Langkah Konkret Setelah UU Perlindungan Data Pribadi Disahkan

ADVERTISEMENT

Kolom

Langkah Konkret Setelah UU Perlindungan Data Pribadi Disahkan

Haekal Al Asyari - detikNews
Selasa, 22 Nov 2022 11:40 WIB
Ilustrasi keamanan siber
Ilustrasi: Shutterstock
Jakarta -

Perkembangan teknologi dan interaksi digital oleh manusia telah menampakkan kelemahan-kelemahan dalam peraturan perundang-undangan. Meningkatnya jumlah ancaman siber terhadap sektor publik dan swasta menciptakan urgensi untuk lebih melindungi privasi dan keamanan di dunia maya. Pada 20 September 2022, DPR telah mengesahkan Undang-Undang Perlindungan Data Pribadi. Hal ini dinilai sebagai terobosan negara Indonesia dalam mengatur dunia maya.

Terlepas terobosan ini, masih banyak aspek substansial yang harus ditindaklanjuti, dan celah hukum berkaitan dengan keamanan siber yang harus diisi oleh pemerintah, praktisi, ahli hukum, serta akademisi. UU No.27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) terdiri dari 76 pasal. Undang-undang ini menjadi landasan perlindungan data di Indonesia yang mana sebelumnya landasan tersebut terfragmentasi.

UU PDP mengatur hubungan antara pengontrol data, pengolah data, dan subjek data sehubungan dengan pengumpulan, pemrosesan, analisis, penyimpanan, perbaikan, pemutakhiran, penghapusan, dan penghentian data pribadi. UU PDP membedakan antara data pribadi dan data publik; antara keduanya memiliki pendekatan perlindungan yang berbeda. UU PDP juga mengatur hak dan kewajiban para pihak yang terlibat dalam setiap proses tersebut.

Aspek lain yang juga diatur dalam UU PDP mencakup pengalihan data pribadi, kewajiban penunjukan petugas perlindungan data, kerja sama internasional, penyelesaian sengketa, serta sanksi administratif dan pidana. Secara keseluruhan, UU PDP cukup komprehensif untuk dijadikan landasan hukum yang melindungi data pribadi warga negara. Namun, terdapat beberapa pertanyaan yang masih harus dijawab; bagaimana kita dapat mengoptimalkan implementasinya? Bagian mana yang masih harus untuk ditindaklanjuti?

Data Pribadi dan Keamanan Siber

Data pribadi merupakan salah satu objek yang harus dilindungi dengan mekanisme keamanan siber. Tujuan dari sistem keamanan siber adalah untuk melindungi jaringan, komputer, program, dan data dari serangan dan akses yang tidak sah. Serangan tersebut dapat bervariasi dari serangan perangkat keras, serangan jaringan, dan serangan aplikasi. Semakin banyak informasi pribadi yang disimpan dan diproses secara online, perlindungan privasi menjadi semakin bergantung pada sistem keamanan yang efektif. Langkah-langkah keamanan siber juga mendukung infrastruktur penting yang melindungi data dan menjaga informasi pribadi.

Ketergantungan pada sistem keamanan siber sangatlah penting dalam melindungi negara kita dari ancaman pada jaringan, perangkat, informasi, dan data pribadi. Fakta bahwa dalam 1,5 tahun terakhir Indonesia telah mengalami setidaknya lima insiden pelanggaran data besar, yang menargetkan tidak hanya lembaga pemerintah, tetapi juga layanan kesehatan, lembaga keamanan, pemilihan umum, dan e-commerce merupakan bukti lemahnya sistem keamanan siber Indonesia.

Saat ini, Indonesia belum memiliki peraturan khusus untuk keamanan siber. Sebagian besar undang-undang yang menyentuh terkait keamanan siber masih terpecah dan tumpang tindih. Pengesahan UU PDP telah mampu menutupi celah hukum tersebut. Namun hal tersebut masih belum mencukupi dan terdapat sebuah urgensi untuk segera menetapkan peraturan khusus untuk keamanan siber di Indonesia.

