Beberapa hari lalu tepatnya pada Selasa (20/09/2022), Dewan Perwakilan Rakyat (DPR) akhirnya mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) menjadi Undang-Undang. Langkah ini begitu ditunggu publik, khususnya di tengah derasnya arus serangan siber.

Sebelum peraturan ini disahkan, masyarakat dan bahkan pemerintah masih belum bisa berbuat banyak jika data pribadi milik individu maupun data rahasia institusi negara bocor. Dengan disahkannya peraturan ini, keamanan digital nasional menjadi semakin kuat karena adanya kebijakan pengelolaan data pribadi hingga sanksi dan denda yang menunggu.

Indonesia menyusul ketertinggalan. Itulah kalimat yang menggambarkan telatnya regulasi yang mengurus perlindungan data pribadi nasional di tengah banyaknya negara yang sudah mengadopsi regulasi serupa beberapa tahun sebelumnya.

Uni Eropa menjadi entitas pertama di dunia yang memiliki regulasi perlindungan data pribadi modern di tengah perkembangan dunia digital. Diundangkan pada tahun 2016, General Data Protection Regulation (GDPR) mengatur tentang transaksi data pribadi hingga sanksi yang menanti jika ada ketentuan yang dilanggar.

Unsur pertahanan dan keamanan Indonesia secara militer memang mencengangkan di dunia. Namun, urusan pertahanan dan keamanan di dunia digital adalah hal yang berbeda. Indonesia kerap kali menjadi sasaran empuk serangan digital dari berbagai peretas negara lain.

Merujuk pada laporan Southeast Asia Freedom of Expression Network (SAFEnet) pada tahun 2021, terjadi ratusan kasus serangan siber di Indonesia. Laporan tersebut berisi data sebagai berikut:
(i) Peretasan 136 kasus, (ii) Doxing 24 kasus, (iii) Peretasan Data 14 Kasus, (iv) Peniruan 9 kasus, (v) Phising 6 kasus, dan (vi) Lainnya 14 kasus.

UU PDP yang terdiri atas 16 Bab serta 76 pasal ini, bisa memberikan rasa aman bagi kita saat sudah memberikan data kepada korporasi hingga instansi negara.

Setidaknya ada beberapa ketentuan sanksi dalam UU PDP yang bisa memberikan rasa aman bagi kita, yaitu:
1.  Peretas, pembocor, pengguna, hingga pemalsu data pribadi terancam penjara paling lama enam tahun dan/ atau denda hingga Rp. 6 miliar;
2.   Pengungkap data pribadi orang lain bisa dipenjara 4 tahun dan/ atau denda maksimal Rp. 4 miliar;
3.   Pengguna data pribadi yang bukan miliknya, dipenjara 5 tahun dan/ atau denda maksimal Rp. 5 miliar; dan
4.   Pemalsu data pribadi bisa dipenjara maksimal 6 tahun dan/ atau denda maksimal Rp. 6 miliar.

Dengan ketentuan sanksi tersebut, para pelaku peretasan akan berpikir keras sebelum memutuskan untuk menyebarkan dan menyalahgunakan data pribadi orang lain. Begitu pun dengan lembaga negara hingga privat yang didorong untuk memiliki sistem keamanan berlapis agar tidak dikenakan denda.

Selain dari aspek sanksi hukum, pengendali data pribadi, yaitu pihak yang memegang kuasa atas data pribadi seseorang diwajibkan untuk memberi tahu kebocoran data yang ada. Pengendali data pribadi tidak hanya pemerintah, namun merujuk kepada pihak yang menguasai data pribadi milik kita yang sudah disetorkan. Karenanya pengendali data pribadi adalah pemerintah dan juga swasta.

Seiring dengan disahkannya UU PDP, akan terbentuk otoritas khusus yang bertugas untuk mengatur ‘lalu-lintas’ transaksi data pribadi nasional. Merujuk pada Pasal 58 hingga Pasal 60 UU PDP, lembaga atau otoritas khusus tersebut akan berada di bawah presiden dan bertanggung jawab kepada presiden. Artinya, pemerintah akan memegang peran utama dan harus bertanggung jawab penuh jika terjadi berbagai kebocoran data pribadi ke depannya.

Masyarakat digital kini bisa merasa cukup aman karena adanya sanksi hukum kepada pihak penghimpun, penyimpan, dan pengelola data pribadi masyarakat jika terjadi kebocoran data. Namun, selain instrumen hukum yang sudah berlaku, tetap diperlukan berbagai tindakan pencegahan kebocoran data yang bisa kita lakukan. Khususnya untuk mewujudkan keamanan digital nasional yang digdaya.

Penulis: Julian Savero Putra Soediro
Penyunting: Metha Silvia Ningrum dan Harry Sanjaya