Undang-Undang Perlindungan Data Pribadi (PDP) yang telah lama ditunggu-tunggu akhirnya resmi berlaku, setelah disahkan pada 2022. UU ini memberi kendali bagi banyak orang untuk melindungi beredarnya informasi pribadi mereka secara daring.

Namun, pemerintah masih belum membentuk badan perlindungan data sebagaimana diamanatkan oleh undang-undang tersebut. Padahal, baru-baru ini terjadi serangkaian pelanggaran data. Dalam beberapa kasus, jutaan data dicuri dan dijual di pasar daring gelap.

Pemerintahan mantan presiden Joko “Jokowi” Widodo sedang dalam proses menyusun peraturan pelaksanaan untuk undang-undang privasi, termasuk satu peraturan tentang pembentukan badan baru. Tetapi, masa jabatannya telah berakhir sebelum badan baru dibentuk, dan saat ini kepemimpinan beralih ke Presiden Prabowo Subianto yang mulai berkuasa pada Minggu 20 Oktober.

Kementerian Komunikasi dan Digital menegaskan bahwa undang-undang tersebut telah berlaku penuh sejak minggu lalu. Namun, pemerintah memang belum selesai merancang peraturan yang diperlukan untuk membentuk badan perlindungan data, yang akan bertanggung jawab kepada Presiden.

Badan baru tersebut akan mengawasi perlindungan data dan mengenakan sanksi administratif serta denda non-yudisial kepada organisasi mana pun, baik swasta maupun publik, yang gagal melindungi data pribadi yang mereka kumpulkan, kelola, dan proses.

Dengan diberlakukannya undang-undang privasi tersebut, berarti semua pengendali atau pengumpul data harus memiliki sistem keamanan yang memadai. Ini juga berarti bahwa setiap pengelola data harus telah menunjuk petugas perlindungan data, yang akan memastikan kepatuhan terhadap undang-undang privasi.

Kementerian Komunikasi dan Digital merangkap menjadi pengurus perlindungan data pribadi hingga badan pengawas yang diamanatkan telah terbentuk.

Kurangnya kejelasan mengenai kapan badan badan tersebut akan dibentuk menjadi mengkhawatirkan, karena beberapa alasan.

Siapa yang akan mengawasi pengelola data mana yang telah memasang firewall atau sistem enkripsi? Siapa yang akan mengidentifikasi organisasi mana yang telah memiliki petugas perlindungan data?

Dan yang terpenting, siapa yang akan diberi wewenang untuk menindak pengelola data yang tidak patuh atau mereka yang gagal melindungi privasi data?

Keamanan masih menjadi masalah yang belum teratasi dalam infrastruktur digital yang dibangun pemerintah, bahkan setelah anggota DPR mengesahkan undang-undang privasi dua tahun silam.

Salah satu insiden yang paling menonjol adalah serangan ransomware besar pada Juli lalu. Serangan itu menyasar pusat data nasional sementara, yang kemudian mempengaruhi basis data sekitar 280 lembaga di tingkat pusat dan daerah. Akibatnya, terjadi  gangguan nasional terhadap layanan publik yang terhubung ke pusat data tersebut, termasuk layanan imigrasi.

Tidak seorang pun bertanggung jawab atas kegagalan melindungi data pribadi warga negara ini. Seruan kepada Menteri Komunikasi Budi Arie Setiadi untuk mengundurkan diri dari jabatannya terus bergaung, bahkan setelah ia meminta maaf karena gagal mencegah kekacauan.

Insiden siber lain di masa lalu menimpa Bank Syariah Indonesia (BSI) milik negara. Targetnya adalah basis data nasabah. Kemudian, basis data pemilih yang disimpan pemerintah, akhir tahun lalu dilaporkan telah dibobol, di awal masa kampanye pemilihan umum 2024.

Kurang dari dua bulan kemudian, pada Agustus, seorang peretas yang menggunakan nama samaran TopiAx mengklaim telah mencuri data 4,7 juta pegawai negeri sipil dari basis data Badan Kepegawaian Negara (BKN). Ia lalu mengunggahnya di situs peretasan BreachForums, untuk dijual. Data pegawai yang dicuri tersebut diduga mencakup nama lengkap, catatan pekerjaan, alamat email, dan nomor identifikasi yang ada di KTP.

Kelompok pejuang hak digital Southeast Asia Freedom of Expression Network (SAFEnet) mencatat bahwa setidaknya terjadi 133 kasus kebocoran data pribadi di Indonesia sejak anggota DPR mengesahkan undang-undang privasi. Sedangkan perusahaan keamanan siber Surfshark menemukan bahwa 13,2 juta akun internet di Indonesia telah dibobol selama periode yang sama.

Sekarang, setelah undang-undang tersebut mulai berlaku, permintaan maaf saja tidak akan cukup dilakukan, setiap kali terjadi pelanggaran data pribadi.

Namun undang-undang privasi akan tetap menjadi sekadar gertak sambal, jika tidak ada sarana penegakan apa pun, tanpa adanya badan perlindungan data. Faktanya, tidak ada satu pun pengelola data yang dikenai sanksi atas pelanggaran data pribadi apa pun, sejak undang-undang tersebut diberlakukan.

Menteri Komunikasi dan Digital yang baru akan bertanggung jawab untuk menyelesaikan penyusunan peraturan pemerintah yang membentuk badan perlindungan data siber. Keamanan data tidak bisa menunggu.