YOGYAKARTA, MENARA62.COM — Dr Yudi Prayudi MKom, Pakar Forensika Digital Universitas Islam Indonesia (UII) menandaskan bantahan institusi yang datanya bocor tidak menghapuskan tanggung jawab. Sebab berdasarkan Undang-Undang Pelindungan Data Pribadi (UU PDP) memberikan perlindungan hukum yang kuat bagi pemilik data pribadi (subjek data) dan menetapkan tanggung jawab yang jelas bagi pengendali data.
Berlakunya UU PDP, kata Yudi, setiap institusi yang mengelola data pribadi kini memiliki tiga kewajiban. Pertama, menjamin keamanan dan kerahasiaan data pribadi yang diproses. Kedua, melakukan pelaporan kebocoran data dalam waktu 72 jam kepada pihak berwenang dan kepada subjek data. Ketiga, mengimplementasikan langkah-langkah teknis untuk melindungi data dari akses yang tidak sah.
“Setiap pengendali data yang terbukti lalai dalam melindungi data pribadi dapat dikenai sanksi administratif. Seperti denda hingga 2% dari pendapatan tahunan, dan sanksi pidana berupa penjara hingga 6 tahun dan denda hingga Rp 6 miliar,” kata Yudi Prayudi di Yogyakarta, Sabtu (21/9/2024).
Karena itu, kata Yudi, adanya UU PDP, diharapkan pengelola data di seluruh Indonesia akan lebih serius dalam menerapkan standar keamanan siber yang ketat dan menjadikan perlindungan data sebagai prioritas utama. “Jika aturan ini diterapkan dengan benar, Indonesia dapat meningkatkan kepercayaan publik terhadap keamanan data pribadi serta mengurangi risiko kebocoran di masa mendatang,” kata Yudi yang juga Kepala Pusat Studi Forensika Digital UII.
Selanjutnya, Yudi menyoroti kebocoran data Nomor Pokok Wajib Pajak (NPWP) melibatkan sekitar 6 juta data pribadi, termasuk data pejabat publik, baru-baru ini. Kebocoran ini menyasar data sensitif, sehingga menambah daftar panjang kasus serupa di Indonesia, yang mempertanyakan keamanan data warga negara.
Namun ternyata. kata Yudi, Direktorat Jenderal Pajak (DJP) membantah adanya kebocoran data NPWP terkait kasus yang ramai diperbincangkan baru-baru ini. Menurut keterangan resmi dari DJP, berdasarkan audit dan penelusuran log sistem selama enam tahun terakhir, tidak ditemukan indikasi kebocoran data dari sistem informasi mereka. DJP menegaskan bahwa struktur data yang diduga bocor tidak terkait langsung dengan pelaksanaan hak dan kewajiban perpajakan warga negara.
Menurut Yudi, bantahan DJP ini harus dipandang secara hati-hati. Pada saat yang sama, laporan di forum gelap (dark web) menunjukkan adanya penjualan data yang mengandung NIK, NPWP, alamat, nomor telepon, dan email. Hal ini menyebabkan kekhawatiran besar di kalangan pakar keamanan siber, meskipun belum ada bukti kuat yang menunjukkan bahwa kebocoran tersebut berasal langsung dari sistem DJP.
“Bantahan dari DJP bahwa kebocoran data NPWP bukan berasal dari sistem mereka tidak otomatis membebaskan DJP dari tanggung jawab terkait perlindungan data pribadi,” tandas Yudi Prayudi yang juga dosen Fakultas Teknologi Industri (FTI) UII.
Sebab DJP merupakan institusi yang setidaknya memiliki empat kewajiban yaitu tanggung jawab pengendali data, kewajiban investigasi dan pelaporan, akuntabilitas institusi publik, dan persepsi publik dan tanggung jawab moral. Tanggung jawab pengendali data, kata Yudi, berdasarkan UU Pelindungan Data Pribadi (UU PDP), DJP sebagai pengendali data bertanggung jawab atas keamanan dan kerahasiaan data yang mereka kelola.
Bahkan, tambah Yudi, jika kebocoran tidak berasal dari lingkungan sistem mereka, DJP tetap memiliki kewajiban untuk memastikan bahwa data yang ada dalam pengawasannya terlindungi dengan baik. “Bantahan tersebut tidak sepenuhnya membebaskan mereka dari tanggung jawab hukum jika terdapat bukti kelalaian dalam aspek pengelolaan atau perlindungan data,” kata Yudi.
Kewajiban investigasi dan pelaporan, jelas Yudi, meskipun DJP menyatakan kebocoran bukan berasal dari sistem mereka, mereka tetap berkewajiban untuk melakukan investigasi menyeluruh dan melaporkan hasil investigasi kepada pihak yang berwenang, seperti Badan Siber dan Sandi Negara (BSSN) atau Kominfo, sesuai ketentuan UU PDP. “Jika DJP tidak menjalankan investigasi secara menyeluruh atau menunda pelaporan, hal ini bisa menimbulkan sanksi tambahan,” katanya.
Sedang akuntabilitas institusi publik, terang Yudi, sebagai institusi publik yang mengelola data sensitif seperti NPWP, DJP harus tetap bertanggung jawab untuk memastikan data yang mereka kelola tidak disalahgunakan, bahkan jika kebocoran terjadi di luar sistem mereka. Institusi seperti DJP perlu bekerja sama dengan pihak lain, termasuk vendor atau mitra yang mungkin memiliki akses ke data, untuk memastikan tidak ada kebocoran dari pihak ketiga.
Persepsi publik dan tanggung jawab moral, kata Yudi, terlepas dari tanggung jawab hukum, DJP memiliki tanggung jawab moral kepada masyarakat sebagai pengelola data pribadi. Jika publik merasa DJP tidak mengambil langkah yang cukup untuk melindungi data mereka, bantahan semacam ini bisa dianggap sebagai upaya untuk menghindari tanggung jawab, yang dapat memperburuk kepercayaan publik terhadap institusi tersebut.
“Sehingga meskipun bantahan DJP bahwa kebocoran tidak berasal dari sistem mereka bisa menjadi bagian dari klarifikasi, hal ini tidak bisa dijadikan alasan untuk sepenuhnya menghindari tanggung jawab. DJP tetap harus bertanggung jawab secara hukum dan moral untuk memastikan perlindungan data dan menindaklanjuti dugaan kebocoran tersebut sesuai peraturan yang berlaku,” kata Yudi. (*)
