Liputan6.com, Jakarta - Kasus pencurian data pribadi beberapa kali terjadi di Indonesia. Teranyar, kasus kebocoran 6,6 juta data Nomor Pokok Wajib Pajak (NPWP) yang diduga dilakukan oleh peretas anonim "Bjorka" pada 18 September 2024 lalu.
Bjorkan diduga mencuri data sebesar 2GB dari sistem Direktorat Jenderal Pajak (DJP) Kementerian Keuangan, kemudian menjualnya di forum Breach Forum seharga USD 10 ribu atau sekira Rp 153 juta.
Baca Juga
Advertisement
Tidak main-main, data yang diduga bocor terdapat nama-nama penting termasuk Presiden Jokowi dan dua anaknya yakni Gibran Rakabuming Raka dan Kaesang Pangarep.
Selain itu, ada juga data Menteri Keuangan Sri Mulyani Indrawati, Menteri Komunikasi dan Informatika Budi Arie Setiadi, dan sejumlah pejabat lainnya.
Apakah NPWP termasuk data pribadi? Dan apa itu data pribadi dan jenis-jenisnya?
Berdasarkan Pasal 1 Undang-undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (PDP), data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.
Data pribadi terbagi dalam dua jenis, yakni data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum.
Dalam Pasal 4 ayat (2) UU PDP, data pribadi yang bersifat spesifik meliputi:
- data dan informasi kesehatan;
- data biometrik;
- data genetika;
- catatan kejahatan;
- data anak;
- data keuangan pribadi; dan/ atau
- data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
Sedangkan data pribadi yang bersifat umum yakni:
- nama lengkap;
- jenis kelamin;
- kewarganegaraan
- agama
- status perkawinan; dan/atau
- Data Pribadi yang dikombinasikan mengidentifikasi seseorang.
Berdasarkan Pasal 1 ayat (6) Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi. Setiap Subjek Data Pribadi memiliki sejumlah hak. Di antaranya yakni mendapatkan informasi tentang penggunaan data pribadi oleh Pengendali Data Pribadi dan Prosesor Data Pribadi. Berikut uraiannya.
Pasal 5
Subjek Data Pribadi berhak mendapatkan Informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi.
Pasal 6
Subjek Data Pribadi berhak melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi tentang dirinya sesuai dengan tujuan pemrosesan Data Pribadi.
Pasal 7
Subjek Data Pribadi berhak mendapatkan akses dan memperoleh salinan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 8
Subjek Data Pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/ atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
Pasal 9
Subjek Data Pribadi berhak menarik kembali persetujuan pemrosesan Data Pribadi tentang dirinya yang telah diberikan kepada Pengendali Data Pribadi.
Pasal 10
(1) Subjek Data Pribadi berhak untuk mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, yang menimbulkan akibat hukum atau berdampak signifikan pada Subjek Data Pribadi.
(2) Ketentuan lebih lanjut mengenai pengajuan keberatan atas pemrosesan secara otomatis sebagaimana dimaksud pada ayat (1) diatur dalam Peraturan Pemerintah.
Pasal 11
Subjek Data Pribadi berhak menunda atau membatasi pemrosesan Data Pribadi secara sesuai dengan tujuan pemrosesan Data Pribadi.
Pasal 12
(1) Subjek Data Pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
(2) Ketentuan lebih lanjut mengenai pelanggaran pemrosesan Data Pribadi dan tata cara pengenaan ganti rugi sebagaimana dimaksud pada ayat (1) diaturdalam Peraturan Pemerintah.
Pasal 13
(1) Subjek Data Pribadi berhak mendapatkan dan/atau menggunakan Data Pribadi tentang dirinya dari Pengendali Data Pribadi dalam bentuk yang sesuai dengan struktur dan/ atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
(2) Subjek Data Pribadi berhak dan mengirimkan Data Pribadi tentang dirinya ke Pengendali Data Pribadi lainnya, sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman sesuai dengan prinsip Pelindungan Data Pribadi berdasarkan Undang-Undang ini.
(3) Ketentuan lebih lanjut mengenai hak Subjek Data Pribadi untuk menggunakan dan Data Pribadi sebagaimana dimaksud pada ayat (2) diatur dalam Peraturan Pemerintah.
AMSI Dorong Perusahaan Media Hadapi Pemberlakuan UU Pelindungan Data Pribadi
Asosiasi Media Siber Indonesia (AMSI) melaksanakan Pelatihan Pelindungan Data Pribadi untuk Perusahaan Media di Jakarta pada pada 21 September hingga 22 September 2024. Kegiatan ini merupakan pelatihan gelombang ketiga yang dilaksanakan secara luring dan diikuti oleh 26 media dari 3 wilayah di seluruh Indonesia yakni Jabodetabek, Jawa Barat dan Jawa Tengah.
