Kebocoran data konsumen yang dialami oleh platform belanja online Tokopedia menjadi kekhawatiran masyarakat. Sebelumnya diberitakan 15 juta akun pengguna Tokopedia diperdagangkan di dark web, belakangan jumlah tersebut diketahui bertambah jadi 91 juta. Terkait hal ini, Tokopedia sendiri telah mengakui adanya upaya peretasan terhadap sistem keamanannya Namun, hingga kini belum terlihat ada rencana Tokopedia sebagai penyelenggara platform akan memberikan notifikasi kepada konsumen sebagai pemilik data pribadi.
Ketua Komunitas Konsumen Indonesia (KKI), David Tobing, menyesalkan bocornya data konsumen tersebut. Kebocoran data ini, katanya, menjadi peristiwa buruk sekaligus membuktikan ketidakandalan sistem pengamanan di Tokopedia terhadap data pribadi. Dia juga menyesalkan pihak Tokopedia yang dinilai menggiring opini seakan-akan semuanya dalam keadaan baik. Padahal ada risiko yang cukup besar dari kebocoran data tersebut.
“Padahal sebenarnya nama, email, no telp dan akun dari pelanggan bocor dan ini sudah diakui oleh Kominfo ketika menerima Tokopedia bahwa ini sudah bocor, seharusnya Tokopedia minta maaf ke konsumen terutama pelanggan-pelanggan yang emailnya dan data pribadinya sudah bocor,” kata David kepada hukumonline, Selasa (5/5).
Diakui David, pihaknya banyak mendapatkan laporan dari konsumen Tokopedia yang merasa akunnya diretas. Namun sayangnya, tak ada pemberitahuan dari Tokopedia.
Terlepas dari peristiwa yang dialami oleh Tokopedia, kebocoran data pribadi konsumen ini membuktikan bahwa pembinaan dan pengawasan terhadap platform di Indonesia tidak maksimal. Kominfo tak bisa berdalih dengan alasan ketiadaan UU Perlindungan Data Pribadi. Hal ini mengingat Kominfo sudah menyediakan regulasi dalam bentuk Peraturan Menteri Komunikasi dan Informatika (Permenkominfo) No.20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.
“Permen perlindungan data pribadi sudah diterbitkan tahun 2016, sudah diatur apa yang menjadi kewajiban dari penyelanggara sistem elektronik atau platform jual beli online, pemerintah tidak maksimal mengawasi, seharusnya secara rutin dan berkala dilakukan pengecekan terkait keandalan data pribadi di platform. Ini kelalaian dari Kominfo,” ujar David.
Mengingat rawannya penyalahgunaan data pribadi, David menyebut Kominfo seharusnya mengambil langkah untuk menutup sementara transaksi jual beli pada platform yang mengalami kebocoran data pribadi. Hal ini bertujuan untuk meminimalisir dampak dari bocornya data pribadi konsumen. Di sisi lain untuk persoalan konsumen, pemerintah seperti tak punya solusi terkait permasalah kebocoran data pribadi.
“Terkait konsumen, bocornya data pribadi jelas sudah banyak sekali pelanggaran yang dilakukan, mengingat data pribadi diatur dalam beberapa regulasi seperti UU ITE, bahkan di UUD juga ada,” kata David.
Di samping itu, lanjut David, kasus bocornya data pribadi ini membuat masyarakat menjadi bimbang harus berbuat apa, sementara Tokopedia dan Menkominfo hanya menyarankan agar mengubah password.
“Tidak ada satu hal yang pasti konsumen harus ngapain, tidak ada informasi juga bahwa mereka sudah diretas atau bocor, padahal itu kewajiban untuk memberikan informasi bahwa data pribadi sudah diretas,” tambahnya. (Baca: Ada Prinsip Without Undue Delay dalam Kebocoran Data Konsumen Tokopedia)
Untuk diketahui, kewajiban memberikan notifikasi tertuang dalam ketentuan Pasal 14 ayat (5) PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pasal itu menyatakan, “Jika terjadi kegagalan dalam perlindungan terhadap Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam), Wahyudi Djafar, mengatakan Tokopedia wajib memberikan notifikasi kepada konsumen. Notifikasi ini disampaikan dengan cara tertulis kepada konsumen Tokopedia terutama yang terdampak insiden kebocoran data ini.
“Berdasarkan pasal tersebut, Tokopedia sebagai Penyelenggara Sistem Elektronik memiliki kewajiban untuk memberikan notifikasi terkait kebocoran data kepada seluruh konsumennya, terutama konsumen terdampak,” ungkap Wahyudi kepada hukumonline, Minggu (3/5).
Menurut Wahyudi, hal ini sejalan dengan prinsip notifikasi tanpa penundaan (without undue delay) dalam perlindungan data pribadi. Namun, ia menyayangkan keberadaan ketentuan Pasal 28 Peraturan Menteri Komunikasi dan Informasi (Permenkominfo) No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik yang mengatur pemberitahuan tertulis ini dapat dilakukan paling lambat 14 hari sejak terjadinya insiden. (Baca: Kerentanan Pelanggaran Data Pribadi di Tengah Pandemi Covid-19).
Selanjutnya, waktu penyampaian notifikasi yang terlalu panjang ini jika dibandingkan dengan draf RUU Perlindungan Data Pribadi sangat jauh. Dalam rumusan RUU Perlindungan Data Pribadi, kewajiban notifikasi tertulis diatur paling lambat 3x24 jam. Wahyudi menilai hal ini sebagai bentuk itikad baik penyelenggara platform dalam menyelenggarakan pemrosesan data pribadi secara akuntabel.
Terkait kasus bocornya data pribadi, pihak Tokopedia menyatakan bahwa prioritas mereka saat ini adalah mengenai keamanan data pengguna, menyusul kebocoran data jutaan pengguna mereka. "Sekali lagi kami tekankan, keamanan data pengguna adalah prioritas Tokopedia karena bisnis kami adalah bisnis kepercayaan," kata VP of Corporate Communications Tokopedia, Nuraini Razak, seperti dilansir Antara, Senin (4/5) malam.
Tokopedia menyatakan akan bekerja sama dengan berbagai pihak, termasuk Kominfo dan BSSN untuk mengatasi kasus ini. "Dalam rangka melakukan investigasi menyeluruh, sekaligus meningkatkan sistem keamanan, untuk menjaga kepercayaan pengguna," kata Nuraini.
Sementara, Menteri Komunikasi dan Informatika Johnny G. Plate menyatakan Pemerintah akan melakukan segala upaya untuk menjaga keberlangsungan ekonomi digital di Indonesia. Kementerian Kominfo bersama BSSN serta platform digital akan meningkatkan pengamanan data pribadi pengguna platform digital.
"Pemerintah akan terus memastikan agar digital economy khususnya e-commerce dapat berjalan dengan baik dan lancar tanpa adanya gangguan oleh peretas data atau data breach. Setiap usaha peretasan data akan ditindaklanjuti agar tidak mengganggu jalannya e-commerce," jelas Menteri Kominfo.