Perlindungan Data Pribadi di Indonesia: Ancaman Peretasan dan Ketiadaan UU Perlindungan Data Pribadi
Oleh: Glenn Wijaya, LL.B., S.H., CFTP
Pada awal bulan Mei 2020 yang lalu, publik se-Indonesia dikejutkan dengan berita yang sangat menyita perhatian, dan berita ini tak lain tak bukan terkait peretasan yang terjadi sekitar bulan Maret 2020 terhadap jutaan pengguna Tokopedia. Ini merupakan hal yang serius karena data-data pribadi milik para pengguna Tokopedia dijual di pasar gelap Internet (dark web), dan ini mengundang pertanyaan, bagaimana lantas tindak lanjut dari sisi hukum yang dapat dilakukan oleh Tokopedia dan juga para pemilik data pribadi.
Sekarang memang Indonesia belum memiliki Undang-Undang Perlindungan Data Pribadi secara khusus. Hal ini memang sangat disayangkan, namun terlepas dari hal itu, peraturan perundang-undangan yang berlaku masih memungkinkan untuk mengatur bagaimana seharusnya para pihak-pihak yang terlibat bertindak dalam hal ini.
Dalam hal ini, Tokopedia, sebagai Penyelenggara Sistem Elektronik menurut ketentuan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik dan juga Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (“PM Kominfo 20/2016”), memiliki kewajiban-kewajiban sebagai berikut:
– Memberitahukan secara tertulis kepada Pemilik Data Pribadi jika terjadi kegagalan perlindungan rahasia Data Pribadi dalam Sistem Elektronik yang dikelolanya, dengan ketentuan pemberitahuan sebagai berikut:
- Harus disertai alasan atau penyebab terjadinya kegagalan perlindungan rahasia Data Pribadi;
- Dapat dilakukan secara elektronik jika Pemilik Data Pribadi telah memberikan Persetujuan untuk itu yang dinyatakan pada saat dilakukan perolehan dan pengumpulan Data Pribadinya;
- Harus dipastikan telah diterima oleh Pemilik Data Pribadi jika kegagalan tersebut mengandung potensi kerugian bagi yang bersangkutan; dan
- Pemberitahuan tertulis dikirimkan kepada Pemilik Data Pribadi paling lambat 14 (empat belas) hari sejak diketahui adanya kegagalan tersebut.
Sedangkan, Pemilik Data Pribadi menurut ketentuan Pasal 26 huruf b PM Kominfo 20/2016 dapat mengajukan pengaduan dalam rangka penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri.
Lebih lanjut, Pasal 29 PM Kominfo 20/2016 juga mengatur bahwa setiap Pemilik Data Pribadi dan Penyelenggara Sistem Elektronik dapat mengajukan pengaduan kepada Menteri atas kegagalan perlindungan kerahasiaan Data Pribadi. Pengaduan ini dimaksudkan sebagai upaya penyelesaian sengketa secara musyawarah atau melalui upaya penyelesaian alternatif lainnya. Pengaduan dapat dilakukan apabila terdapat hal-hal berikut:
- Tidak dilakukannya pemberitahuan secara tertulis atas kegagalan perlindungan rahasia Data Pribadi oleh Penyelenggara Sistem Elektronik kepada Pemilik Data Pribadi atau Penyelenggara Sistem Elektronik lainnya yang terkait dengan Data Pribadi tersebut, baik yang berpotensi maupun tidak berpotensi menimbulkan kerugian; atau
- Telah terjadinya kerugian bagi Pemilik Data Pribadi atau Penyelenggara Sistem Elektronik lainnya yang terkait dengan kegagalan perlindungan rahasia Data Pribadi tersebut, meskipun telah dilakukan pemberitahuan secara tertulis atas kegagalan perlindungan rahasia Data Pribadi namun waktu pemberitahuannya yang terlambat.
