Ketua Comelec ‘bertanggung jawab pidana’ atas kebocoran data
(UPDATE ke-4) Komisi Privasi Nasional menyatakan Komisi Pemilihan Umum dan ketuanya Andres Bautista melanggar ketentuan Undang-Undang Privasi Data tahun 2012
MANILA, Filipina (UPDATE ke-4) – Komisi Privasi Nasional (NPC) telah memutuskan Ketua Komisi Pemilihan Umum (Comelec) Andres Bautista “bertanggung jawab secara pidana” atas kebocoran data pemilih pada bulan Maret 2016.
Sebagai tanggapan, Bautista mengatakan keputusan badan privasi tersebut didasarkan pada “kesalahpahaman terhadap berbagai fakta, poin hukum, dan konteks material.” (BACA: Bautista-nya Comelec: Hukum yang diretas, bukan yang diretas)
Dalam keputusan setebal 35 halaman pada tanggal 28 Desember 2016, NPC menemukan bahwa badan pemungutan suara, sebagai pengontrol informasi pribadi, melanggar Bagian 11, 20 dan 21 Undang-Undang Republik 10173 atau Undang-Undang Privasi Data tahun 2012.
NPC juga menyebut Bautista juga melanggar Pasal 11, 20, 21, dan 22 undang-undang yang sama.
Dalam pernyataannya pada Kamis, 5 Januari, NPC menggarisbawahi “kurangnya apresiasi” Bautista terhadap prinsip bahwa perlindungan data lebih dari sekadar penerapan langkah-langkah keamanan.
Badan privasi tersebut juga mengatakan bahwa “pengabaian yang disengaja dan disengaja oleh Bautista terhadap tugasnya sebagai kepala badan tersebut, yang seharusnya dia ketahui atau seharusnya dia ketahui, merupakan kelalaian besar.”
Pelanggaran data mempengaruhi 75.302.683 catatan pendaftaran pemilih (termasuk catatan yang dinonaktifkan atau ditolak) di aplikasi web Precinct Finder Comelec, 1.376.067 catatan di aplikasi web Post Finder, ditambah 139.301 catatan di portal iRehistro, 9496 database, 9296 -database, 9296 catatan, 9296 catatan, 9296 portal, 9296 catatan, nomor seri senjata api, dan catatan 1.267 personel Comelec.
Peretas dapat mengakses data ini pada akhir Maret dan menyediakannya untuk umum melalui situs web yang dapat dicari. Situs web itu segera dihapus.
“Kurangnya kebijakan pengelolaan data yang jelas, khususnya dalam pengumpulan dan pemrosesan lebih lanjut data pribadi, telah membuka akses ilegal terhadap informasi pribadi dan sensitif jutaan orang Filipina,” tambahnya.
“(I)t juga mencakup penerapan langkah-langkah fisik dan organisasi, serta peninjauan berkala, evaluasi dan pembaruan kebijakan dan praktik privasi dan keamanan Comelec,” kata NPC dalam keputusannya.
Pasal 26 RA 10173, yang menghukum akses terhadap informasi pribadi sensitif karena kelalaian, menjatuhkan hukuman penjara 3 hingga 6 tahun dan denda antara P500,000 dan P4 juta.
Pasal 36 memberikan pidana tambahan apabila pelakunya adalah pejabat publik, berupa diskualifikasi dari jabatan publik untuk jangka waktu yang sama dengan dua kali lipat masa pidana.
Tindakan korektif
Namun, NPC membebaskan Komisaris Comelec Christian Robert Lim dan Al Parreño, Direktur Eksekutif Jose Tolentino Jr, Juru Bicara James Arthur Jimenez, dan Pejabat Teknologi Informasi Ferdinand de Leon, Jeannie Flororita dan Eden Bolo dari tanggung jawab pidana.
Wakil Komisioner NPC Ivy Patdu mengatakan badan tersebut tidak menemukan cukup bukti untuk merekomendasikan tuntutan terhadap para pejabat tersebut. Dia menambahkan bahwa tanggung jawab “pada akhirnya berada di tangan kepala badan tersebut.”
NPC juga mengklarifikasi bahwa hasil pemilu 2016 tidak terpengaruh. “Karena semangatnya untuk melindungi suara, mereka gagal melindungi pemilih,” kata Wakil Komisioner Damian Domingo Mapa.
Selain itu, badan privasi memerintahkan Comelec dan Ketua Bautista untuk melakukan “audit keamanan independen terhadap semua sistem pemrosesan data pribadinya, termasuk yang ditawarkan oleh penyedia layanan, dalam waktu 3 bulan dan audit serupa setiap tahun selama 5 tahun ke depan.” ”
NPC juga memerintahkan Comelec untuk mengambil tindakan perbaikan berikut:
1. menunjuk petugas perlindungan data dalam waktu 1 bulan sejak diterimanya keputusan
2. melakukan penilaian dampak privasi dalam waktu 2 bulan sejak diterimanya
3. membuat program manajemen privasi dalam waktu 3 bulan sejak diterimanya
4. membuat prosedur manajemen pelanggaran dalam waktu 3 bulan sejak diterimanya
5. menerapkan langkah-langkah keamanan organisasi, fisik dan teknis dalam waktu 6 bulan sejak diterimanya
– Rappler.com
