Bjorka membuat heboh usai mengklaim membocorkan 3,2 miliar data dari aplikasi PeduliLindungi. Mengapa ia masih bebas beraksi meski UU PDP telah disahkan pertengahan Oktober lalu?
Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai saat ini merupakan periode transisi implementasi UU PDP.
“Periode transisi implementasi UU PDP memang menjadi masa kritis dalam hal kepatuhan pengendali data untuk memastikan penerapan standar pelindungan data pribadi, termasuk risiko pembiaran jika terjadi insiden kebocoran data pribadi,” tulis ELSAM dalam rilis yang diterima CNN.com, Kamis (17/11).
ELSAM menilai badan-badan publik yang bertindak sebagai pengendali data belum siap “untuk memastikan pemenuhan seluruh kewajiban sebagai pengendali data, sebagaimana diatur dalam UU No.27/2022 tentang Perlindungan Data Pribadi”
Di dalam UU PDP, badan yang bertindak sebagai pengendali data wajib menjaga kerahasiaan, dan keamanan pemrosesan data. Selain itu, badan tersebut juga harus memberitahu pemilik data jika terjadi kebocoran.
“Setiap pengendali/pemroses data juga harus menerapkan langkah-langkah teknis dan organisasi untuk memastikan tingkat keamanan yang tinggi dalam pemrosesan data pribadi yang dilakukannya,” tulis ELSAM.
Kebocoran data diduga dari PeduliLindungi yang dilakukan oleh Bjorka terjadi pada Selasa (15/11). Data-data itu diunggahnya ke situs BreachForums pukul 06.42 atau 13.43 WIB.
Ia merinci data yang dibocorkan itu mencakup 48 Gigabyte data terkompresi (compressed), 157 GB data tak terkompresi (uncompressed), dengan total 3.250.144.777 data.
Data berformat CSVitu berupa “Name, Email, NIK (National ID CARD Number), Phone Number, DOB, Device ID, COVID-19 STATUS, Checkin History, Contact Tracing History, Vaccination etc.”
“The sample data shown also includes data belonging to Johnny G Plate, Luhut Binsar Pandjaitan, and Deddy Corbuzier,” lanjut Bjorka dalam unggahannya.
ELSAM menyebut, periode transisi saat UU PDP menjadi rentan karena keharusan penyesuaian berbagai regulasi terkait perlindungan data pribadi dengan UU PDP.
Akan tetapi, kerentanan itu semestinya bisa diantisipasi dengan memanfaatkan “existing institution (lembaga yang ada saat ini) yang bertanggungjawab dalam pelindungan data pribadi, dalam hal ini Kementerian Komunikasi dan Informatika (Kominfo),”
Kominfo, kata ELSAM bisa memanfaatkan peraturan-peraturan yang ada sebelum UU PDP berlaku yakni PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transisi Elektronik (PP PSTE) dan Permenkominfo No. 20/2016 tentang Pelindungan Data Pribadi Dalam Sistem Elektronik (Permen PDPSE).
Lebih lanjut, ELSAM pun meminta Kominfo melakukan investigasi untuk menyelidiki penyebab kebocoran data yang telah terjadi. “Kementerian Komunikasi dan Informatika (Kominfo) mengambil peran sesuai wewenang yang diatur dalam existing regulation, untuk menghindari kekosongan hukum dan institusi, dalam memastikan tetap terlindunginya data-data pribadi warga negara,” tulis ELSAM.
“Peran ini dapat diwujudkan dengan melakukan serangkaian proses investigasi untuk menyelidiki penyebab kebocoran, serta langkah-langkah mitigasi untuk mengurangi risiko, termasuk mendorong pengendali data untuk segera memberikan notifikasi kepada publik, karena menyangkut data terkait layanan publik (Pasal 46 (3) UU PDP)” tulisnya lagi.
CNN.com telah menghubungi Badan Siber dan Sandi Negara (BSSN) serta Kominfo terkait kebocoran data PeduliLindungi. Namun belum ada tanggapan dari dua institusi tersebut.
Sumber : CNN [dot] COM