JAKARTA - Data pribadi anak diharapkan juga bisa dimasukkan dalam Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP). Usul ini disampaikan Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam), Wahyudi Djafar, di Jakarta, Jumat (22/10).
"Jadi RUU juga mesti mengatur tentang pelindungan data anak," tandasnya. Untuk itu, DPR dan pemerintah perlu memastikan adanya pengaturan khusus pelindungan data pribadi anak dalam RUU dengan mengacu pada pendekatan berbasis hak anak.
Rekomendasi tersebut merupakan tanggapan Wahyudi atas dugaan kebocoran data pengaduan yang dikelola oleh Komisi Pelindungan Anak Indonesia (KPAI). Temuan kebocoran tersebut pertama kali dikabarkan oleh akun Twitter dengan nama pengguna txtdarionlshop.
Dia menemukan salah satu akun bernama C77 yang menjual dua file database pengaduan KPAI dengan nama Leaked Database KPAI di situs RaidForums. Hal itu diunggah pada tanggal 13 Oktober 2021.
Berdasarkan sampel yang diunggah, data yang diduga mengalami kebocoran meliputi 13 elemen pribadi. Mereka adalah nama, nomor identitas, email, telepon, pekerjaan, pendidikan, tempat tanggal lahir, dan alamat. Kemudian, kota, provinsi, kewarganegaraan, serta sejumlah data pribadi yang bersifat sensitif seperti agama dan jenis kelamin.
Atas dugaan insiden kebocoran tersebut, anggota KPAI, Jasra Putra, telah membenarkan. Bahkan saat ini Badan Siber dan Sandi Negara (BSSN) sedang investigasi. Kebocoran data pribadi dari database pengaduan KPAI hanya berjarak kurang dari 3 bulan dari kasus kebocoran data pribadi pada aplikasi e-HAC yang dikelola Kementerian Kesehatan.
"Insiden kebocoran data yang terulang ini memperlihatkan sistem pelindungan data pribadi yang lemah. Demikian juga mekanisme penegakan hukumnya," ucap Wahyudi. Oleh karena itu, dia menekankan bahwa RUU PDP penting segera disahkan agar dapat mengatur kewajiban pengendali dan pemproses data dengan lebih tegas. Ini termasuk tindakan yang harus diambil guna memastikan hak-hak subjek data terlindungi.
RUU PDP saat ini masih dibahas DPR. Mereka belum mengatur standar perlindungan khusus terhadap pemprosesan data pribadi anak. RUU justru menempatkan data anak sebagai data sensitive. Padahal secara prinsip, pemprosesan data sensitif dilarang, kecuali memenuhi persyaratan tertentu. Salah satunya melalui persetujuan jelas (explicit consent) dari subjek data.
"Problemnya, apakah mungkin mendapat explicit consent dari anak yang statusnya masih di bawah pengampuan orang tua atau walinya? Padahal, pemprosesan data pribadi anak sesuatu yang mesti dilakukan saat ini, misalnya, untuk kepentingan pendidikan," ucapnya.
Sebagai pengendali data, KPAI setidaknya beberapa tugas. Di antaranya, patuh dan memastikan keamanan pemprosesan. Mereka harus merekam kegiatan pemprosesan,. Juga menilai dampak pelindungan data. "KPAI juga berkewajiban menerapkan langkah-langkah perlindungan khusus untuk memastikan keamanan data pribadi anak," tandas Wahyudi.
