Transaksi belanja daring atau online melalui marketplace bukan hal asing bagi masyarakat. Terlebih sejak pemberlakuan pembatasan sosial berskala besar (PSBB) di sebagian besar wilayah dan memasuki Lebaran, transaksi dan jumlah pengguna atau konsumen belanja online semakin meningkat. Belanja daring tersebut memberi kemudahan bagi masyarakat dari sisi waktu dan biaya.
Namun seperti dua sisi mata uang, belanja daring memiliki risiko salah satunya kebocoran data pribadi konsumen. Data pribadi konsumen yang dicantumkan saat bertransaksi di marketplace seperti kontak telepon, email, KTP hingga wajah pengguna dapat bocor tanpa sepengetahuan pemilik data tersebut. Hal ini berbahaya bagi masyarakat karena data pribadi tersebut dapat disalahgunakan, diperjualbelikan hingga digunakan untuk tindakan kriminal.
Kekhawatiran ini bukan tanpa alasan. Berbagai kasus kebocoran data pribadi konsumen marketplace beberapa kali terjadi. Tidak hanya Indonesia, kebocoran data pribadi tersebut juga terjadi pada marketplace global. Lemahnya regulasi hingga keandalan pengamanan sistem menjadi aspek yang menjadi sorotan dalam perlindungan data pribadi di Indonesia.
Bila merujuk pada Pasal 28G Ayat 1 Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 (UUD 1945), sudah ada kewajiban negara memberi perlindungan data pribadi masyarakatnya.
Pasal tersebut berbunyi “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi”.
Sayangnya, aturan turunan dari pasal tersebut tidak komprehensif dan beragam sehingga perlindungan data pribadi masih berada dalam ketidakpastian. Sedikitnya, terdapat 30 UU yang mengatur data pribadi. Hal ini menyebabkan aturan main penggunaan data pribadi oleh pihak lain menjadi tidak jelas. (Baca: Kasus Bocornya Data Pribadi Konsumen Belanja Online Marak)
Dalam praktiknya, terdapat berbagai pertanyaan-pertanyaan mengenai kewenangan pengguna data saat memanfaatkan data tersebut untuk kepentingan bisnisnya. Selain itu, pengguna data juga bisa memindahtangankan data pribadi konsumen tanpa persetujuan pemilik data.
Memang sudah ada klausula baku yang dianggap sebagai persetujuan pemilik data terhadap penggunaan data pribadi oleh pengguna. Namun, kalusula baku tersebut sifatnya tidak fleksibel sehingga tidak memberikan pilihan bagi konsumen untuk memberi izin jenis-jenis data pribadi yang dapat dimanfaatkan. Sehingga, konsumen secara terpaksa menyetujui perjanjian-perjanjian dalam klausula baku tersebut. Kemudian, produsen juga menerbitkan disclaimer atau catatan bahwa pihaknya tidak dapat dituntut atau bertanggung jawab dengan alasan apapun.
Salah satu yang perlu dilakukan untuk mengantisipasi pelanggaran data pribadi yaitu segera mengesahkan Rancangan Undang Undang Pelindungan Data Pribadi (RUU PDP). UU ini dianggap menjadi salah satu cara memberi aturan main yang jelas penggunaan data pribadi yang masih tersebar di berbagai UU tersebut. Namun, hingga saat ini pemerintah bersama DPR tak kunjung mengesahkan RUU PDP tersebut.
Wakil Ketua Yayasan Lembaga Perlindungan Konsumen Indonesia, Sudaryatmo, menyatakan kerentanan perlindungan data pribadi justru hadir dari pengguna data tersebut. Dia menjelaskan ada kasus penggunaan data pribadi oleh salah satu platform untuk kepentingan bisnis di luar negeri. Lalu ada juga pengguna data tersebut menyerahkan data konsumen kepada pihak ketiga. “Pengguna data menyatakan tidak bertanggung jawab seandainya ada pelanggaran hukum. Ini sudah tidak fair dari awal,” jelas Sudaryatmo, Kamis (14/5) dalam satu diskusi daring yang diikuti hukumonline.
