Lembaga Studi dan Advokasi Masyarakat (ELSAM) menyoroti soal kebocoran data pribadi subjek pajak. Sekitar 6 juta lebih data pribadi yaitu nama, NIK, NPWP, alamat, email, nomor HP, hingga tanggal lahir, diduga bocor dari sistem database Direktorat Jenderal Pajak (DJP) Kementerian Keuangan, dan dijual dengan harga USD 10 ribu.
"Belum selesai kasus dugaan kebocoran data pribadi warga negara yang disimpan pada infrastruktur PDNS 2 dan juga pengungkapan data pribadi yang diduga berasal dari sistem database BKN, dugaan insiden kebocoran data dari institusi publik kembali terjadi," kata Direktur Riset ELSAM, Wahyudi Djafar, dalam siaran pers, Jumat (20/9).
Wahyudi melanjutkan, "Berulangnya kasus kebocoran data yang melibatkan institusi pemerintah ini kian menambah catatan panjang kegagalan perlindungan data pribadi sektor publik, sekaligus alarm terkait kesiapan sektor publik untuk menjalankan seluruh standar kepatuhan pelindungan data pribadi, dalam kapasitas mereka sebagai pengendali data."
Menurut Wahyudi, berulangnya kasus kebocoran data memperlihatkan tidak siapnya institusi-institusi terkait, untuk memastikan adanya proses investigasi dan penyelesaian yang tuntas dari setiap insiden kegagalan pelindungan data pribadi.
"Situasi ini tentu mengkhawatirkan, khususnya terkait dengan pembentukan lembaga pelindungan data pribadi, yang dimandatkan oleh UU No. 27/2022 tentang Pelindungan Data Pribadi (UU PDP), yang juga merupakan bagian dari institusi pemerintah," lanjut Wahyudi.
Wahyudi mengatakan berdasarkan Pasal 4 UU PDP, data keuangan pribadi merupakan bagian dari data spesifik atau sensitif, yang dalam pemrosesannya masuk kategori berisiko tinggi, karena terdapat risiko moneter yang dapat berdampak pada kerugian finansial dari pemrosesan data ini, sehingga membutuhkan tingkat pengamanan yang lebih tinggi.
"Dengan risiko tersebut, apabila terjadi kebocoran data sensitif, maka risiko kerugian yang mungkin dialami oleh subjek data juga lebih besar. Apalagi insiden ini diduga mengungkap beberapa elemen data sekaligus, yang memungkinkan diambil alih oleh pihak lain, untuk melakukan autentikasi dan verifikasi layanan yang digunakan oleh subjek data, termasuk layanan keuangan," ujar Wahyudi.
Kedua, menurut Wahyudi, mengacu pada ketentuan peralihan UU PDP, masa transisi atau engagement period undang-undang ini akan segera berakhir pada Oktober 2024, artinya mulai Oktober 2024 seharusnya seluruh standar kepatuhan pelindungan data pribadi harus diimplementasikan oleh pengendali dan prosesor data.
"Termasuk juga seluruh mekanisme penegakan hukum terkait dengan pelaksanaan kepatuhan, harus mulai dijalankan. Namun demikian insiden ini sekali lagi memperlihatkan belum siapnya institusi publik dalam mengimplementasikan kewajiban kepatuhan sebagai pengendali dan prosesor data pribadi," kata Wahyudi.
Ketiga, Wahyudi menjelaskan, meskipun dalam Penjelasan Pasal 15 huruf c UU PDP tertulis bahwa perpajakan masuk dalam ruang lingkup pengecualian dengan alasan untuk kepentingan umum dalam rangka penyelenggaraan negara, bukan berarti DJP dikecualikan dari kewajiban kepatuhan sebagai pengendali data pribadi, dan bukan berarti pula data pribadi subjek data dikecualikan.
"Pengecualian ini hanya dimaksudkan berkaitan dengan penyelenggaraan fungsi pengawasan dalam penyelenggaraan negara, termasuk yang terkait dengan pengawasan perpajakan. Artinya, data-data pribadi subjek pajak yang diduga terungkap, merupakan dari data pribadi yang dilindungi, dan DJP sebagai pihak pengendali data bertanggung jawab dalam pelindungan tersebut," kata Wahyudi.