Kebocoran Data Pribadi Tokopedia, Segera Pastikan Pelaksanaan Kewajiban Pengendali Data

Siaran Pers ELSAM

Kebocoran Data Pribadi Tokopedia, Segera Pastikan Pelaksanaan Kewajiban Pengendali Data

Baru-baru ini dilaporkan telah terjadi kebocoran data pribadi pengguna platform e-commerce Tokopedia, salah satu start up digital terbesar di Indonesia. Hasil penelusuran menunjukan setidaknya kebocoran terjadi atas 12.115.583 akun, yang data terdiri dari alamat unik email, tanggal lahir, gender, nama, dan password. Insiden ini sendiri terjadi pada 17 April 2020, dan menghasilkan 15 juta rows data yang mulai diperjualbelikan melalui sejumlah dark web. Adanya dugaan kebocoran ini juga telah diakui oleh pihak Tokopedia, meski masih menggunakan pernyataan adanya upaya peretasan. Sayangnya meski sudah terjadi dalam beberapa hari, sampai dengan saat ini belum ada notifikasi tertulis dari penyelenggara platform kepada para konsumennya, sebagai pemilik data pribadi.

Notifikasi di atas mengacu pada ketentuan Pasal 14 ayat (5) PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, yang menyebutkan: “Jika terjadi kegagalan dalam pelindungan terhadap Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”. Berdasarkan pasal tersebut, Tokopedia sebagai Penyelenggara Sistem Elektronik memiliki kewajiban untuk memberikan notifikasi terkait kebocoran data kepada seluruh konsumennya, terutama konsumen terdampak. Sayangnya memang mengacu pada Pasal 28 Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik, pemberitahuan tertulis ini dapat dilakukan paling lambat 14 hari sejak terjadinya insiden. Ini tentunya jauh dari prinsip perlindungan data pribadi, yang menghendaki notifikasi tanpa penundaan (without undue delay), yang dalam RUU Pelindungan Data Pribadi dirumuskan menjadi 3×24 jam. Kewajiban itikad baik ini merupakan salah satu bentuk prinsip akuntabilitas dari penyelenggaraan pemrosesan data pribadi.

Lebih lanjut lagi, dalam hal terjadi kegagalan pelindungan data pribadi yang memiliki dampak yang serius, ketentuan Pasal 24 Ayat (3) PP No. 71/2019 mengatur bahwa, “Penyelenggara Sistem Elektronik wajib mengamankan Informasi Elektronik dan/atau Dokumen Elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan Kementerian atau Lembaga terkait”. Dalam hal ini seharusnya diatur lebih lanjut mengenai koordinasi antara Penyelenggara Sistem Elektronik kepada Kementerian atau Lembaga terkait, terutama dengan tujuan meminimalisir resiko terjadinya kebocoran data bagi pengguna.

Detailnya, jika terjadi kebocoran data pribadi, mustinya penyelenggara sistem elektronik sebagai pengendali data, harus memberikan pemberitahuan kepada pemilik data, sejumlah informasi yang terkait dengan: (1) kategorisasi data pribadi apa saja yang bocor, (2) jumlah subjek data yang terdampak, (3) informasi kontak petugas perlindungan data pribadi yang dapat dihubungi, (4) konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran, dan (5) langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang). Selain itu, mengacu pada ketentuan Pasal 29 Permenkominfo No. 20/2016, pemilik data pribadi juga berhak untuk mengajukan pengaduan kepada Menteri, dalam rangka penyelesaian sengketa, atas terjadinya kegagalan dalam perlindungan data pribadi.

Lebih jauh, dalam kapasitasnya sebagai pengendali data, mengacu pada prinsip-prinsip perlindungan data pribadi, penyelenggara platform memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya, yang meliputi: (1) penerapan pseudonymization dan enkripsi data pribadi, (2) memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan, (3) memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (i.e. kebocoran data), (4) menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan (termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs)).

Menimbang situasi di atas, terutama dalam situasi kekosongan hukum perlindungan data pribadi yang komprehensif saat ini, Lembaga Studi dan Advokasi Masyarakat (ELSAM) menekankan:

1. Kementerian Komunikasi dan Informatika segera melakukan proses investigasi, guna mendapatkan data dan informasi lebih lanjut perihal jumlah data penumpang yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh pihak penyelenggara platform untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi;

2. Kementerian Komunikasi dan Informatika, mengoptimalkan keseluruhan regulasi dan prosedur yang diatur di dalam PP No. 71/2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, juga Permenkominfo No. 20/2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, untuk mengambil langkah dan tindakan terhadap pengendali data selaku penyelenggara sistem dan transaksi elektronik, juga memastikan pemulihan bagi para pemilik data;

3. Pemerintah dan DPR untuk segera melakukan proses pembahasan bersama RUU Pelindungan data Pribadi, dengan tetap mempertimbangkan situasi pandemic COVID-19 dan tetap menjamin partisipasi aktif seluruh pemangku kepentingan. Akselerasi proses pembahasan ini penting mengingat banyaknya peristiwa dan insiden terkait dengan eksploitasi data pribadi, di berbagai sektor.


Jakarta, 3 Mei 2020
Lembaga Studi dan Advokasi Masyarakat (ELSAM)

 

Untuk informasi lebih lanjut silahkan menghubungi Wahyudi Djafar (Deputi Direktur Riset ELSAM), telp: 081382083993, Lintang Setianti (Peneliti ELSAM), telp: 085711624684, atau Alia Yofira (Peneliti ELSAM), telp: 081217015759.