Pasal 31 PM Kominfo 20/2016 juga mengatur tata cara pengaduan dan penanganan perkara. Yang menarik adalah ayat di mana disebutkan bahwa pejabat/lembaga penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadi yang menangani pengaduan dapat memberikan rekomendasi kepada Menteri untuk penjatuhan sanksi administratif kepada Penyelenggara Sistem Elektronik meskipun pengaduan dapat atau tidak dapat diselesaikan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya. Selain itu, Pasal 32 PM Kominfo 20/2016 juga memungkinkan Pemilik Data Pribadi dan Penyelenggara Sistem Elektronik untuk mengajukan gugatan perdata apabila terjadi kegagalan perlindungan rahasia Data Pribadi yang sengketanya tak bisa diselesaikan secara musyawarah atau melalui upaya penyelesaian alternatif lainnya.
Tokopedia, selaku Penyelenggara Perdagangan Melalui Sistem Elektronik (“PPMSE”), juga tunduk pada ketentuan di Pasal 59 ayat (2) Peraturan Pemerintah Nomor 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik (“PP 80/2019”) di mana disebutkan pada huruf g bahwa PPMSE sebagai pihak yang menyimpan data pribadi harus mempunyai sistem pengamanan yang patut untuk mencegah kebocoran atau mencegah setiap kegiatan pemrosesan atau pemanfaatan dara pribadi secara melawan hukum serta bertanggung jawab atas kerugian yang tak terduga atau kerusakan yang terjadi terhadap data pribadi tersebut. Namun, pada Pasal 81 tentang ketentuan peralihan, memang ada waktu 2 (dua) tahun untuk penyesuaian bagi PPMSE yang telah melakukan kegiatan perdagangan barang dan/atau jasa sebelum berlakunya PP 80/2019.
Sekarang, setelah kita membahas dari sisi penyelenggara sistem elektronik dan juga pemilik data pribadi, kini, terkait dengan para peretas, mereka ternyata dapat dijerat dengan ketentuan-ketentuan terkait pada Undang-Undang Nomor 11 Tahun 2008 yang telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (“UU ITE”).
Pasal 30
(1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hokum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apapun.
(2) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apapun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.
(3) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.
Pasal 34
(1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum memproduksi, menjual, mengadakan untuk digunakan, mengimpor, mendistribusikan, menyediakan, atau memiliki;
- perangkat keras atau perangkat lunak Komputer yang dirancang atau secara khusus dikembangkan untuk memfasilitasi perbuatan sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 33;
- sandi lewat Komputer, Kode Akses, atau hal yang sejenis dengan itu yang ditujukan agar Sistem Elektronik menjadi dapat diakses dengan tujuan memfasilitasi perbuatan sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 33.
Sanksi-sanksinya menurut UU ITE adalah sebagai berikut:
Pasal 46
(1) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp600.000.000,00 (enam ratus juta rupiah).
(2) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp700.000.000,00 (tujuh ratus juta rupiah).
(3) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp800.000,000,00 (delapan ratus juta rupiah).
Pasal 50
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 34 ayat (1) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp10.000.000.000,00 (sepuluh miliar rupiah).
Tentu saja, kita semua berharap bahwa kasus ini dapat diatasi secara baik-baik dan tidak ada kerugian yang dialami oleh para pengguna Tokopedia yang data pribadinya sudah diretas oleh para peretas yang tak bertanggung jawab. Dan, semoga, kasus ini justru mengingatkan Pemerintah bahwa sudah seyogyanya pembahasan Rancangan Undang-Undang tentang Perlindungan Data Pribadi segera didahulukan agar perlindungan data pribadi di Indonesia tak hanya sekedar peraturan di atas kertas, tapi juga benar-benar bisa diimplementasikan karena lebih mempunyai ‘taring’ karena selain aturan perlindungan data pribadinya menjadi aturan khusus yang ranah perlindungannya sudah meluas, sanksi-sanksi pidana juga dapat dikenakan kepada para pelanggar.
BEL
Artikel berupa opini ini ditulis oleh Glenn Wijaya, LL.B., S.H., CFTP, seorang associate di sebuah kantor hukum di Jakarta. Artikel ini merupakan pendapat pribadi penulis dan tidak mewakili pandangan redaksi KlikLegal maupun kantor hukumnya.
