Di tengah upaya untuk menghadirkan Undang-Undang Perlindungan Data Pribadi, publik tanah air dikagetkan dengan berita kebocoran data pribadi pengguna platform e-commerce Tokopedia. Setelah sebelumnya diberitakan 15 juta akun pengguna Tokopedia diperdagangkan di dark web, belakangan jumlah tersebut diketahui bertambah jadi 91 juta.
Tokopedia sendiri telah mengakui adanya upaya peretasan terhadap sistem keamanannya Namun, hingga kini belum terlihat ada rencana Tokopedia sebagai penyelenggara platform akan memberikan notifikasi kepada konsumen sebagai pemilik data pribadi.
Kewajiban memberikan notifikasi ini tertuang dalam ketentuan Pasal 14 ayat (5) PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pasal itu menyatakan, “Jika terjadi kegagalan dalam perlindungan terhadap Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam), Wahyudi Djafar, mengatakan Tokopedia wajib memberikan notifikasi kepada konsumen. Notifikasi ini disampaikan dengan cara tertulis kepada konsumen Tokopedia terutama yang terdampak insiden kebocoran data ini.
“Berdasarkan pasal tersebut, Tokopedia sebagai Penyelenggara Sistem Elektronik memiliki kewajiban untuk memberikan notifikasi terkait kebocoran data kepada seluruh konsumennya, terutama konsumen terdampak,” ungkap Wahyudi kepada hukumonline, Minggu (3/5).
Menurut Wahyudi, hal ini sejalan dengan prinsip notifikasi tanpa penundaan (without undue delay) dalam perlindungan data pribadi. Namun, ia menyayangkan keberadaan ketentuan Pasal 28 Peraturan Menteri Komunikasi dan Informasi (Permenkominfo) No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik yang mengatur pemberitahuan tertulis ini dapat dilakukan paling lambat 14 hari sejak terjadinya insiden. (Baca: Kerentanan Pelanggaran Data Pribadi di Tengah Pandemi Covid-19)
Menurut Wahyudi, waktu penyampaian notifikasi yang terlalu panjang ini jika dibandingkan dengan draf RUU Perlindungan Data Pribadi sangat jauh. Dalam rumusan RUU Perlindungan Data Pribadi, kewajiban notifikasi tertulis diatur paling lambat 3x24 jam. Wahyudi menilai hal ini sebagai bentuk itikad baik penyelenggara platform dalam menyelenggarakan pemrosesan data pribadi secara akuntabel.
Wahyudi mengingatkan dalam hal terjadi kegagalan pelindungan data pribadi yang memiliki dampak yang serius, Tokopedia wajib melakukan tindakan lanjutan seperti yang diatur dalam ketentuan Pasal 24 Ayat (3) PP No. 71 Tahun 2019. Pasal itu menyatakan “Penyelenggara Sistem Elektronik wajib mengamankan Informasi Elektronik dan/atau Dokumen Elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan Kementerian atau Lembaga terkait”.
Menurut Wahyudi, terkait hal ini seharusnya diatur lebih lanjut mengenai koordinasi antara Penyelenggara Sistem Elektronik kepada Kementerian atau Lembaga terkait. “Terutama dengan tujuan meminimalisir risiko terjadinya kebocoran data bagi pengguna,” ujarnya.
Langkah rincinya, jika terjadi kebocoran data pribadi penyelenggara sistem elektronik sebagai pengendali data harus memberikan pemberitahuan kepada pemilik data, sejumlah informasi yang terkait dengan: (1) kategorisasi data pribadi apa saja yang bocor; (2) jumlah subjek data yang terdampak; (3) informasi kontak petugas perlindungan data pribadi yang dapat dihubungi; (4) konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran; dan (5) langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang).
Infrastruktur Keamanan Data Pribadi
Peneliti Elsam Lintang Setianti menambahkan, jika mengacu pada prinsip-prinsip perlindungan data pribadi, penyelenggara platform seperti Tokopedia memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya. Infrastruktur tersebut meliputi, penerapan pseudonymization dan enkripsi data pribadi. Kemudian memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan.
Lintang juga menyebutkan, penyelenggara platform juga harus memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (kebocoran data), serta menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan, termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs). (Baca: Urgensi Perlindungan Data Pribadi untuk Konsumen Sektor E-Commerce)
Lebih lanjut, jika mengacu pada ketentuan Pasal 29 Permenkominfo No.20 Tahun 2016, pemilik data pribadi juga berhak untuk mengajukan pengaduan kepada Menteri dalam rangka penyelesaian sengketa, atas terjadinya kegagalan dalam perlindungan data pribadi. Untuk itu, menanggapi situasi kekosongan hukum perlindungan data pribadi yang komprehensif saat ini, Elsam menekankan agar Kementerian Komunikasi dan Informatika segera melakukan proses investigasi.
Investigasi ini agar mendapatkan data dan informasi lebih lanjut perihal jumlah data penumpang yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh pihak penyelenggara platform untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi.
Kemudian, Kemenkominfo dapat mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No.71 Tahun 2019 dan Permenkominfo No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik, juga memastikan pemulihan bagi para pemilik data.
Pemerintah dan DPR diingatkan untuk segera melakukan proses pembahasan RUU Pelindungan data Pribadi, dengan tetap mempertimbangkan situasi Covid-19 dan tetap menjamin partisipasi aktif seluruh pemangku kepentingan. Akselerasi proses pembahasan ini penting mengingat banyaknya peristiwa dan insiden terkait dengan eksploitasi data pribadi, di berbagai sektor.
Hasil penelusuran Elsam terhadap insiden kebocoran data pengguna Tokopedia ini setidaknya terjadi atas 12.115.583 akun. Kebocoran data tersebut terdiri dari alamat unik email, tanggal lahir, gender, nama, dan password. Insiden ini sendiri terjadi pada 17 April 2020, dan menghasilkan 15 juta rows data yang mulai diperjualbelikan melalui sejumlah dark web.
Sementara, Yayasan Lembaga Konsumen Indonesia (YLKI) mempertanyakan keandalan sistem IT Tokopedia. YLKI menduga sistem IT di Tokopedia tidak cukup andal sehingga gampang diretas oleh pihak lain. Oleh karena itu, YLKI mendesak pihak Tokopedia untuk memberikan klarifikasi kepada publik terkait sistem atau teknologi yang dipakai dalam perlindungan data pribadi.
YLKI mempertanyakan apakah sistem perlindungan data pribadi di Tokopedia digaransi oleh pihak ketiga atau tidak. Selain itu, YLKI mempertanyakan berapa lapis sistem keamanan yang digunakan Tokopedia dalam melindungi data pribadi pengguna. "YLKI juga meminta pemerintah untuk turun tangan dalam kasus peretasan sistem IT di Tokopedia, guna memberikan perlindungan dan rasa aman konsumen," ujar Ketua Pengurus Harian YLKI, Tulus Abadi, seperti dikutip Antara.
Tokopedia sendiri berdasarkan pantauan hukumonline telah mengingormasikan kepada para pengguna akunnya untuk memperbaharui password masing-masing. Peringatan ini disampaikan melalui surel para pemilik akun menyusul insiden kebocoran data terkait. “Tokopedia saat ini tengah melakukan investigasi mendalam mengenai hal ini. Namun kami memastikan bahwa tidak ada kebocoran password yang dapat digunakan untuk login ke akun anda,” tulis surel tersebut.