Jakarta (ANTARA) - Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (ELSAM) Wahyudi Djafar mengatakan bahwa Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) harus mengatur tentang pelindungan data pribadi anak.

"DPR dan pemerintah perlu memastikan adanya pengaturan khusus pelindungan data pribadi anak dalam RUU PDP dengan mengacu pada pendekatan berbasis hak anak," kata Wahyudi dalam keterangan pers yang diterima di Jakarta, Jumat.

Rekomendasi tersebut merupakan tanggapan Wahyudi atas dugaan kebocoran data pengaduan yang dikelola oleh Komisi Pelindungan Anak Indonesia (KPAI).

Temuan kebocoran tersebut pertama kali dikabarkan oleh akun Twitter dengan nama pengguna txtdarionlshop setelah menemukan salah satu akun bernama C77 menjual dua file database pengaduan KPAI dengan nama Leaked Database KPAI di situs RaidForums yang diunggah pada tanggal 13 Oktober 2021.

Berdasarkan sampel data yang diunggah, data yang diduga mengalami kebocoran meliputi 13 elemen data pribadi, yakni nama, nomor identitas, email, telepon, pekerjaan, pendidikan, tempat dan tanggal lahir, alamat, kota, provinsi, dan kewarganegaraan, serta sejumlah data pribadi yang bersifat sensitif, yaitu agama dan jenis kelamin.

Atas dugaan insiden kebocoran tersebut, anggota KPAI Jasra Putra telah membenarkan, bahkan saat ini Badan Siber dan Sandi Negara (BSSN) sedang melakukan investigasi.

Kebocoran data pribadi dari database pengaduan KPAI hanya berjarak kurang dari 3 bulan dari kasus kebocoran data pribadi pada aplikasi e-HAC yang dikelola oleh Kementerian Kesehatan.

"Berulangnya insiden kebocoran data ini memperlihatkan lemahnya sistem pelindungan data pribadi dan mekanisme penegakannya," ucap Wahyudi.

Oleh karena itu, Wahyudi menekankan bahwa RUU PDP penting untuk segera disahkan oleh DPR dan pemerintah agar dapat mengatur kewajiban pengendali data dan pemroses data dengan lebih tegas, termasuk tindakan apa yang harus guna memastikan terlindunginya hak-hak subjek data.

RUU PDP yang saat ini dibahas di DPR, kata dia, masih luput mengatur standar pelindungan khusus terhadap pemrosesan data pribadi anak.

RUU justru menempatkan data anak sebagai data sensitif, padahal secara prinsip, pemrosesan terhadap data sensitif adalah dilarang, kecuali memenuhi persyaratan tertentu, salah satunya melalui persetujuan jelas (explicit consent) dari subjek datanya.

"Problemnya apakah mungkin mendapatkan explicit consent dari anak yang statusnya masih di bawah pengampuan orang tua atau walinya? Padahal, pemrosesan data pribadi anak adalah suatu hal yang niscaya dilakukan saat ini, misalnya untuk kepentingan pendidikan," ucapnya.

Sebagai pengendali data, menurut dia, KPAI setidaknya memiliki enam kewajiban utama, yaitu tanggung jawab dan kepatuhan, memastikan keamanan pemrosesan, merekam kegiatan pemrosesan, kerahasiaan data pribadi, pemberitahuan ketika terjadi pelanggaran, dan melakukan penilaian dampak pelindungan data.

"KPAI juga berkewajiban untuk menerapkan langkah-langkah pelindungan khusus untuk memastikan keamanan data pribadi anak," kata Wahyudi.

Baca juga: Database KPAI dan Bank Jatim terindikasi dijual di RaidForums

Baca juga: Pakar: Perlu kesadaran keamanan terkait penyusupan judi online di K/L