Peneliti Bidang Hukum dari The Indonesian Institute Center for Public Policy Research Hemi Lavour Febrinandez menilai kehebohan karena kasus Bjorka ini bermuara pada lemahnya regulasi perlindungan data pribadi di Indonesia. Dalam peraturan yang ada, kata dia, hanya memberikan sanksi kepada pelaku pembocoran data, seperti Bjorka.
Menurut dia, maraknya pencurian data tidak hanya disebabkan oleh adanya pelaku pencurian data seperti Bjorka. Pencurian data, kata dia, juga terjadi karena kelalaian pihak yang diberikan wewenang untuk mengumpulkan data untuk menjaga keamanan data tersebut.
“Tidak ada sanksi yang dijatuhkan kepada pihak yang lalai menjaga data masyarakat,” tutur dia, Sabtu, 17 September 2022.
Menurut Hemi, dengan adanya kasus Bjorka ini, pengesahan Rancangan Undang-Undang Perlindungan Data Pribadi harus segera disahkan.
Setelah kasus Bjorka mencuat, Dewan Perwakilan rakyat dan pemerintah mengebut pembahasan RUU PDP. Komisi I DPR dan pemerintah telah menyepakati RUU PDP pada pembicaraan tingkat I. Selanjutnya draf RUU itu akan dibahas dalam pembicaraan tingkat II, yakni pengesahan di Rapat Paripurna DPR.
Dalam draf terakhir RUU PDP terdapat ketentuan baru yang mengatur sanksi bagi pihak yang disebut Pengendali Data Pribadi. Dalam draf Pasal 1 ayat (4) RUU itu disebutkan Pengendali Data Pribadi merupakan setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. Dengan kata lain, pengendali data pribadi mencakup korporasi hingga lembaga pemerintahan.
Bila tidak memenuhi kewajibannya menjaga data pribadi, organisasi tersebut dapat dikenakan sanksi administratif yang diatur dalam Pasal 57. Sanksi administratif itu berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi, dan/atau denda administratif.
Sanksi administratif berupa denda adalah paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Pihak yang berhak menjatuhkan sanksinya adalah lembaga dengan rincian ketentuan lebih lanjut dalam Peraturan Pemerintah.
Dalam draf terakhir RUU PDP, juga dijelaskan bahwa lembaga yang dimaksud adalah lembaga perlindungan data pribadi. Lembaga tersebut akan ditetapkan oleh presiden dan bertanggung jawab langsung kepada presiden. Lembaga ini berwenang merumuskan kebijakan terkait perlindungan data pribadi, melakukan pengawasan, hingga menjatuhkan sanksi.
Hemi Lavour Febrinandez menilai posisi lembaga yang berada langsung di bawah presiden akan menimbulkan masalah. Menurut dia, pencurian data pribadi marak terjadi di lembaga negara yang berada di bawah presiden.
“Akan sulit melakukan penegakan hukum ketika lembaga yang terlibat juga sama-sama di bawah presiden,” kata dia.
Hemi beranggapan bahwa penempatan lembaga tersebut merupakan jalan tengah yang ditempuh oleh pemerintah dan DPR. Sebab, DPR ingin agar lembaga tersebut independen, sementara pemerintah ingin lembaga itu berada di bawah Kementerian Komunikasi dan Informatika.
Dia mengatakan lembaga PDP seharusnya berdisi secara independent dan terlepas dari cabang kekuasaan manapun. Independensi itu, kata dia, akan memastikan penegakan hukum berjalan dan lembaga tersebut terbebas dari kepentingan politik. “Ini akan menjadi celah,” ujar dia.
Di tengah hiruk pikuk soal penangkapannya atau kaki tangannya, Bjorka masih berkeliaran dengan bebas. Pada Kamis kemarin, dia bahkan menyalahkan Dark Tracer atas penangkapan Agung. Dia menyatakan platform yang kerap memberi informasi soal kebocoran data dan dark web itu salah memberikan informasi kepada kepolisian Indonesia sehingga terjadi penangkapan terhadap Agung.
NOFIKA DIAN NUGROHO | KORAN TEMPO | HANGGI TIO | EKA YUDHA SAPUTRA