Status Quo Kerangka Hukum

Berdasarkan studi yang dilakukan tentang kebijakan keamanan siber di negara-negara ASEAN, Indonesia diakui sebagai salah satu hot spot untuk 'kegiatan web yang mencurigakan'. Ada beberapa alasan mengapa Indonesia menjadi target serangan siber yang menguntungkan. Pertama, jelas bahwa serangan tersebut ingin menargetkan negara dengan sejumlah besar pengguna internet, yang memiliki miliaran data pengguna.

Kedua, kebijakan dan kerangka hukum Indonesia yang mengatur keamanan siber masih terbatas dan sebagian besar tumpang tindih. Ketiga, jumlah sumber daya manusia dan ahli di bidang keamanan siber baik di ranah publik maupun privat sangat rendah. Terakhir, terdapat sebuah persepsi umum dari perusahaan-perusahaan untuk tidak menganggap keamanan siber sebagai sebuah prioritas.

Meskipun tidak ada undang-undang khusus yang mengatur tentang keamanan siber, Indonesia sebenarnya telah memiliki kerangka perlindungan hukum seperti UU Telekomunikasi, UU Informasi dan Transaksi Elektronik, UU Penyiaran, UU Keterbukaan Informasi Publik, KUHP, UU Antipornografi, UU Hak Cipta, UU Perlindungan Konsumen, serta langkah teknis dan prosedural lainnya di bawah kementerian terkait. Sebagai contoh adalah penerapan Standar Nasional Manajemen Keamanan (ISO 270001) (SNI ISO/IEC 27001:2009). Adapun lembaga-lembaga yang memiliki tugas dan fungsi menjaga keamanan siber seperti Kementerian Komunikasi dan Informatika, Badan Intelijen Negara (BIN), dan Badan Standardisasi Nasional (BSN).

Namun, hadirnya peraturan-peraturan dan lembaga tersebut tidak luput dari tumpang tindih baik dari segi ruang lingkup tugas ataupun fungsi koordinasi. Oleh karena itu, muncul sebuah urgensi mendesak untuk membentuk sebuah payung hukum yang dapat mengintegrasikan upaya perlindungan sistem keamanan siber yang efektif. Hal ini bertujuan untuk mencegah dan meminimalkan risiko ancaman seperti akses tidak sah, konten ilegal, pemalsuan data, spionase, pemerasan dan kejahatan dunia maya.

Pemerintah dan pemangku kepentingan lainnya perlu untuk memiliki keseragaman pemahaman dalam pengelolaan keamanan siber. Selain itu, kesadaran akan ancaman dan tanggapan yang terkoordinasi memerlukan dasar hukum yang kuat bagi pihak-pihak terkait untuk dapat bertindak.

Langkah Konkret

Untuk menanggapi kekhawatiran keamanan siber tersebut, terdapat beberapa langkah konkret yang harus dilakukan oleh pemerintah.

Pertama UU PDP, proses pembuatan aturan turunan harus segera dilaksanakan secara transparan dan melibatkan partisipasi publik. Beberapa aspek yang memerlukan aturan pelaksanaan antara lain; keberatan terhadap pemrosesan data otomatis, pelanggaran pemrosesan data pribadi, hak subjek data untuk menggunakan dan mengirimkan data pribadi, pelaksanaan pemrosesan data pribadi, penilaian dampak perlindungan data pribadi, pemberitahuan transfer data pribadi, penunjukan petugas perlindungan data, tata cara pengenaan sanksi administratif, pembentukan kelembagaan, dan tata cara pelaksanaan kewenangan lembaga.

Kedua, DPR dan pemerintah harus melanjutkan progres pengusulan dan pengesahan RUU Keamanan dan Ketahanan Siber. Ketiga, pemerintah bersama pemangku kepentingan dan para ahli harus menyiapkan strategi keamanan siber yang komprehensif dan terkini berdasarkan RUU yang diusulkan.

(mmu/mmu)

ADVERTISEMENT

ADVERTISEMENT

ADVERTISEMENT

ADVERTISEMENT