Layanan seluler PT Bank Syariah Indonesia Tbk atau BSI mengalami gangguan sejak Senin malam (8/5). Berdasarkan Undang-Undang Perlindungan Data Pribadi (UU PDP), perusahaan rintisan dan bank digital yang mengelola data pribadi masyarakat wajib memiliki tim khusus.
Dalam UU Perlindungan Data Pribadi, ada dua pihak yang mengelola data di perusahaan dan kementerian/lembaga (K/L), yaitu pengendali data pribadi dan pengolah data pribadi.
Pengontrol data pribadi adalah setiap orang, badan publik, atau organisasi internasional yang melakukan kontrol atas pemrosesan. Sedangkan pengolah data pribadi adalah pihak yang melakukan pengolahan atas nama pengontrol data pribadi.
Tugas pengontrol data pribadi adalah sebagai berikut:
Wajib menyampaikan informasi tentang: Legalitas pemrosesan data pribadi Tujuan Jenis dan relevansi data pribadi yang akan diproses Jangka waktu penyimpanan dokumen yang berisi data pribadi Detail informasi yang dikumpulkan Jangka waktu pemrosesan data Hak subjek data Jika ada perubahan informasi, pengendali bertanggung jawab untuk memberi tahu subjek data sebelum mengubah. Pengontrol juga wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data. Pengontrol diharuskan merekam semua aktivitas pemrosesan data pribadi. Pengontrol wajib memberikan akses subjek data ke data pribadi yang diproses selambat-lambatnya 3 x 24 jam sejak permintaan akses. meminta akses Pengontrol diharuskan untuk melakukan penilaian dampak perlindungan data dalam hal pemrosesan data yang menimbulkan risiko tinggi bagi subjek, seperti memiliki konsekuensi hukum. Pengontrol wajib melindungi dan memastikan keamanan data yang diproses, dengan cara: Mengatur dan menerapkan tindakan teknis operasional Menentukan tingkat keamanan data pribadi dengan mempertimbangkan sifat dan risiko data, Pengontrol bertanggung jawab untuk menjaga kerahasiaan data data pribadi. Controller bertanggung jawab untuk mengawasi setiap pihak yang terlibat dalam pengolahan data. Pengontrol bertanggung jawab untuk melindungi data dari pemrosesan yang tidak sah atau melanggar hukum. Pengontrol bertanggung jawab untuk mencegah data pribadi diakses secara ilegal. Pengontrol bertanggung jawab untuk menghentikan pemrosesan data jika subjek menarik persetujuan Pengontrol. harus menghentikan pemrosesan data selambat-lambatnya 3 x 24 jam setelah pencabutan persetujuan. Pengontrol harus memberi tahu subjek jika gagal melindungi datanya selambat-lambatnya 3 x 24 jam. Pengontrol juga harus melaporkan pemrosesan data yang tidak sah kepada otoritas yang kompeten
“Informasi yang harus disampaikan adalah jenis data yang bocor, kapan dan bagaimana kebocoran data itu terjadi, serta upaya penanganannya,” bunyi isi UU Perlindungan Data Pribadi.
Ada lagi kewajiban kontrol dalam mengolah data pribadi, yang diatur dalam RUU Perlindungan Data Pribadi.
Sedangkan kewajiban pengolah data adalah:
Pengontrol data harus menunjuk pengolah data pribadi yang memiliki kewajiban untuk melakukan pengolahan data. Pemroses data harus mendapatkan persetujuan tertulis dari pengontrol data sebelum melibatkan pemroses data pribadi lainnya
UU Perlindungan Data Pribadi juga menjelaskan sanksi jika terjadi pelanggaran terhadap data pribadi pengguna, yakni Stindakan administratif berupa:
Peringatan tertulis Penghentian sementara kegiatan pengolahan data Penghapusan dan pemusnahan data Denda administratif
Namun, UU Perlindungan Data Pribadi baru akan berlaku penuh dua tahun setelah diundangkan pada 17 Oktober 2022. Artinya, akan mulai berlaku pada 17 Oktober 2024.
Layanan Penyebab Kesalahan BSI
Direktur Utama BSI Hery Gunardi mengatakan perseroan masih menyelidiki penyebab kesalahan layanan BSI, termasuk kemungkinan serangan siber. “Ini membutuhkan pembuktian lebih lanjut melalui audit dan forensik digital,” ujarnya dalam keterangan media, Rabu (10/5).
“Kami terus berkoordinasi dengan berbagai pihak, baik regulator maupun pemerintah,” tambah Hery.
Hery juga menegaskan komitmen BSI sebagai institusi perbankan untuk terus memperkuat pertahanan dan keamanan siber terutama untuk kepentingan nasabah.
Sebelumnya, Direktur Eksekutif ICT Institute Heru Sutadi menilai kesalahan layanan BSI kemungkinan besar disebabkan serangan siber yang menyebabkan lumpuh sementara. Kemudian layanan tersebut dapat digunakan kembali, tetapi datanya terputus atau dicuri.