Oleh: Cintya Shifwah, Naura Nabila dan Rifa Khairunnisa[1]
“Penting integrasi antara tata kelola implementasi perlindungan data pribadi dengan mekanisme teknis keamanan siber untuk terlaksananya perlindungan data pribadi pada sektor telekomunikasi”
Kasus keamanan siber (cyber security) merupakan salah satu isu yang sering muncul dan mengancam sektor publik dan swasta di Indonesia. Pelanggaran atas cyber security (atau dikenal juga sebagai cybercrime) adalah bentuk tindakan yang menyebabkan kerugian yang dilakukan melalui jaringan siber.
Cyber security sendiri adalah proses yang dirancang untuk melindungi jaringan dan perangkat dari ancaman pihak eksternal. Perusahaan biasanya mempekerjakan tenaga ahli cyber security untuk melindungi informasi rahasia, menjaga produktivitas karyawan, dan meningkatkan kepercayaan pelanggan terhadap produk dan layanan perusahaan.[2} Seringkali, pada kebanyakan kasus cyber security, kebocoran atau pencurian data pribadi pelanggan merupakan isu utamanya.
Kebocoran atau pencurian data pribadi pelanggan berkaitan erat dengan ketentuan dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU 27/2022”), dimana data pribadi seperti nama, alamat, dan data keuangan, merupakan target yang menarik bagi pelaku pelanggaran atas cyber security. Dengan diterbitkannya UU 27/2022, penyalah gunaan data pribadi, kebocoran data pribadi, dan jual beli data pribadi yang seringkali disebabkan oleh serangan siber dan kegagalan sistem elektronik diharapkan dapat dikurangi secara signifikan. UU 27/2022 berlaku untuk semua individu, korporasi, badan publik, dan organisasi internasional yang melakukan perbuatan hukum sebagaimana diatur dalam UU 27/2022 di dalam wilayah hukum Indonesia dan/atau Subjek Data Pribadi yang merupakan WNI di luar wilayah hukum Indonesia.
Dalam UU 27/2022 diatur kewajiban bagi Pengendali Data Pribadi untuk melakukan pencegahan pengaksesan tidak sah atas Data Pribadi menggunakan sistem keamanan terhadap Data Pribadi yang diproses dan/atau memproses Data Pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab. Ketentuan terkait kebocoran dan pencurian data pribadi juga secara tidak langsung diatur dalam peraturan sektor telekomunikasi yaitu Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi sebagaimana telah diubah melalui Undang-Undang Nomor 11 tahun 2020 tentang Cipta Kerja (“UU 36/1999"), yang mengatur adanya larangan melakukan perbuatan tidak sah, tanpa hak, atau memanipulasi akses ke jaringan telekomunikasi, jasa telekomunikasi, dan/atau jaringan telekomunikasi khusus.[3]
Sebelum adanya pengaturan tentang perlindungan data pribadi dalam UU 27/2022, telah terdapat Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP 71/2019”) yang mengakomodir pertumbuhan pesat dalam teknologi informasi terkait sistem dan transaksi elektronik dengan mengatur tentang penyelenggaraan sistem elektronik oleh Penyelenggara Sistem Elektronik (PSE). PSE memiliki kewajiban untuk menjamin keamanan baik perangkat lunak dan perangkat keras yang digunakan untuk menyelenggarakan layanan.[4]
Perlindungan Data Pribadi dan Cyber Security Dalam Sektor Telekomunikasi
Sejak beberapa tahun terakhir, Indonesia marak dengan kasus kebocoran data pribadi, khususnya pada sektor telekomunikasi— baik yang terkait dengan penyediaan layanan telekomunikasi maupun yang melibatkan perusahaan telekomunikasi dalam pemrosesan data pribadinya.
Sebagaimana telah diketahui, UU 27/2022 mengatur kewajiban Pengendali Data Pribadi untuk memiliki dasar pemrosesan Data Pribadi ketika melakukan pemrosesan Data Pribadi[5], dimana dasar pemrosesan data pribadi tersebut antara lain mencakup persetujuan yang sah secara eksplisit dari Subjek Data Pribadi dan harus dilakukan secara terbatas dan spesifik sesuai dengan persetujuan yang telah diberikan sebelumnya.[6]
Dalam rangka mendapatkan persetujuan yang sah secara eksplisit, Pengendali Data Pribadi harus memberitahukan kepada Subjek Data Pribadi perihal dasar dari pengumpulan data tersebut, data apa saja yang dikumpulkan, alasan atau tujuan pengumpulannya, berapa lama data tersebut akan disimpan, dan hak-hak Subjek Data Pribadi lainnya.[7]
Kewajiban lain yang dimiliki oleh Pengendali Data Pribadi berdasarkan UU 27/2022 adalah melakukan pencegahan pengaksesan tidak sah atas Data Pribadi menggunakan sistem keamanan terhadap Data Pribadi yang diproses[8] dan/atau memproses Data Pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab.[9] Hal ini dilakukan dengan mengacu pada ketentuan peraturan perundang-undangan yang sesuai, yang mana terkait sistem pengaturan terkait standar sistem elektronik diatur dalam Peraturan BSSN Nomor 8 Tahun 2020 tentang Sistem Pengamanan Dalam Penyelenggaraan Sistem Elektronik.