Pelatihan ini merupakan bagian dari kesiapan dan tingkat kepatuhan (compliance) perusahaan media digital terhadap pemberlakuan Undang-Undang No 27 Tahun 2024 tentang Pelindungan Data Pribadi yang resmi berlaku Oktober 2024 mendatang. Para peserta adalah perwakilan media siber dari berbagai divisi dan jabatan, di antaranya pemimpin perusahaan, pemimpin redaksi, Manajer Teknologi Informasi, dan Manajer Sumber Daya Manusia (SDM).
Kegiatan pelatihan dibuka oleh Wakil Ketua Umum AMSI, Citra Dyah Prastuti. Ia menyampaikan menyampaikan tujuan dan harapan dilaksanakannya pelatihan ini.
"Training PDP ini sangat kontekstual dengan perusahaan media karena pemberlakuan sanksi UU PDP akan berlaku Oktober depan. Perusahaan media yang melakukan pengumpulan dan pemrosesan data pribadi menjadi terikat dengan UU PDP. Perusahaan media berkewajiban dan perlu berperan aktif dalam melindungi data pribadi tersebut. Jangan sampai menjadi pelaku penyebar data pribadi karena ada konsekuensi hukum bagi pelanggar UU PDP," kata Citra dalam pesan tertulis yang diterima di Jakarta, Jumat (27/9/2024).
Undang-Undang No 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) hadir untuk memberikan pelindungan data pribadi yang memadai terhadap penggunaan data yang tidak sah, pengungkapan yang tidak diinginkan, ataupun penyalahgunaan data pribadi.
UU PDP ini berlaku untuk setiap orang, badan publik, organisasi yang bertindak sebagai pengelola, pengolah, pemroses, dan pengontrol data pribadi seseorang.
Sanksi pelanggaran UU PDP diberlakukan jika terjadi kegagalan pemrosesan data pribadi dibedakan berdasarkan jenis dan pelaku pelanggarannya, diantaranya sanksi administratif (peringatan tertulis), penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, denda administratif hingga pidana.
"Setelah training ini, semua peserta diharapkan dapat membuat langkah strategis bersama tim di perusahaan medianya tentang apa yang harus dilakukan, juga mendiseminasi modul dan checklist pelindungan data pribadi yang dimiliki AMSI berkolaborasi dengan beberapa lembaga kepada semua divisi dan bagian di perusahaan media," tambah Citra.
Kegiatan dipandu oleh dua pelatih yang merupakan alumni Training of Trainers Pelindungan Data Pribadi untuk Perusahaan Media. Mereka adalah Nani Afrida dari Independen.id dan Ronny Yulianus Martinus dari KBR.id.
AMSI juga berkomitmen mendorong kepatuhan perusahaan media terhadap UU PDP dengan mengeluarkan Laporan Penilaian Kepatuhan Pelindungan Data Pribadi untuk Perusahaan Media (2024) dan Modul Pelindungan Data Pribadi (PDP) untuk Perusahaan Media (2024) berkolaborasi dengan beberapa organisasi.
Materi dalam training ini meliputi konteks dasar PDP, macam-macam data pribadi yang perlu dilindungi, serta checklist yang perlu diperhatikan setiap divisi yang melakukan pemrosesan data pribadi di perusahaan media berdasarkan hasil riset dan modul PDP yang telah disusun AMSI berkolaborasi dengan beberapa organisasi dan partner.
Peserta menilai kegiatan ini bermanfaat karena materi yang diberikan relevan dengan tantangan yang dihadapi perusahaan media saat ini dalam melindungi data pribadi. Mereka berkomitmen untuk mengimplementasikan pengetahuan yang didapatkan dari pelatihan ini di perusahaan media.
"Dengan mengikuti acara ini, saya lebih tahu banyak impact yang akan dirasakan perusahaan media. Masih banyak hal yang perlu dievaluasi dan diperbaiki di perusahaan media untuk persiapan menghadapi pemberlakuan dan menghindari sanksi UU PDP ini," kata Medianto, Divisi Teknologi Informasi Infrastruktur Katadata.co.id.
"Saya sangat mengapresiasi AMSI yang menyelenggarakan pelatihan ini karena sangat relevan dalam menyentuh industri dan bisnis media; produk jurnalistik yang dihasilkan; dan karyawan. Solopos akan mengumpulkan tim dan bersiap menyusun SOP untuk memproteksi data pribadi," kata Rini Yustiningsih, Pemimpin Redaksi Solopos Media Grup dari Jawa Tengah.
Rini juga menyampaikan harapan untuk pelatihan serupa di masa mendatang. "Untuk pelatihan PDP mendatang, diharapkan dapat mengundang stakeholders terkait dan mengkajilebih dalam dan insightful tentang isu PDP," lanjut Rini.
Kegiatan ini adalah bagian dari upaya meningkatkan kesadaran dan pemahaman pengelola media dalam isu data pribadi dan privasi utamanya dalam jurnalisme dan media.
Advertisement