Terima kasih atas pertanyaan Anda.

Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.

KLINIK TERKAIT

Hukumnya Menyebarkan Rekaman CCTV dan Membuat Berita Bohong

02 Apr 2024

Pasal untuk Menjerat Pelaku Pelecehan di Media Sosial

29 Agt 2023

WNI Menggunakan Identitas WNA, Termasuk Kejahatan Siber?

26 Okt 2022

Kewajiban Jasa Ekspedisi dalam Pelindungan Data Pribadi

24 Okt 2022

Data Pribadi Pengguna E-Commerce

Sebelum menjawab pertanyaan Anda, kami asumsikan bahwa data yang diretas tersebut berkaitan dengan nama, identitas seperti KTP, nomor telepon, dan email pengguna e-commerce tersebut.

Maka, untuk menjawab pertanyaan Anda, kami akan menyampaikan apa yang dimaksud dengan data pribadi terlebih dahulu. Data pribadi adalah data mengenai orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik/nonelektronik.[1]

Terdapat dua jenis data pribadi, yaitu data pribadi yang bersifat spesifik dan yang bersifat umum.[2] Berkaitan dengan nama, KTP, nomor telepon, merupakan jenis data pribadi yang bersifat umum, karena merupakan data yang dikombinasikan untuk mengidentifikasi seseorang.[3] Jika dalam peretasan tersebut ternyata juga terdapat data mengenai keuangan pengguna e-commerce tersebut, maka termasuk data pribadi yang bersifat spesifik.[4]

Dengan demikian, secara yuridis data pengguna yang diproses oleh ­e-commerce tersebut dapat dikategorikan sebagai data pribadi yang menjadi ranah pengaturan UU PDP.

Tanggung Jawab Perusahaan E-Commerce Jika Terjadi Kebocoran Data Pribadi

Kebocoran data pribadi yang diproses/dikelola oleh perusahaan e-commerce, baik karena peretasan pihak ketiga ataupun secara sengaja dibocorkan kepada pihak ketiga/publik, merupakan tanggung jawab perusahaan selaku pengendali data pribadi.

Perusahaan e-commerce digolongkan sebagai pengendali data pribadi yang berbentuk korporasi[5] yang tunduk pada ketentuan pelindungan data pribadi dalam UU PDP.

Beberapa prinsip yang berlaku ketika pengendali data pribadi melakukan pemrosesan data pribadi di antaranya:[6]

1. Pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
2. Pemrosesan data pribadi dilakukan sesuai dengan tujuannya;
3. Pemrosesan data pribadi dilakukan dengan menjamin hak subjek data pribadi;
4. Pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
5. Pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan data pribadi;
6. Pemrosesan data pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan pelindungan data pribadi;
7. Data pribadi dimusnahkan/dihapus setelah masa retensi berakhir berdasarkan permintaan subjek data pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
8. Pemrosesan data pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.

Berdasarkan ketentuan di atas, pada dasarnya perusahaan e-commerce mempunyai kewajiban untuk mencegah kebocoran data pribadi dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, pengubahan yang tidak sah, penyalahgunaan, perusakan dan penghilangan data pribadi.

Baca juga: Kebocoran Data Pribadi dan Upaya Pengamanan Data

Jika terjadi kebocoran data pribadi, maka perusahaan e-commerce yang bersangkutan wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam kepada penggunanya dan lembaga yang menyelenggarakan data pribadi.[7]

Pemberitahuan tersebut harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi tersebut bocor, serta upaya penanganan serta pemulihan kebocoran data pribadi.[8]

Jika kebocoran data pribadi tersebut hingga mengganggu pelayanan publik dan/atau berdampak serius terhadap kepentingan masyarakat, maka perusahaan e-commerce harus mengumumkan kebocoran tersebut kepada masyarakat.[9]

Sanksi bagi Perusahaan E-commerce atas Kebocoran Data Pribadi

Dalam UU PDP, pengendali data pribadi yang tidak mengumumkan kebocoran data pribadi yang telah terjadi, dapat dikenai sanksi administratif berupa: [10]

1. peringatan tertulis;
2. penghentian sementara semua kegiatan pemrosesan data pribadi;
3. penghapusan atau pemusnahan data pribadi; dan/atau
4. denda administratif dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[11]

Dalam hal ini, Anda dapat melaporkan ke lembaga khusus yang menyelenggarakan pelindungan data pribadi yang nantinya akan ditetapkan oleh presiden.[12]

Selain sanksi administratif, atas kebocoran data konsumen atau dalam hal ini pengguna e-commerce dapat digugat secara perdata oleh pengguna yang dirugikan. Hal ini diatur di dalam Pasal 12 ayat (1) UU PDP yang menyebutkan bahwa subjek data pribadi (pengguna) berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi sesuai dengan ketentuan peraturan perundang-undangan.

Pengguna atau konsumen yang dirugikan atas kebocoran data tersebut dapat menggugat berdasarkan Pasal 1365 KUH Perdata tentang perbuatan melawan hukum.

Baca juga: Contoh Perbuatan Melawan Hukum dan Dasar Gugatannya

Adapun terhadap peretas yang melakukan pencurian data pribadi dapat dikenai sanksi sebagaimana diulas dalam artikel Terjadi Pencurian Data Pribadi (Identity Theft)? Tempuh Langkah Ini.

Demikian jawaban dari kami, semoga bermanfaat.

Dasar Hukum:

1. Kitab Undang-Undang Hukum Perdata;
2. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.