Baca berita tanpa iklan. Gabung Kompas.com+

Kasus Kebocoran Data Marak Terjadi, Bisakah Konsumen Menuntut?

Kompas.com - 12/11/2020, 10:22 WIB
Wahyunanda Kusuma Pertiwi,
Yudha Pratomo

Tim Redaksi

KOMPAS.com - Kasus kebocoran data pribadi di dunia maya kian marak terjadi. Kasus terakhir yang terungkap belum lama ini adalah bocornya data milik pengguna RedDoorz Indonesia.

Akhir September lalu, pihak RedDoorz menemukan akses tidak sah pada sistem mereka yang berisi data pribadi pengguna.

Kemudian baru-baru ini, ethical hacker Indonesia, Teguh Aprianto mengungkap adanya 5,8 juta daya pengguna RedDoorz yang dijual seharga 2.000 dollar AS atau sekitar Rp 28,2 juta rupiah.

Data itu dijual di situs raid forum yang bisa diakses secara terbuka. Situs yang sama juga pernah menjual 91 juta data pengguna Tokopedia pertengahan tahun 2020. Adapun data pengguna RedDoorz yang bcoor adalah nama, e-mail, password bcrypt, gender, hingga nomor ponsel.

Kepada KompasTekno, pihak RedDoorz mengatakan bahwa data personal dan informasi finansial pengguna, seperti informasi kartu kredit atau password yang disamarkan tidak termasuk dalam data yang dibobol.

Baca juga: Data Pengguna Aplikasi Pinjaman Online Cermati.com Disebut Bocor dan Dijual di Internet

Ini bukan kasus pertama di tahun ini. Selain Tokopedia, setidaknya ada empat kasus lain, di antaranya 2,3 juta data KPU, data 1,2 juta konsumen Bhinneka, 13 juta data pengguna Bukalapak, dan 2,9 juta data pengguna cermati.com.

Lantas, dengan Undang-Undang Perlindungan Data Pribadi (UU PDP) yang belum rampung, bisakah pengguna menuntut platform penyedia layanan jika data pribadi mereka bocor?

Tidak bisa asal tuntut

Chairman Lembaga Riset Siber Indonesia CISSReC (Communication and Information System Security Research Center), Pratama Persadha, mengatakan Undang-Undang Perlindungan Data Pribadi (UU PDP) tetaplah menjadi solusi utama.

Sebab di Indonesia, konsumen sulit untuk melakukan tuntutan hukum jika terjadi kebocoran data pribadi yang dikelola Penyelenggaraan Sistem dan Transaksi Elektronik (PSTE), seperti platform e-commmerce dan lain lain.

Paling maksimal adalah menuntut penghentian kegiatan PSTE seperti yang diatur dalam Permenkominfo No 20 tahun 2016.

"Adapun konsumen atau masyarakat dalam posisi sangat lemah untuk meminta pertanggungjawaban PSTE," kata Pratama.

Indonesia bukan sama sekali tidak memiliki payung hukum soal perlindungan data pribadi. Saat ini, aturan perlindungan data pribadi dimuat dalam beberapa peraturan terpisah, seperti UU ITE atau UU Kependudukan.

Pemerintah juga telah memiliki PP 71 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.

Dalam peraturan ini, dijelaskan bahwa penyelenggara sistem elektronik harus bertanggung jawab terhadap sistemnya. Sementara pemerintah bertindak sebagai pengawas.

Baca juga: Pembahasan RUU PDP Ditargetkan Rampung November 2020

Pratama melanjutkan, nantinya, UU PDP tidak hanya akan melindungi pengguna internet saja, melainkan juga platform PSTE. Namun, dengan catatan harus ada komisi independen yang mengawasinya.

Menurut Pratama, komisi ini sebaiknya berasal dari kalangan akademisi, LSM, profesional, dan aparat keamanan. Dengan UU PDP, PSTE punya kewajiban membuat sistem yang kuat dan sistem mitigasi yang baik.

"Tanpa UU PDP, para PSTE ini akan menjalankan sistem dengan tidak memaksimalkan sisi keamanan, akibatnya akan terus menerus terjadi serangan yang berhasil merusak sejumlah PSTE," jelas Pratama.

Apabila UU telah disahkan dan terjadi kebocoran data, komisi tersebut bisa menentukan apakah PSTE memenuhi persyaratan untuk dituntut ke pengadilan atau tidak.

PSTE bisa dituntut apabila tidak melakukan sejumlah kewajiban yang harus dilakukan dalam menyelenggarakan sistem informasi dan transaksi elektronik.

Baca juga: Data Tokopedia, Gojek, dan Bukalapak Bocor di Tengah Absennya RUU PDP

Namun, jika dia telah memenuhi kewajibannya sesuai undang-undang dan terjadi kebocoran data akibat diretas, PTSE tidak bisa dituntut karena telah melaksanakan kewajibannya.

Hal itu berkaca dari Undang-Undang Perlindungan Data Pribadi di Eropa/General Data Protection Regulation (GDPR).

"Butir-butir kewajiban PTSE diatur dalam aturan turunan GDPR, jika diterapkan di Tanah Air maka harus diatur dulu di UU PDP untuk nanti diatur lagi di aturan turunan," jelas Pratama.

Molor lagi

Namun, hingga saat ini RUU PDP tak kunjung rampung. Sebelumnya, pemerintah menargetkan RUU ini bisa selesai pada minggu kedua bulan November. Target itu kemungkinan besar meleset.

"Wah sepertinya sulit (rampung bulan November), beberapa substansi pasti akan banyak diskusi seperti definisi-definisi, sanksi pidana, lembaga pengawas independen dan lain-lain," kata Bobby Rizaldi, Anggota Komisi I DPR RI Fraksi Partai Golkar.

Pemerintah dan DPR berupaya menyelesaikan RUU PDP pada Masa persidangan II Tahun Sidang 2020-2021.

RUU PDP menjadi satu dari empat RUU prioritas, bersama dengan RUU tentang Daerah Kepulauan, Penanggulangan Bencana, dan Persetujuan Kemitraan Ekonomi Komprehensif antara Republik Indonesia dan negara-negara anggota EFTA.

Baca juga: RUU PDP Disebut Sulit Rampung November, Ini Sebabnya

Juru bicara Kementerian Komunikasi dan Informatika (Kemenkominfo), Dedy Permadi mengatakan pemerintah akan mengupayakan agar RUU PDP bisa selesai tahun ini.

"Pemerintah dan DPR sedang mengupayakan untuk dapat terselesaikan tahun ini, atau awal tahun 2021," kata Dedy melalui pesan singkat.

Simak breaking news dan berita pilihan kami langsung di ponselmu. Pilih saluran andalanmu akses berita Kompas.com WhatsApp Channel : https://www.whatsapp.com/channel/0029VaFPbedBPzjZrk13HO3D. Pastikan kamu sudah install aplikasi WhatsApp ya.



Baca berita tanpa iklan. Gabung Kompas.com+
Baca berita tanpa iklan. Gabung Kompas.com+
Baca berita tanpa iklan. Gabung Kompas.com+
komentar di artikel lainnya
Baca berita tanpa iklan. Gabung Kompas.com+
Close Ads
Bagikan artikel ini melalui
Oke
Login untuk memaksimalkan pengalaman mengakses Kompas.com