlaku saat ini, BSSN dan Kemkominfo juga perlu segera melakukan proses investigasi, untuk mengetahui penyebab kebocoran, besaran dan risiko kebocoran, dan memberikan rekomendasi untuk mencegah kebocoran terjadi kembali.”
Berbagai legislasi dan regulasi sektoral terkait dengan perlindungan data saat ini juga disebut belum secara baik mengatur jaminan perlindungan hak‐hak subjek data. Termasuk mengatur detail kewajiban pengendali dan pemroses data, diantaranya kewajiban ketika terjadi insiden kebocoran data pribadi.
Oleh karenanya keberadaan UU Pelindungan Data Pribadi yang komprehensif menjadi penting disegerakan, untuk meminimalisir terus berulangnya insiden kebocoran data pribadi.
Legislasi ini juga harus mampu menghadirkan adanya otoritas perlindungan data pribadi yang independen, yang akan menjadi kunci efektivitas implementasi undang‐undang, terutama dalam memastikan perlindungan hak‐hak subjek data.
Balajar dari kasus kebocoran data yang melibatkan institusi Kepolisian ini, UU Pelindungan Data Pribadi juga perlu secara baik mengatur tingkat perlindungan (gravity of protection) terhadap setiap jenis data pribadi.
(ttf/fjr)
