“KPAI harus memiliki kemampuan untuk mengambil tindakan apabila mengetahui bahwa anak-anak terkena risiko yang signifikan. Selain itu, kerahasiaan informasi yang dikumpulkan dari individu, dan pengelolaan data pribadi, merupakan bagian integral dari strategi perlindungan yang baik, yang juga berlaku untuk staf KPAI dan orang lain yang mungkin terlibat,” tambah Wahyudi.
Dia menyarankan laporan pemantauan perlu disusun sedemikian rupa untuk melindungi sumber dan menghindari merujuk atau mengidentifikasi pada individu tertentu. Sebab, menurut Wahyudi, kasus kebocoran tersebut menunjukkan kegagalan KPAI menjalankan mandat pemantauan hak anak berdasarkan pendekatan berbasis hak anak.
“Dalam konteks perlindungan data pribadi sendiri, insiden kebocoran tersebut menunjukan bahwa KPAI belum sepenuhnya menerapkan prinsip-prinsip perlindungan data pribadi terhadap pemrosesan data pribadi yang dilakukannya. Terutama terkait dengan prinsip integritas dan kerahasiaan, yang salah satunya diturunkan dengan penerapan sistem keamanan yang kuat untuk mencegah terjadinya kebocoran,” kata Wahyudi.
Kekosongan rujukan hukum perlindungan data pribadi yang komprehensif dinilai menjadi alasan utama belum patuhnya pengendali data, termasuk badan publik, terhadap prinsip-prinsip perlindungan data pribadi. Sehingga, Wahyudi menegaskan karenanya keberadaan UU Perlindungan Data Pribadi penting disegerakan, agar lebih tegas mengatur kewajiban pengendali dan pemroses data, termasuk tindakan yang harus dilakukan dalam memastikan terlindunginya hak-hak subyek data.
Sebagai pengendali data, Wahyudi menerangkan KPAI setidaknya memiliki enam kewajiban utama dalam pemrosesan data pribadi, yakni tanggung jawab dan kepatuhan, memastikan keamanan pemrosesan, merekam kegiatan pemrosesan, kerahasiaan data pribadi, pemberitahuan ketika terjadi pelanggaran, dan melakukan penilaian dampak perlindungan data. Selain kewajiban di atas, jika secara khusus melakukan pemrosesan data anak, KPAI juga berkewajiban untuk menerapkan langkah-langkah perlindungan khusus untuk memastikan keamanan data pribadi anak.
“Insiden kebocoran data yang terjadi di KPAI sesungguhnya menunjukkan betapa rentannya potensi eksploitasi terhadap data pribadi anak. Risiko inilah yang mendorong adanya klausul khusus perlindungan data pribadi anak atau the protection of minors dalam sebuah legislasi perlindungan data pribadi,” jelas Wahyudi.
Dia menerangkan pengaturan ini berpijak dari pertimbangan, anak mungkin kurang menyadari risiko, konsekuensi, serta perlindungan dan hak-hak mereka sehubungan dengan pemrosesan data pribadinya. Sebagai contoh, di Eropa, apabila anak di bawah usia 16 tahun, pemrosesan data pribadinya akan sah jika dan sejauh persetujuan itu diberikan atau disahkan oleh orang tua atau pengampu atas anak tersebut.