Penggunaan sistem dan transaksi elektronik pada bisnis telah lumrah seperti e-commerce, fintech maupun bisnis digital lainnya. Perusahaan sebagai penyelenggara sistem dan transaksi elektronik (PSTE) wajib melindungi data pengguna atau konsumen dari kejahatan penyalahgunaan dan pencurian atau peretasan. Berbagai kasus kebocoran data pribadi di Indonesia telah terjadi namun penegakan hukum belum optimal.
Risiko kebocoran data pribadi bersumber dari internal dan eksternal perusahaan. Sisi internal, risiko fraud atau pelanggaran yang menyebabkan data bocor berasal dari perusahaan tersebut. Sementara risiko eksternal berasal dari pihak luar yang meretas atau hack pusat data perusahaan. Selain itu, Kebocoran data juga bisa berasal dari kelalaian pengguna mengamankan akunnya.
Aturan mengenai perlindungan data pengguna tercantum pada Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE). Perusahaan wajib menyelenggarakan sistem dan transaksi elektronik dengan andal dan aman serta bertanggung jawab terhadap pengoperasiannya. Selain itu, penggunaan data pengguna yang dihimpun perusahaan juga harus digunakan untuk tujuannya berdasarkan perjanjian.
Pengurus Asosiasi Praktisi Perlindungan Data Indonesia (APPDI), Raditya Kosasih, menjelaskan kemajuan teknologi yang memudahkan akses berbenturan dengan privasi masyarakat. Dia menjelaskan pelaksanaan perlindungan data dilakukan dengan menjaga dari akses yang dilarang tersebut. (Baca: Pentingnya Profesi Data Protection Officers dalam Pelindungan Data Pribadi)
“Bagaimana cara dapatkan privasi masyarakat yaitu dengan lindungi data pribadi. Ini adalah suatu hak, bagaimana lindungi data itu sehingga ciptakan privasi,” jelas Raditya dalam Bootcamp Hukumonline 2021 “Strategi Perlindungan Data Pribadi dan Serangan Siber bagi Perusahaan”, Selasa (23/2).
Raditya menjelaskan pemerolehan dan pemorsesan data perlu persetujuan dari pemilik data atau konsumen. Pemerolehan dan pemerosesan data tersebut diberikan secara eksplisit dan tidak boleh secara tersembunyi atas dasar paksaan, kekhilafan, kelalaian dan paksaan. Umumnya, penerapan persetujuan ini diterapkan melalui terms and condition sebelum konsumen menggunakan layanan sistem dan transaksi elektronik.
Dia menjelaskan pemilik data pribadi berhak atas kerahasiaan datanya dan mengajukan pengaduan untuk penyelesaian sengketa saat terjadi kebocoran dan penyalahgunaan. Pemilik juga berhak untuk mengubah dan memperbarui data pribadi serta berhak meminta histori data pribadi dari penyelenggara. Lalu, pemilik juga berhak meminta pemusnahan data pribadi atau right to be forgotten.
Perlu diketahui dalam pemrosesan data pribadi terdapat pihak luar yang ditunjuk oleh perusahaan penyedia layanan sebagai pengendali data. Pemroses data ini memproses data pribadi atas nama pengendali data. Selain itu, pemroses data juga bertindak atas instruksi pengendali data. Sehingga, saat terjadi kebocoran data pribadi yang disebabkan pemroses data maka tidak menjadi tanggung jawab pengendali data melainkan pemroses data tersebut.
Raditya menekanan pentingnya pemerintah bersama DPR segera mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (PDP). Dia menjelaskan kehadiran aturan tersebut dapat menegaskan tanggung jawab masing-masing pihak terhadap data pribadi pengguna. Aturan tersebut juga dapat memberi sanksi kepada pihak yang melanggar kerahasiaan data pribadi pengguna.
Selain itu, RUU PDP juga akan mengatur data protection officer (DPO) yang diperlukan untuk pemrosesan data pribadi. DPO ini bertugas untuk memberikan sarat dan informasi kepada perusahaan untuk memastikan kepatuhan terhadap perlindungan data pribadi. Selain itu DPO juga diperlukan untuk memantau secara teratur dan sistematis data pribadi dengan skala besar. DPO juga mengkoordinasikan para pihak internal dan eksternal terkait untuk perlindungan data. “Kedepan banyak yang ingin jadi DPO, tapi tanggung jawabnya besar,” jelas Raditya.
Dalam kesempatan tersebut, Pengurus APPDI, Danny Kobrata juga mengatakan RUU PDP perlu segera disahkan. “Ketika ada UU PDP, Kemenkominfo enforcement-nya akan lebih tegas. Kewajiban-kewajiban banyak di pengendali data, pengendali data akan bertanggung jawab saat kebocoran data, pemroses data akan bertanggung jawab saat melakukan di luar instruksi,” jelas Danny.
Dia juga menjelaskan saat ini ketentuan penggunaan data masyarakat sangat bergantung pada pesetujuan. Menurutnya, dengan kehadiran UU PDP penggunaan data dapat dilakukan tanpa persetujuan pada kondisi tertentu. Dasar pemrosesan data pribadi antara dapat dilakukan berdasarkan kontrak, pemenuhan kewajiban hukum pengendali data, keadaan darurat atau vital, pemrosesan untuk pelayanan public dan kepentingan yang sah dari pengendali data (legitimate interest).
“Persetujuan bukan satu-satunya dasar untuk memproses data pribadi,” jelasnya.