Dari pengaduan konsumen dan temuan kasus, Sudaryatmo menjelaskan kesadaran perlindungan data pribadi oleh pengguna data masih belum tinggi. “Kami riset ke 10 bank mengenai privacy policy namun hanya 5 bank yang jawab. Kami juga tidak temukan perusahaan-perusahaan Indonesia punya chief officer dan komit perlindungan data pribadi,” ujar Sudaryatmo. (Baca: Cerita Lebaran dan Pandemi)
Penguatan Sistem Manajemen risiko
Selain dari aspek regulasi, perlindungan data pribadi juga dapat dilakukan melalui penguatan sistem dan manajemen risiko. Sebenarnya, sudah ada standardisasi sistem manajemen keamanan informasi (SMKI), yaitu ISO 27001:2013. Deputi Bidang Penerapan Standar dan Penilaian Kesesuaian Badan Standardisasi Nasional (BSN), Zakiyah, menjelaskan SMKI merupakan pendekatan secara sistematik untuk menetapkan, menerapkan, mengoperasikan, memantau, mengevaluasi, memelihara dan meningkatkan keamanan informasi suatu organisasi untuk mencapai target bisnisnya.
SMKI mencakup kebijakan, prosedur, pedoman atau panduan serta sumber daya dan kegiatan terkait yang dikelola oleh suatu organisasi yang bertujuan untuk melindungi aset informasinya. Sayangnya, jumlah perusahaan yang menerapkan ISO 27001 tersebut masih sedikit. Berdasarkan survey BSN pada 2018 menyatakan baru 175 perusahaan yang menerapkan standar tersebut.
Zakiyah menyayangkan rendahnya kesadaran tersebut karena sudah ada Permenkominfo No.4 Tahun 2016 tentang Sistem Manajemen Pengamanan Informasi yang mewajibkan penerapan standar tersebut. “Jumlah ini relatif kecil. Ini bisa karena memang kesadarannya rendah dan yang melaporkan sedikit. Padahal sudah diwajibkan melalui Peraturan Menkominfo (Menteri Komunikasi dan Informatika),” ujarnya.
Dari sisi konsumen, kesadaran konsumen mengenai data pribadi juga harus ditingkatkan. Konsumen harus cerdas memahami risiko saat menyerahkan data pribadi tersebut saat berbelanja daring. Kemudian, konsumen juga harus menyadari hak-hak sebagai pemilik data. Dan, apabila terjadi sengketa, konsumen juga harus tahu mekanisme penyelesaiannya.
Direktur Pengembangan Standar Mekanika, Energi, Elektroteknika, Transportasi dan Teknologi Informasi BSN, Yustinus Kristianto Widiwardono, menambahkan perkembangan teknologi digital dan akses internet sangat memudahkan terjadinya transaksi bisnis. Berdasarkan data tahun 2018, jumlah konsumen e-commerce di Indonesia mencapai 30 juta. Disinyalir, 8 dari 10 orang Indonesia setiap bulannya membeli paling tidak 1 produk melalui e-commerce. (Baca: Dampak Covid-19 Terhadap Pembayaran THR)
Secara umum, transaksi melalui e-commerce memang memiliki berbagai keuntungan. Transaksi dapat dilakukan secara cepat tanpa terbatas ruang dan waktu, produk yang tersedia sangat beragam, dan konsumen dapat langsung membandingkan harga antar seller, bahkan antar marketplace. Namun, di balik itu semua ada tantangan pengendalian dan jaminan keamanan data pribadi konsumen.
Yustinus mengingatkan bahwa informasi merupakan aset yang sangat berharga. Oleh karenanya, perusahaan harus memiliki sistem manajemen yang baik agar dapat menjaga informasi perusahaannya. “Apalagi perusahaan yang memiliki banyak mitra bisnis. Bila terjadi kebocoran informasi, tentu dapat menurunkan kredibilitas perusahaan tersebut,” katanya.
Nikmati Akses Gratis Koleksi Peraturan Terbaru dan FAQ Terkait Covid-19 di sini. |