Di tengah upaya untuk menghadirkan Undang-Undang Perlindungan Data Pribadi, publik tanah air dikagetkan dengan berita kebocoran data pribadi pengguna platform e-commerce Tokopedia. Setelah sebelumnya diberitakan 15 juta akun pengguna Tokopedia diperdagangkan di dark web, belakangan jumlah tersebut diketahui bertambah jadi 91 juta.
Tokopedia sendiri telah mengakui adanya upaya peretasan terhadap sistem keamanannya Namun, hingga kini belum terlihat ada rencana Tokopedia sebagai penyelenggara platform akan memberikan notifikasi kepada konsumen sebagai pemilik data pribadi.
Kewajiban memberikan notifikasi ini tertuang dalam ketentuan Pasal 14 ayat (5) PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pasal itu menyatakan, “Jika terjadi kegagalan dalam perlindungan terhadap Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam), Wahyudi Djafar, mengatakan Tokopedia wajib memberikan notifikasi kepada konsumen. Notifikasi ini disampaikan dengan cara tertulis kepada konsumen Tokopedia terutama yang terdampak insiden kebocoran data ini.
“Berdasarkan pasal tersebut, Tokopedia sebagai Penyelenggara Sistem Elektronik memiliki kewajiban untuk memberikan notifikasi terkait kebocoran data kepada seluruh konsumennya, terutama konsumen terdampak,” ungkap Wahyudi kepada hukumonline, Minggu (3/5).
Menurut Wahyudi, hal ini sejalan dengan prinsip notifikasi tanpa penundaan (without undue delay) dalam perlindungan data pribadi. Namun, ia menyayangkan keberadaan ketentuan Pasal 28 Peraturan Menteri Komunikasi dan Informasi (Permenkominfo) No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik yang mengatur pemberitahuan tertulis ini dapat dilakukan paling lambat 14 hari sejak terjadinya insiden. (Baca: Kerentanan Pelanggaran Data Pribadi di Tengah Pandemi Covid-19)
Menurut Wahyudi, waktu penyampaian notifikasi yang terlalu panjang ini jika dibandingkan dengan draf RUU Perlindungan Data Pribadi sangat jauh. Dalam rumusan RUU Perlindungan Data Pribadi, kewajiban notifikasi tertulis diatur paling lambat 3x24 jam. Wahyudi menilai hal ini sebagai bentuk itikad baik penyelenggara platform dalam menyelenggarakan pemrosesan data pribadi secara akuntabel.