Sebagaimana halnya UU Perlindungan Konsumen (UU 8/199), dalam Pasal 15 UU ITE terdapat prinsip presumed-liability, artinya setiap PSE senantiasa bertanggung jawab secara hukum, kecuali pada saat kesalahan bukan terjadi karena mereka melainkan karena kesalahan konsumen atau pengguna sistem elektronik atau karena kejadian alam (force majeure). Beban pembuktian tentunya diemban oleh PSE, sekiranya ternyata PSE tidak berbicara yang sebenarnya terhadap insiden kebocoran data pribadi, maka justru akan berpotensi timbul masalah berikutnya yaitu kebohongan publik dan melanggar hak atas kejelasan informasi kepada pengguna/konsumen selaku pemilik data pribadi yang bersangkutan.
Pasal 14-18 dari PP No.71/2019 setidaknya telah memberikan standar pelindungan data pribadi yang wajib dilakukan oleh PSE. Terdapat kewajiban notifikasi bagi PSE apabila terjadi kebocoran data. Namun, hal tersebut tidak cukup dilakukan hanya dengan konferensi pers melainkan selayaknya dalam konteks hubungan korespondensi langsung dengan pengguna/subyek data yang bersangkutan. Selain itu, PP 80/2019 juga relatif mengatur lebih komprehensif terkait dengan pelindungan data pribadi, hal ini dapat kita lihat dengan adanya ketentuan pelindungan data pribadi dalam satu bab tersendiri, bila dibandingkan dengan PP 71/2019. PP 80/2019 memberikan kewajiban kepada setiap PMSE untuk melakukan pelindungan data sesuai kaidah yang ditentukan dalam PP dengan mengacu kepada best practices ataupun kelaziman yang berlaku.
Berdasarkan uraian di atas maka setiap pengguna dapat menggugat ganti kerugian kepada korporasi dan/atau instansi pemerintah yang membocorkan data tersebut. Hanya saja untuk membuktikan kerugian immaterial relatif bukanlah hal yang mudah. Terlebih setiap pengguna tentu mempunyai kendala waktu dan biaya untuk menegakkan haknya, sehingga sangat diperlukan kesadaran pemilik data untuk melakukan gugatan baik secara sendiri maupun secara bersama-sama dengan class action. Upaya tersebut tentu secara administratif akan cukup memakan biaya, waktu, dan tenaga bagi para pengguna dan juga pengacaranya. Oleh karena itu, sangat diperlukan bantuan dari pengacara yang membidangi kepentingan konsumen untuk melakukan gugatan agar kebocoran data agar kedepannya tidak lagi menjadi kebiasaan bagi para penyelenggara, baik swasta maupun pemerintah.
Tanggung Jawab Hukum Administratif
Berdasarkan peraturan perundang-undangan yang telah diuraikan pada bagian-bagian sebelumnya, setidaknya ada kewajiban administratif dari Kementerian/Lembaga yang memiliki kewenangan yang terkait pelindungan data pribadi yaitu antara lain Kementerian Kominfo, Kementerian Perdagangan serta Badan Pelindungan Konsumen Nasional, karena tentunya pemilik data pribadi adalah pengguna sistem sebagai konsumen. Mereka mempunyai kewenangan, tugas pokok dan fungsi sesuai sektornya masing-masing untuk melakukan pembinaan, pengawasan, pencegahan dan penindakan untuk itu.
Korporasi menurut PP 71/2019 seharusnya dapat diberikan sanksi administratif oleh Kominfo, dan juga dapat diadukan oleh BPKN kepada Menteri Perdagangan untuk dimasukkan sebagai blacklist sesuai mekanisme PP 80/2019 karena tidak mengindahkan hak konsumen atas keamanan dan kenyamanan. Selanjutnya Kominfo juga dapat melakukan blocking terhadap sistem korporasi tersebut guna mencegah terjadinya hal yang serupa kepada pengguna yang lain. Kondisi pemulihan/normalisasi untuk keluar dari daftar hitam, selayaknya hanya dapat diperkenankan jika semua permasalahan kebocoran data telah jelas fakta sesungguhnya berikut penyelesaian atau penanganan insidennya, serta telah memulihkan kembali hak-hak dari pengguna/konsumen yang dirugikan.
Selain itu, karena pelindungan data pribadi adalah juga bagian dari sektor keamanan siber, maka hal tersebut juga tidak lepas dari kewenangan instansi terkaitnya, antara lain; Polri, BSSN, BIN dan Kementerian Pertahanan. Penggunaan anggaran negara yang merupakan uang rakyat untuk mengadakan alat dan perangkat keamanan serta diklat para aparat tentu tidaklah murah. Maka menjadi pertanyaan bagi publik, bagaimana dan sejauh mana penggunaan perangkat tersebut telah dapat menciptakan manfaat bagi kepentingan publik.
Masyarakat berhak meminta kejelasan dan akuntabilitas dalam proses pencegahan dan penegakan hukumnya, serta mempertanyakan mengapa situasi kebocoran data pribadi seakan terus berulang kali terjadi. Apakah insiden akan terus terjadi karena berbagai instansi yang terkait tersebut seakan lupa atau sangat sulit berkoordinasi demi menjaga kepentingan publik. Bukan suatu hal yang tidak mungkin bagi setiap warga negara yang dirugikan untuk menggugat PMH kepada instansi yang terkait, karena tidak menjalankan kewenangannya sebagaimana mestinya. Hal tersebut dapat dipersepsikan sebagai tindakan pembiaran yang telah merugikan publik.