Data Pribadi Konsumen E-Commerce Bocor dan Dijual Pihak Lain, Bagaimana Hukumnya?

Perbincangan menjadi semakin menarik mengingat sampai saat ini Indonesia belum memiliki undang-undang khusus yang mengatur tentang perlindungan data pribadi.

Berita tentang kasus kebocoran data pribadi konsumen yang sempat ramai diperbincangkan di antaranya adalah di Tokopedia dan Lazada.

Dugaan kebocoran data pribadi di Tokopedia sempat diajukan gugatan ke pengadilan oleh salah satu lembaga swadaya masyarakat.

Terkait hal tersebut, pihak platform digital sempat menyatakan bahwa terdapat upaya pencurian data oleh pihak tidak berwenang terkait informasi pengguna Tokopedia.

Sementara terkait dugaan kebocoran data pribadi konsumen di Lazada, Badan Perlindungan Konsumen Nasional sempat membuat pernyataan ke publik agar dilakukan penyelidikan mendalam dan menyeluruh agar konsumen tidak terus dirugikan.

Berdasarkan hal di atas, menarik untuk diketahui bagaimana bentuk perlindungan hukum terkait penyalahgunaan kebocoran data pribadi konsumen, khususnya dalam transaksi e-commerce? Bagaimana pertanggungjawaban hukumnya?

Perlindungan data pribadi

Di Indonesia perlindungan data pribadi seseorang tersebar di beberapa peraturan perundang-undangan.

Norma dasar tentang perlindungan data pribadi dapat ditemukan dalam Pasal 28G ayat (1) UUD 1945.

Di pasal tersebut data pribadi dinilai sebagai “privasi” (privacy rights) dan bagian yang tak terpisahkan dari data diri pribadi warga negara dalam kerangka hak asasi manusia.

Konsekuensi dari hal tersebut adalah negara dan/atau setiap pihak, bertanggungjawab untuk melindungi, menghormati, memenuhi dan memajukan hak privasi dan kerahasiaan data pribadi warga negara.

Apabila dicermati dengan seksama, di Indonesia data pribadi seseorang dikualifikasikan sebagai bentuk informasi yang bersifat rahasia.

Hal tersebut di antaranya merujuk Pasal 1 angka 22 UU No. 24 Tahun 2013 tentang Perubahan UU No. 23 Tahun 2006 tentang Adiministrasi Kependudukan jo. Pasal 1 angka 20 PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik jo. Pasal 1 angka 1 PM Kominfo No. 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Untuk menjaga kerahasiaan tersebut, maka di peraturan perundang-undangan diwajibkan bagi setiap pihak yang memperoleh data pribadi seseorang untuk menyimpan sebaik-baiknya dan menjaganya.

Kewajiban tersebut berlaku juga bagi platform digital dan merchant dalam transaksi e-commerce.

Kewajiban Platform Digital terdapat pada Pasal 31 PP No. 71 Tahun 2019 yang menyatakan:

“Penyelenggara Sistem Elektronik wajib melindungi penggunanya dan masyarakat luas dari kerugian yang ditimbulkan oleh Sistem Elektronik yang diselenggarakannya.”

Sementara kewajiban merchant terdapat pada Pasal 58 ayat (2) PP No. 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik yang menyatakan:

“Setiap Pelaku Usaha yang memperoleh data pribadi sebagaimana dimaksud pada ayat (1) wajib bertindak sebagai pengemban amanat dalam menyimpan dan menguasai data pribadi sesuai dengan ketentuan peraturan perundang-undangan.”

Ditegaskan pula bahwa penyimpanan data pribadi konsumen e-commerce dilakukan dengan mendasarkan pada asas kelaikan sistem elektronik yang digunakan oleh platform digital. Hal ini tersirat di Pasal 2 PM Menkominfo No. 20 Tahun 2016.

Pihak penyimpan harus mempunyai sistem pengamanan yang patut untuk mencegah kebocoran atau pemrosesan atau pemanfaatan data pribadi secara melawan hukum. Hal ini diatur dalam Pasal 59 ayat (2) huruf g PP No. 80 Tahun 2019.

Berdasarkan seluruh uraian di atas, maka diketahui bahwa di Indonesia, data pribadi seseorang, termasuk konsumen e-commerce, dikualifikasikan sebagai bentuk informasi yang bersifat rahasia.

Selain itu, setiap pihak yang memperoleh data tersebut, tidak terbatas pada platform digital dan merchant, wajib menjaga dan melindungi data pribadi dari setiap upaya penyalahgunaan data yang dapat merugikan konsumen.

Tanggung jawab kebocoran data pribadi konsumen e-commerce

Pertanyaan yang kemudian patut dijawab adalah bagaimana bentuk pertanggungjawaban hukum apabila terjadi kebocoran data pribadi konsumen e-commerce?

Untuk melakukan mitigasi risiko terhadap terjadinya kegagalan terhadap perlindungan data pribadi, termasuk kebocoran data, maka Pasal 14 ayat (5) PP No. 71 Tahun 2019 mengatur langkah penting yang harus dilakukan oleh platform digital, yakni memberitahukan secara tertulis kepada pemilik data pribadi.

Kemudian, apabila terdapat kerugian yang dialami oleh pemilik data pribadi akibat terjadinya kebocoran data, maka pihak yang dirugikan dapat mengajukan tuntutan pertanggungjawaban terhadap pihak yang melakukan kesalahan atas kejadian tersebut.

Pihak yang dirugikan dapat menuntut berdasarkan ketentuan Pasal 1365 KUH Perdata.

Pasal tersebut mengatur bahwa tiap perbuatan yang melanggar hukum dan membawa kerugian kepada orang lain, mewajibkan orang yang menimbulkan kerugian itu karena kesalahannya untuk mengganti kerugian.

Untuk diketahui bahwa unsur penting yang harus diketahui dalam menggunakan pasal tersebut adalah adanya kesalahan yang dilakukan oleh salah satu pihak dan merugikan pihak lainnya.

Selain itu, terdapat beberapa bentuk perbuatan melawan hukum, di antaranya dapat berupa pelanggaran terhadap hak subjektif orang lain dan/atau pelanggaran terhadap kewajiban hukum seseorang.

Tuntutan pertanggungjawaban yang dimintakan dapat berupa penggantian terhadap kerugian materiil dan imateriil yang dialami oleh pemilik data pribadi.

Berdasarkan uraian di atas, diketahui bahwa meski belum ada regulasi khusus yang mengatur perlindungan data pribadi, namun terdapat beberapa instrumen hukum yang dapat digunakan untuk melindungi data pribadi seseorang.

Pemilik data pribadi yang dirugikan akibat kebocoran data dapat menggunakan beberapa dasar hukum untuk menuntut pertanggungjawaban terhadap kerugian yang dideritanya.

Anda punya pertanyaan terkait permasalah hukum? Ajukan pertanyaan Anda di laman ini: Form Konsultasi Hukum