Pada tahun 2020, ditemukan bahwa salah satu perusahaan telekomunikasi asal Indonesia melalui salah satu produknya telah melakukan pengumpulan dan pemrosesan data pribadi milik pelanggan tanpa adanya pemberitahuan kepada maupun persetujuan dari pelanggan, yang dalam hal ini merupakan Subjek Data Pribadi.[10] Hal ini diketahui dikarenakan data pribadi milik pelanggan tersebut, yang terdiri atas riwayat pencarian, domain, platform, IP, nama pelanggan, email dan NIK, diduga telah dijual di sebuah website.
Tak hanya itu, kasus kebocoran data pribadi milik pelanggan juga terjadi lagi, dimana diduga data pribadi dari berbagai operator telekomunikasi di Indonesia yang memuat NIK, nomor telepon seluler, dan tanggal registrasi pelanggan, dijual seharga 50.000 dollar AS atau Rp 745 juta, yang diklaim didapatkan dari Kementerian Komunikasi dan Informatika (“Kominfo”) dari rentang 31 Oktober 2017 hingga Agustus 2022.[11]
Berkaca pada kasus-kasus internasional, sebuah perusahaan telekomunikasi asal Yunani, COSMOTE dan perusahaan induknya OTE, pernah mengalami kebocoran data pribadi serta melakukan pemrosesan data pribadi tidak berdasar.[12] Menyusul pemberitahuan pelanggaran data pribadi yang merupakan kebocoran data panggilan pelanggan pada periode Januari-Mei 2020, oleh COSMOTE dan OTE, Hellenic Data Protection Agency melakukan penyidikan atas lokasi kebocoran data pribadi dan memeriksa keabsahan pencatatan sehubungan dengan data yang bocor, serta langkah-langkah keamanan yang diterapkan.
Hellenic Data Protection Agency menemukan bahwa COSMOTE telah melanggar prinsip legalitas dan transparansi karena pemberitahuan yang tidak jelas dan tidak memadai kepada pelanggan atas dilakukannya pengumpulan dan pemrosesan data pribadi. COSMOTE juga ditemukan bertanggung jawab atas hasil penilaian dampak perlindungan data (Privacy Impact Analysis) yang buruk, anonimisasi yang buruk, tindakan keamanan siber yang tidak memadai, dan kegagalan untuk mengalokasikan peran kedua perusahaan sehubungan dengan pemrosesan yang dimaksud sebagai Pengendali Data Pribadi. Selain itu, ΟΤΕ diketahui telah melanggar Pasal 32 GDPR karena tindakan keamanan siber yang tidak memadai yang diambil sehubungan dengan infrastruktur yang digunakan dalam konteks pelanggaran tersebut. Hellenic Data Protection Agency memberlakukan denda untuk COSMOTE sebesar EUR 6 juta dan untuk OTE sebesar EUR 3.250.000. Lebih lanjut, COSMOTE juga dikenakan sanksi untuk melakukan penghentian pemrosesan dan pemusnahan data pribadi.
Hal serupa juga terjadi di Australia, dimana selama beberapa bulan terakhir pada tahun 2022, terdapat peretasan besar-besaran terhadap beberapa perusahaan telekomunikasi seperti Optus.[13] Optus adalah sebuah perusahaan operator telekomunikasi kedua terbesar di Australia, yang pada bulan September 2022 mengalami kebocoran data pribadi pelanggannya. Melalui sebuah siaran pers, Optus mengumumkan bahwa data pribadi yang mengalami kebocoran adalah sejumlah nama pelanggan yang tidak ditentukan, tanggal lahir, nomor telepon, alamat email, dan alamat serta nomor dokumen identitas, seperti SIM atau nomor paspor. Perusahaan telekomunikasi itu tidak mengatakan kapan pelanggarannya terjadi, tetapi diyakini bahwa insiden itu sudah berakhir.
