Bisnis.com, JAKARTA - Lembaga Studi dan Advokasi Masyarakat (ELSAM) menyayangkan dugaan kebocoran data kembali terulang dan kali ini menimpa data pengaduan Komisi Pelindungan Anak Indonesia (KPAI).
Temuan kebocoran ini pertamakali dikabarkan oleh akun Twitter @txtdarionlshop, setelah menemukan salah satu akun bernama C77 menjual dua file database pengaduan KPAI dengan nama “Leaked Database KPAI” di situs Raidforums, yang diunggah pada 13 Oktober 2021.
Berdasarkan sampel data yang diunggah, data yang diduga mengalami kebocoran meliputi 13 elemen data pribadi yaitu nama, nomor identitas, email, telepon, pekerjaan, pendidikan, tempat dan tanggal lahir, alamat, kota, provinsi, dan kewarganegaraan, serta sejumlah data pribadi yang bersifat sensitif (agama dan jenis kelamin).
Komisioner KPAI Jasra Putra membenarkan kejadian itu dan saat ini sedang dilakukan investigasi oleh Badan Siber dan Sandi Negara (BSSN).
ELSAM juga menyayangkan kebocoran data pribadi dari database pengaduan KPAI hanya berjarak kurang dari tiga bulan dari kasus kebocoran data pribadi pada aplikasi e-HAC yang dikelola oleh Kementerian Kesehatan.
“Berulangnya insiden kebocoran data ini memperlihatkan lemahnya sistem pelindungan data pribadi dan mekanisme penegakannya,” tulis ELSAM dalam keterangan resmi, Jumat (22/10/2021).
Baca Juga
Bahkan, akun C77 yang menjual database pengaduan KPAI, dalam unggahannya di Raidforums menyatakan, bahwa situs lembaga negara rentan diretas, terutama yang menggunakan domain ‘go.id’.
Padahal, mengacu pada Perpres No. 95/2018 tentang Sistem Pemerintahan Berbasis Elektronik, semestinya sistem elektronik pemerintah telah menerapkan sistem keamanan yang kuat, termasuk memastikan pelindungan data pribadi yang diprosesnya.
ELSAM menilai, KPAI yang memiliki mandat untuk melakukan monitoring realisasi hak anak, semestinya bekerja berdasarkan pendekatan berbasis hak anak (child rights-based approach), termasuk dalam melakukan pemrosesan data pribadi terkait anak.
“Pendekatan ini merupakan kerangka komprehensif yang mengatur semua tindakan yang berkaitan dengan anak dan seluruh institusi HAM nasional (UNICEF, 2018),” kata pihak ELSAM.
Monitoring dengan pendekatan berbasis hak anak bertumpu pada sejumlah prinsip utama (UNICEF, 2020), termasuk di dalamnya asalah jangan membahayakan (do no harm), menghormati harkat dan martabat anak, kepentingan terbaik bagi anak, serta pelindungan dan kerahasiaan.
KPAI harus memiliki kemampuan untuk mengambil tindakan, apabila mengetahui bahwa anak-anak terkena risiko yang signifikan.
Selain itu, kerahasiaan informasi yang dikumpulkan dari individu, dan pengelolaan data pribadi, merupakan bagian integral dari strategi pelindungan yang baik, yang juga berlaku untuk staf KPAI dan orang lain yang mungkin terlibat.
Dengan demikian, kasus kebocoran tersebut menunjukkan kegagalan KPAI menjalankan mandat pemantauan hak anak berdasarkan pendekatan berbasis hak anak.
ELSAM menyebut, kekosongan rujukan hukum pelindungan data pribadi yang komprehensif seringkali menjadi alasan belum patuhnya pengendali data, termasuk badan publik, terhadap prinsip-prinsip pelindungan data pribadi.
Dengan demikian, sambungnya, keberadaan UU Pelindungan Data Pribadi penting disegerakan, agar lebih tegas mengatur kewajiban pengendali dan pemroses data, termasuk tindakan yang harus dilakukan dalam memastikan terlindunginya hak-hak subjek data.
“Sebagai pengendali data, KPAI setidaknya memiliki enam kewajiban utama dalam pemrosesan data pribadi, yakni tanggung jawab dan kepatuhan, memastikan keamanan pemrosesan, merekam kegiatan pemrosesan, kerahasiaan data pribadi, pemberitahuan ketika terjadi pelanggaran, dan melakukan penilaian dampak pelindungan data,” ungkap ELSAM.
Menimbang situasi di atas, ELSAM merekomendasikan beberapa hal berikut:
1. KPAI segera mengambil langkah-langkah khusus untuk memastikan insiden kebocoran data pribadi yang terjadi tidak menimbulkan pelanggaran hak lebih lanjut, termasuk memastikan perbaikan sistem keamanan dalam pemrosesan data pribadi untuk mencegah kebocoran data berulang.
2. KPAI mengambil langkah-langkah pemulihan terhadap kemungkinan kerugian yang dialami oleh subyek data akibat insiden kebocoran data yang terjadi.
3. BSSN melakukan proses investigasi secara tuntas, untuk kemudian dapat memberikan rekomendasi perbaikan sistem keamanan, sebagai bagian dari memastikan keamanan sistem pemerintahan berbasis elektronik yang handal.
4. DPR dan pemerintah memastikan adanya pengaturan khusus pelindungan data pribadi anak (the protection of minors), dalam RUU PDP, dengan mengacu pada pendekatan berbasis hak anak.