Winta, ibu rumah tangga di Jakarta, masih ingat dengan jelas momen ketika ia tahu data pribadinya pada sebuah platform e-commerce bocor tahun 2019 lalu. Saat itu, ia menerima SMS notifikasi transaksi kartu kredit tanpa sepengetahuannya untuk pembelian sejumlah barang senilai lebih dari Rp7 juta.
“Pas saya cek ini transaksi apa, di bawahnya saya lihat (nama) e-commerce berwana hijau. Pas saya cek histori dari pembayaran-pembayaran Bank Mandiri – kan bisa dicek secara online di mobile banking – ternyata ada transksi yang terjadi. 400 ribu… 500 ribu… 600 ribu… 700 ribu… satu juta berapa… sampai limit kartu tuh habis,” tuturnya.
Sebelumnya, Winta menyimpan data kartu kreditnya pada platform jual-beli online untuk kemudahan proses belanja daring. Namun, sejak kejadian tersebut, ia tak mau lagi melakukannya. Apalagi tidak ada tindak lanjut dari perusahaan e-commerce terkait soal keluhannya tentang insiden itu.
“Coba tanya sana-sini, Cuma bilang ‘ya udah lain kali nggak usah simpan data bank yang bayar langsung otomatis tinggal klik kartu kredit yang udah terdaftar di situ, jadi input manual aja tiap kali mau bayar, habis itu hapus lagi, input manual, hapus lagi.”
Kasus Winta – juga kasus-kasus serupa – menggambarkan kegentingan pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP), yang diharapkan menjadi tameng bagi masyarakat, pemerintah maupun swasta dari tindak pencurian dan penyalahgunaan data pribadi. Akan tetapi, sejak masuk program legislasi nasional tahun lalu dan sekarang, RUU itu tersendat pada pembahasan otoritas perlindungan data. Pemerintah bersikukuh ingin Kementerian Komunikasi dan Informatika (Kominfo) memegang komando itu – langkah yang disebut peneliti Yayasan Tifa, Sherly Haristya, mencerminkan keinginan Presiden Joko Widodo untuk melakukan perampingan struktur pemerintahan. Ia menilai, langkah itu berpotensi membuat otoritas perlindungan data tumpul ketika harus menangani kasus yang melibatkan pemerintah.
“Akuntabilitasnya nggak mungkin bisa jalan. Pasti ada kesungkanan, ini sesama institusi pemerintah, nggak akan bisa menginvestigasi.”
Baik Direktur Jenderal Aplikasi dan Informatika, Samuel Abrijani Pangerapan, maupun Juru Bicara Kementerian Kominfo, Dedy Permadi, tidak memberi tanggapan atas permohonan wawancara VOA hingga laporan ini terbit.
Di DPR, usulan pembentukan otoritas yang independen juga tidak diamini sepenuhnya. Anggota Komisi I DPR RI dari fraksi Nasdem, Muhammad Farhan, menganggap pengesahan RUU PDP sudah darurat, sehingga DPR sebaiknya berkompromi dengan usul pemerintah.
“Kalau melihat perkembangan situasi dan juga melihat eskalasi masalah yang timbul dari tidak adanya kepastian hukum dalam PDP, maka tampaknya kita harus mengikuti konsep yang dari pemerintah, yaitu si otoritas perlindungan data ini memang tetap langsung di bawah kementerian, dengan penanggung jawabnya menteri langsung.”
“Kita dorong sekarang agar komprominya ketemu di situ,” tambah Farhan.
Di sisi seberang, independensi otoritas perlindungan data pribadi justru menjadi harga mutlak. Anggota Komisi I DPR dari fraksi PKS, Abdul Kharis, mengatakan, “Kalau fraksi PKS tetap ingin otoritas itu independen. Istilahnya gini, yang bikin regulasi pemerintah, pelaksananya pemerintah, pengawasnya pemerintah, ya gimana…”
“Jadi, soal urgensi semua sepakat, ini penting. Tapi ketika kita menyelesaikan – karena pentingnya UU ini – bukan berarti kemudian kita mengabaikan faktor independensi otoritas ini.”
Peneliti Yayasan Tifa, Sherly Haristya, berharap pemerintah bisa tetap berkomitmen pada RUU PDP yang sejak awal merujuk pada General Data Protection Regulation (GDPR), instrumen hukum perlindungan data pribadi dan privasi Uni Eropa yang menjadi standar dunia. Dalam GDPR, otoritas perlindungan data pribadi dipegang oleh Data Protection Authorities (DPAs), otoritas independen yang mengawasi perlindungan data dengan wewenang melakukan penyelidikan dan langkah korektif.
Sherly mengatakan gagasan untuk menjadikan Kementerian Kominfo sebagai otoritas perlindungan data “tidak sinkron” dengan semangat RUU PDP pada awal penyusunannya.
“Pemerintahnya posisinya ngga sinkron, antara keinginan mereka untuk menjadi ideal seperti GDPR, tapi ternyata di tengah jalan ada hambatan resources dalam hal uang, salah satunya.”
“Kalau misalkan tidak siap punya komisi independen, berarti kan rombak dari awal, nggak bisa kita refer ke GDPR.”
Sementara RUU PDP macet di Senayan, pada Mei, 279 juta data penduduk yang bersumber dari BPJS Kesehatan diduga diretas dan dijual di forum daring. Tahun lalu, data 91 juta pengguna Tokopedia dijual di situs gelap (darkweb) – insiden yang diakui Tokopedia, meski mengklaim bahwa informasi penting pengguna, termasuk password “tetap terlindungi di balik enkripsi.”
Hingga Senin (7/6), Komisi I DPR masih menunggu keputusan pimpinan DPR terkait izin perpanjangan masa pembahasan RUU PDP yang sudah melalui tiga kali masa persidangan. Jika disahkan, undang-undang itu akan mengatur hak dan kewajiban pengendali, pemroses dan pemilik data pribadi, serta pedoman dan sanksi bagi pelanggar undang-undang. [rd/ka]