Atas insiden tersebut, Optus diperiksa oleh dua lembaga pemerintah Australia. Otoritas Komunikasi dan Media Australia (Acma) dan Kantor Komisaris Informasi Australia (OAIC) mengumumkan penyelidikan terpisah namun terkoordinasi pada tanggal 11 Oktober 2022 terhadap Optus. Investigasi Acma akan berfokus pada apakah Optus memenuhi kewajibannya sebagai perusahaan telekomunikasi terkait akuisisi, otentikasi, penyimpanan, pembuangan, dan perlindungan informasi pribadi, serta persyaratan untuk memberikan perlindungan mitigasi penipuan.[14]
Dari berbagai kasus terkait perlindungan data pribadi dan cyber security dalam sektor telekomunikasi di atas dapat dipelajari pentingnya integrasi antara tata kelola implementasi perlindungan data pribadi dengan mekanisme teknis keamanan siber yang memadai dan mendukung untuk terlaksananya perlindungan data pribadi. Selain itu, perlu juga disorot isu mengenai belum adanya lembaga pemerintahan yang bertanggung jawab untuk mengawasi pelaksanaan perlindungan data pribadi di Indonesia sehingga menimbulkan tumpang tindih tanggung jawab, khususnya untuk sektor telekomunikasi.
Meskipun baik Kominfo maupun perusahaan telekomunikasi terkait menyanggah adanya kebocoran data yang telah terjadi di Indonesia, namun perlu dipertanyakan efektifitas koordinasi maupun supervisi antara lembaga pemerintah (khususnya Kominfo sebagai kementerian yang membawahi bidang telekomunikasi dan BSSN sebagai lembaga pemerintah yang membawahi bidang keamanan siber) dengan pelaku usaha dalam melindungi kepentingan masyarakat dan konsumen. Hal tersebut merupakan salah satu isu yang perlu segera diatasi, sehingga dapat dibentuk sebuah framework dan protokol yang sinkron untuk perlindungan Data Pribadi melalui keamanan siber untuk sektor telekomunikasi.
Artikel ini tidak ditujukan sebagai nasihat atau opini hukum untuk tindakan tertentu serta tidak dimaksudkan untuk menciptakan hubungan yang mengikat secara hukum bagi siapapun. Jika anda ingin menindaklanjuti topik pembahasan terkait, silahkan menghubungi Kantor Bahar melalui busdev@bahar.co.id.
Bibliography
1 Associates, Data Protection & Cyber Security team pada Kantor Bahar.
2 Simplilearn, “What is Cybersecurity, Everything You Need to Know”, https://www.simplilearn.com/introduction-to-cyber-security-article#:~:text=Cyber%20Security%20is%20a%20process,confidence%20in%20products%20and%20services, diakses 2/1/2023.
3 Pasal 22 UU 36/1999.
4 Pasal 7 j.o Pasal 8 PP 71/2019.
5 Pasal 20 ayat (1) UU 27/2022.
6 Pasal 27 UU 27/2022.
7 Pasal 21 ayat (1) UU 27/2022.
8 Pasal 39 ayat (1) UU 27/2022.
9 Pasal 39 ayat (2) UU 27/2022.
10 Tempo, “Expert Responds to Alleged Indihome Data Leak Compromising 26 Million Users”, https://en.tempo.co/read/1625888/expert-responds-to-alleged-indihome-data-leak-compromising-26-million-users, diakses 2/1/2023.
11 Kompas, “Ketika Kominfo dan Operator Seluler Kompak Bantah Kecolongan Data "SIM Card" Pelanggan...
”, https://money.kompas.com/read/2022/09/03/120000626/ketika-kominfo-dan-operator-seluler-kompak-bantah-kecolongan-data-sim-card?page=all, diakses 2/1/2023.
12 Hellenic Data Protection Authority, “Fines imposed due to personal data breach and illegal data processing by telecommunications companies”, https://www.dpa.gr/en/enimerwtiko/news/fines-imposed-due-personal-data-breach-and-illegal-data-processing, diakses 3/1/2023.
13 BBC, “Optus: How a massive data breach has exposed Australia”, https://www.bbc.com/news/world-australia-63056838, diakses 2/1/2023.
14 The Guardian, “Optus could face millions in fines as two new data breach investigations launched”, https://www.theguardian.com/business/2022/oct/11/optus-could-face-millions-in-fines-as-two-new-data-breach-investigations-launched, diakses 3/1/2023.