MASYARAKAT dapat menggugat Direktorat Jenderal Pajak (DJP) jika terbukti lalai dalam melindungi data pribadi. Hal itu sesuai sesuai Pasal 12 UU PDP.
Hal itu diungkapkan pakar Digital Forensik Universitas Islam Indonesia, Dr. Yudi Prayudi, Minggu (22/9). Menurutnya, meski DJP membantah terjadinya kebocoran data itu, faktanya adanya penjualan data yang mengandung NIK, NPWP, alamat, nomor telepon, dan email dan data lainnya.
Keamanan siber
Terjadinya kebocoran itu menunjukkan adanya kelemahan infrastruktur keamanan siber. Bahkan, kalangan pakar digital foreksik menemukan bukti sebagian besar lembaga publik di negara ini masuk bergantung pada sistem keamanan yang belum memadai untuk menghadapi ancaman serangan siber.
“Infrastruktur teknologi yang ketinggalan zaman membuat sistem lebih rentan terhadap serangan, sementara anggaran yang terbatas membuat peningkatan keamanan tidak menjadi prioritas serta kurangnya kepatuhan pada Standar Keamanan,” kata Yudi Prayudi.
Ia menemukan banyak lembaga tidak mematuhi standar minimum keamanan data, seperti enkripsi, pengawasan ketat, atau pembaruan teknologi, lemahnya praktik pengelolaan akses terhadap data pribadi juga sering kali menjadi celah utama kebocoran.
Yang lebih buruk lagi, ungkapnya, banyak kasus kebocoran data di Indonesia, tidak segera diikuti dengan tindakan yang tegas serta sanksi.
Tidak belajar
Masih ditambah lagi dengan kurangnya transparansi dan akuntabilitas dalam penanganan insiden membuat lembaga cenderung tidak belajar dari kesalahan, yang akhirnya berujung pada kebocoran berulang.
“Bahkan setelah insiden besar, tidak selalu ada perbaikan yang dilakukan untuk memastikan keamanan di masa mendatang,” ujarnya.
Yudi menjelaskan data seperti NPWP memiliki nilai ekonomi tinggi di pasar gelap. Informasi ini, katanya dapat digunakan untuk keperluan komersial atau tindak kriminal, seperti penipuan, pencurian identitas, atau pengajuan kredit palsu.
Kebocoran data seperti NIK, nomor telepon, alamat, dan NPWP memungkinkan pelaku kejahatan memanfaatkan informasi tersebut untuk berbagai keperluan ilegal.
“Pengendali data, dalam hal ini DJP, bertanggung jawab atas kerahasiaan, keamanan, dan perlindungan data pribadi yang mereka kelola, dan jika kewajiban ini dilanggar, masyarakat dapat menuntut sesuai hukum yang berlaku,” katanya.
Yudi Prayudi mengemukakan UU PDP ini memberikan perlindungan hukum yang kuat bagi pemilik data pribadi (subjek data) dan menetapkan tanggung jawab yang jelas bagi pengendali data.
Jamin keamanan
Setiap institusi yang mengelola data pribadi, imbuhnya, diwajibkan untuk menjamin keamanan dan kerahasiaan data pribadi yang diproses, melakukan pelaporan kebocoran data dalam waktu 72 jam kepada pihak berwenang dan kepada subjek data serta mengimplementasikan langkah-langkah teknis untuk melindungi data dari akses yang tidak sah.
“Setiap pengendali data yang terbukti lalai dalam melindungi data pribadi dapat dikenai sanksi administratif, seperti denda hingga 2% dari pendapatan tahunan, dan sanksi pidana berupa penjara hingga 6 tahun dan denda hingga Rp6 miliar,” jelasnya.
Ia menegaskan lagi dalam kasus kebocoran data NPWP, Direktorat Jenderal Pajak (DJP) berperan sebagai pengendali data pribadi. DJP bertanggung jawab untuk melindungi data wajib pajak, memastikan keamanan data, dan segera mengambil langkah mitigasi jika terjadi kebocoran.
Yudi kemudian mengemukakan meski DJP telah menyatakan bahwa kebocoran tidak berasal dari sistem mereka bisa menjadi bagian dari klarifikasi. Hal ini tidak bisa dijadikan alasan untuk sepenuhnya menghindari tanggung jawab.
“DJP tetap harus bertanggung jawab secara hukum dan moral untuk memastikan perlindungan data dan menindaklanjuti dugaan kebocoran tersebut sesuai peraturan yang berlaku,” katanya. (AGT/N-01)