Sinta Dewi Rosadi, Universitas Padjadjaran

Dua bulan terakhir, setidaknya ada lima kasus kebocoran data pribadi di Indonesia.

Tiga kasus melibatkan perusahaan perdagangan secara elektronik (e-commerce) besar, yaitu Tokopedia, Bukalapak dan Bhinneka.com.

Dua kasus lainnya melibatkan lembaga pemerintahan, yaitu data pasien COVID-19 dan data Komisi Pemilihan Umum.

Kebocoran diperkirakan melibatkan data pribadi milik ratusan juta penduduk Indonesia.

Kasus seperti ini bukan yang pertama kali. Kita ingat tahun lalu kasus kebocoran data yang melibatkan ratusan ribu data warga negara Indonesia yang dipegang oleh perusahaan penerbangan Lion Air.

Dengan pesatnya perkembangan kejahatan di bidang siber, sudah merupakan keniscayaan bahwa kasus-kasus serupa juga akan terjadi di kemudian hari.

Menurut undang-undang dan peraturan yang ada, pemilik data bisa menggugat peretas dan pengelola data pribadi. Namun, ketiadaan pengaturan yang komprehensif tentang perlindungan data pribadi membuat masalah tidak bisa diselesaikan dengan tuntas.


Baca juga: Bagaimana mewujudkan UU Perlindungan Data Pribadi yang kuat di Indonesia


Pemilik data bisa menggugat

Di Indonesia, karena belum adanya pengaturan yang khusus dan komprehensif di bidang perlindungan data pribadi, dasar hukum yang bisa digunakan saat ini untuk mengajukan tuntutan ganti rugi adalah Kitab Hukum Undang-Undang Perdata (KUHPer)

Tiap perbuatan yang melanggar hukum dan membawa kerugian kepada orang lain, mewajibkan orang yang menimbulkan kerugian itu karena kesalahannya untuk menggantikan kerugian tersebut. (KUHPer, Pasal 1365)

Namun perlu dicatat bahwa selain waktu persidangan yang panjang, pembuktian kerugian akibat kebocoran data pribadi tidak selalu mudah terutama bagi masyarakat awam.

Kerugian dan pelanggaran terkait data pribadi sementara diatur lewat Undang-undang (UU) Informasi dan Transaksi Elektronik (ITE)

Berdasarkan aturan yang berlaku, pemilik data pribadi dapat melakukan tindakan hukum apabila terjadi kebocoran data pribadi.

Tindakan hukum pertama yang bisa dilakukan adalah menuntut pihak yang meretas sistem elektronik dan mencuri data pribadi tersebut.

UU ITE mengatur bahwa penggunaan data pribadi melalui media elektronik harus berdasarkan persetujuan orang yang bersangkutan.

Syarat persetujuan ini juga diatur di dalam peraturan turunan UU ITE yaitu Peraturan Pemerintah (PP) No. 71 tahun 2019 dan Peraturan Menteri (permen) Komunikasi dan Informatika (Kominfo) No. 20 tahun 2016.

UU ITE secara tegas menyebutkan bahwa pemilik data pribadi dapat mengajukan gugatan atas kerugian apabila syarat persetujuan tersebut tidak dipenuhi.

Jadi, peretas yang mencuri data pribadi melawan hukum karena dilakukan tanpa persetujuan pemilik data pribadi.

Dari sisi pidana, peretas atau pihak yang memperjualbelikan data tersebut juga diancam sanksi pidana penjara dan denda.

UU ITE memiliki sanksi pidana penjara maksimal 8 tahun penjara dan denda Rp 800 juta untuk tindak peretasan, dan penjara maksimal 10 tahun dan denda Rp 1 miliar untuk kejahatan penjualan data pribadi.

Lalu bagaimana dengan pihak yang mengelola data pribadi? Dapatkah mereka diminta pertanggungjawaban?

Dalam hal kebocoran data pribadi, sebenarnya perusahaan atau institusi yang mengelola data pribadi juga merupakan korban kejahatan yang dilakukan oleh peretas.

Walaupun demikian, berdasarkan UU ITE dan peraturan terkait, hal tersebut tidak serta merta melepaskan pengelola data pribadi dari tanggung jawabnya.

Untuk menentukan pertanggungjawaban pengelola data pribadi, kita harus melihat apakah pengelola data pribadi sudah melakukan semua usaha secara maksimal untuk melindungi sistem elektronik dan menerapkan manajemen risiko sesuai dengan aturan perundang-undangan yang berlaku.

