Mengulas Tiga Klasifikasi Data dalam Revisi PP PSTE

Jakarta - Regulasi tentang data jadi salah satu topik hangat di jagat teknologi. Seperti Eropa yang sempat ramai soal GDPR (General Data Protection Regulation), Indonesia punya revisi Peraturan Pemerintah No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSTE) sebagai topik hangat soal perlindungan data.

Satu poin utama yang tercantum dalam aturan tersebut adalah adanya keharusan untuk menyimpan data center (DC) dan data recovery center (DRC) di Indonesia. Nyatanya, tujuan tersebut tidak dapat diaplikasikan karena beberapa faktor.

Pertama, kewajiban penempatan fisik DC dan DRC di Tanah Air tidak sesuai dengan tujuan regulasi tersebut, yaitu untuk penegakan hukum, menjamin kedaulatan negara, dan melindungi data warga negara. Dalam hal ini, bisa saja sebuah pelaku usaha menempatkan DC dan DRC di Indonesia, tapi menutup jalan bagi pemerintah untuk mengaksesnya dalam suatu kebutuhan.

Lalu, tidak ada klasifikasi data apa saja yang wajib ditempatkan di dalam negeri. Hal ini membuat nihilnya parameter bagi penyelenggara sistem elektronik (PSE).

Selain itu, tak ada sanksi yang disebutkan jika tidak menempatkan DC dan DRC di Indonesia. Hal ini pun memungkinkan banyaknya PSE yang tidak memuhi aturan ini.

Dari sini, Kementerian Komunikasi dan Informatika (Kominfo) selaku pihak yang bertanggung jawab di balik rumusan PP PSTE ini menyimpulkan, butuh adanya klasifikasi data. Mereka merumuskannya melaui pendekatan risiko.

Berdasarkan pendekatan tersebut, data pun terbagi menjadi tiga kategori. Data elektronik strategis, data elektronik tinggi, dan data elektronik rendah jadi hasil dari klasifikasi tersebut.

"Ketika ancaman terhadap data itu berdampak kepada pertahanan, keamanan, dan penyelenggaraan negara, itu menjadi data elektronik strategis," ujar Anthonius Malau, Kasubdit Pengendalian Konten Internet Kominfo, saat ditemui dalam sebuah kesempatan.

"Kalau dampak dari ancaman terhadap data itu hanya kepada sektornya saja, ia masuk ke data elektronik tinggi. Tapi kalau hanya ke perusahaan itu saja berarti data elektronik rendah," katanya menambahkan.

Nah, data elektronik strategis itu wajib berada di wilayah Tanah Air dan menggunakan jaringan sistem elektronik Indonesia. Selan itu, diharuskan juga untuk membuat rekam jejak elektronik yang terhubung ke pusat data terpadu. 

Sedangkan dua kategori lainnya bisa berada di luar negeri jika memenuhi syarat, dengan tetap berada di bawah pengawasan dan penegakan hukum.

Aturan lain yang hanya berlaku untuk data elektronik strategis adalah tidak boleh dikirim, disalin, dan ditukar ke luar Indonesia kecuali atas izin presiden. Misalnya, datanya berkaitan dengan terorisme.

Ketentuan teknis lebih lanjut terhadap data elektronik strategis akan diatur dalam perpres. Sedangkan dua lainnya bakal diatur oleh Ketentuan Institusi Pengawas dan Pengatur Sektoral (IPPS).

Kemudian, ketiganya wajib memenuhi ketentuan perlindungan data elektronik, perlindungan data pibadi, dan penegakan kedaulatan negara. Tak hanya itu, ketiganya juga wajib memberikan akses untuk kepentingan pengawasan dan penegakan hukum. Soal jangka waktu penyimpanan datanya, nanti akan diatur oleh ketentuan peraturan dari masing-masing IPPS.

Selain itu, IPPS sendiri juga berperan untuk mengidentifikasi dan mengajukan data elektronik strategis dan tinggi. Bedanya, kategori pertama ditetapkan oleh menteri, sedangkan satunya perlu melalui menteri koordinator yang lingkupnya terkait sektor bersangkutan sebelum ditetapkan oleh presiden.

Sayang, Anthonius tak menyebutkan apa sanksi yang diberlakukan jika ada pelanggaran. Dengan proses revisinya yang terus disorot, menarik untuk ditunggu hukuman apa yang dicantumkan pada PP Perubahan PP 82/2012 atau PP PSTE ini.

Sumber berita : Detik.com