Data NPWP Bocor, Kepatuhan Pada UU PDP Jadi Pertanyaan

JAKARTA – Kebocoran data publik kembali terjadi. Kali ini dugaan kebocoran data enam juta Nomor Pokok Wajib Pajak (NPWP) di Direktorat Jenderal Pajak (DJP) Kementerian Keuangan (Kemenkeu).

Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM), Wahyudi Djafar menilai kesiapan pelaksanaan kepatuhan UU Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP) mengkhawatirkan. 

“Kebocoran data yang melibatkan institusi pemerintah ini, kian menambah catatan panjang kegagalan perlindungan data pribadi sektor publik,” papar dia dalam keterangan tertulis, Kamis (19/9).

Hal ini sekaligus menjadi alarm terkait kesiapan sektor publik untuk menjalankan seluruh standar kepatuhan perlindungan data pribadi, dalam kapasitas mereka sebagai pengendali data.

Selain itu, dari rentetan insiden kebocoran data, ELSAM menilai institusi terkait untuk investigasi hingga menyelesaikan setiap insiden kebocoran data pribadi. 

Hampir seluruh insiden data breach yang diduga melibatkan institusi pemerintah, tidak pernah sekalipun dilakukan upaya penegakan hukum yang tuntas.

Situasi ini tentu mengkhawatirkan, khususnya terkait dengan pembentukan lembaga perlindungan data pribadi, yang dimandatkan oleh UU PDP. Lembaga tersebut merupakan bagian dari institusi pemerintah.

Lebih jauh, mencermati insiden data breach di DJP Kemenkeu, ELSAM mencatat beberapa permasalahan dan tantangan.

Pasal 4 UU PDP, data keuangan pribadi merupakan bagian dari data spesifik atau sensitif, yang dalam pemrosesannya masuk kategori berisiko tinggi, karena terdapat risiko moneter yang dapat berdampak pada kerugian finansial dari pemrosesan data ini, sehingga membutuhkan tingkat pengamanan yang lebih tinggi. Apabila terjadi kebocoran data sensitif, maka risiko kerugian yang mungkin dialami oleh subjek data juga lebih besar.

Kedua, mengacu pada ketentuan peralihan UU PDP, masa transisi atau engagement period, undang-undang ini akan segera berakhir pada Oktober 2024. Namun,insiden ini memperlihatkan belum siapnya institusi publik dalam mengimplementasikan kewajiban kepatuhan sebagai pengendali dan prosesor data pribadi.

Penjelasan Pasal 15 huruf c UU PDP tertulis, perpajakan masuk dalam ruang lingkup pengecualian dengan alasan untuk kepentingan umum dalam rangka penyelenggaraan negara. Namun, itu bukan berarti DJP dikecualikan dari kewajiban kepatuhan sebagai pengendali data pribadi. Bukan pula berarti data pribadi subjek data dikecualikan.

Wahyudi menerangkan, pengecualian ini hanya dimaksudkan berkaitan dengan penyelenggaraan fungsi pengawasan dalam penyelenggaraan negara. Termasuk, yang terkait dengan pengawasan perpajakan.

ELSAM berharap DJP bertindak cepat untuk melakukan investigasi internal terkait dugaan insiden kebocoran data pribadi subjek pajak. Termasuk memberikan notifikasi tertulis kepada subjek data sebagaimana diwajibkan Pasal 46 UU PDP.

Notifikasi setidaknya harus memuat informasi mengenai data yang terungkap, kapan dan bagaimana data tersebut terungkap. Lalu, upaya dan penanganan pemulihannya.

Kemudian, sebelum ada lembaga pelindungan data pribadi, UU PDP mengharuskan Kemenkominfo bertindak sebagai otoritas perlindungan data. Hal ini juga diatur PP Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE).

Apabila investigasi menemukan dugaan unsur tindak pidana perlindungan data pribadi, mengacu UU PDP, dapat segera diteruskan pada penyidik untuk penegakan hukum pidana.

“Pidana perlindungan data pribadi langsung dapat ditegakkan sejak undang-undang ini berlaku, pada saat diundangkan (Pasal 76 UU PDP),” pungkas Wahyudi.