Apabila hal tersebut tidak lakukan, maka pihak pengelola data pribadi dianggap telah lalai dalam melakukan kewajibannya dan oleh sebab itu harus bertanggung jawab atas kerugian yang dialami oleh pemilik data pribadi.

Selain itu, apabila terjadi kebocoran data pribadi, pengelola data pribadi juga berkewajiban untuk memberikan pemberitahuan secara tertulis kepada pemilik data pribadi berdasarkan PP dan permen di atas.

Pemberitahuan tersebut harus disampaikan dalam waktu 14 hari sejak diketahuinya terjadi kebocoran data pribadi dan harus memuat alasan dan sebab terjadinya kebocoran tersebut.

Sayangnya, kewajiban ini sering diabaikan oleh pengelola data di Indonesia karena pemerintah belum tegas menegakkan aturan tersebut, ditambah lagi pemilik data pribadi sendiri sering kurang pro-aktif dalam mendesak perusahaan atau menuntut secara hukum.

Berdasarkan UU ITE dan Permen Kominfo, pengelola data pribadi yang lalai memberikan pemberitahuan dapat diberikan sanksi administratif antara lain teguran tertulis, denda administratif, penghentian sementara, dan pemutusan akses.

Selain itu, pengelola data pribadi dapat juga dianggap telah melakukan perbuatan melawan hukum dan oleh karenanya apabila menyebabkan kerugian bagi pemilik data pribadi, dapat dimintakan pertanggungjawaban.

Pertanggungjawaban ini bisa dimintakan lewat sanksi administratif seperti disebut di atas, atau secara perdata lewat gugatan pengadilan.


Baca juga: Kasus data Dukcapil: Pelajaran terkait privasi dan data pribadi di Indonesia


Tidak tuntas

Sayangnya, sering kali kasus-kasus kebocoran data pribadi di Indonesia berakhir tanpa penyelesaian yang tuntas.

Salah satu alasan yang sering dikemukakan menjadi penyebab tidak tuntasnya kasus-kasus kebocoran data pribadi di Indonesia adalah tidak adanya pengaturan yang secara komprehensif mengatur perlindungan data pribadi.

Ini karena tidak ada harmonisasi pengaturan di antara berbagai lembaga pemerintahan.

Sering kali lembaga yang berwenang ragu-ragu dalam menerapkan sanksi terhadap pelanggaran aturan pribadi karena belum adanya mekanisme dan tanggung jawab dari pengelola data pribadi yang jelas.

Hal ini menimbulkan ketidakpastian hukum dan kesulitan bagi pihak yang dirugikan untuk mengajukan tuntutan.

Alasan lain adalah kurangnya kesadaran masyarakat akan pentingnya kerahasiaan data pribadi.

Masyarakat sering kali acuh terhadap kasus kebocoran data pribadi, padahal kebocoran data pribadi dapat merugikan pemilik data pribadi tersebut apabila disalahgunakan.


Baca juga: Pembobolan data digital memang tidak terhindarkan--ini cara paling mungkin untuk melindungi data Anda


Bentuk kerugian

Di negara lain, sanksi serius diberikan bagi perusahaan yang gagal dalam melindungi data pribadi yang berujung pada kebocoran data pribadi.

Pada tahun 2019, Information Commissioner’s Office (ICO) di Inggris menjatuhkan denda sebesar 230 juta dolar (sekitar Rp 3.3 triliun) kepada maskapai British Airways karena dianggap gagal dalam melindungi data pribadi milik konsumennya.

Pada tahun 2017, perusahaan pemeringkat kredit asal Amerika Serikat (AS) Equifax dikenakan sanksi sebesar 575 juta dolar (sekitar Rp 8.3 triliun) oleh pemerintah karena alasan yang sama.

Pada saat ini, Komunitas Konsumen Indonesia (KKI) telah mengajukan gugatan terhadap Tokopedia dan Menteri Kominfo terkait kebocoran 91 juta data pengguna.

Kita semua menunggu hasil dari persidangan ini.

Apapun hasil keputusan dari majelis hakim akan menarik untuk didiskusikan karena ini adalah salah satu kasus pertama di Indonesia mengenai ganti rugi atas kebocoran data pribadi.


Artikel ini ditulis bersama Danny Kobrata dari Institut Pandya Astagina.


Agradhira Nandi Wardhana berkontribusi dalam penerbitan artikel ini.The Conversation

Sinta Dewi Rosadi, Professor of Information Technology Law, Universitas Padjadjaran

Artikel ini terbit pertama kali di The Conversation. Baca artikel sumber.

BACA JUGA: