Kewajiban Melindungi Data Konsumen untuk Pelaku E-Commerce

Baru-baru ini, kita mendengar adanya kasus dimana data pribadi konsumen perusahaan-perusahaan besar, dibobol dan dibocorkan. Pada kasus Tokopedia saja, data pribadi milik 91 juta penggunanya dicuri. Bila hal tersebut terjadi kepada perusahaan manapun, pastinya akan merusak integritas perusahaan dan kepercayaan konsumen kepada perusahaan. 

Salah satu bidang usaha dimana perlindungan data konsumen sangatlah penting adalah dalam bidang electronic commerce atau e-commerce. E-commerce atau perdagangan elektronik adalah penyebaran, pembelian, penjualan, pemasaran barang dan jasa melalui sistem elektronik seperti internet atau televisi, jaringan daring, atau jaringan komputer lainnya. Ketika perdagangan elektronik dilakukan, pastinya pihak penjual (pelaku usaha) akan meminta data pribadi dari sang pembeli. Hal ini dilakukan untuk memenuhi salah satu syarat perikatan, yakni mengetahui kecakapan para pihak (melalui identitas pembeli). Data pribadi juga diperlukan untuk mengetahui hal-hal lain, seperti lokasi pengiriman barang, mengetahui kontak sang pembeli, dan sebagainya.

Untuk mengatur hal-hal di atas, negara-negara Eropa umumnya telah merumuskan regulasi tentang e-signature dan data pribadi. E-signature adalah suatu tanda tangan biasa yang dibuat secara elektronik yang berfungsi sama dengan tanda tangan biasa pada dokumen kertas biasa.Setelah e-signature diatur, negara-negara Uni Eropa membuat General Data Protection Regulation (GDPR) untuk mengatur data pribadi. 

Salah satu inti dari GDPR yang dianut oleh negara-negara Uni Eropa adalah pemberian perlindungan data pribadi bagi mereka yang memperoleh data dari pihak-pihak lainnya. Misalnya, anda memberi nama lengkap, alamat, serta nomor telepon anda kepada suatu online shop. GDPR mewajibkan online shop tersebut untuk sanggup melindungi data pribadi anda.

Bagaimana peraturan Indonesia?

Sayangnya, Indonesia belum mengatur secara spesifik tentang data pribadi. Adapun penyebutan tentang data pribadi yang telah disebutkan dalam peraturan perundang-undangan lain, tidak mengatur tentang data privacy itu sendiri. Malah, di peraturan yang seharusnya juga mencakup ketentuan tentang data pribadi, data pribadi kurang mendapat perhatian. 

1. Undang-Undang No. 24 Tahun 2019 tentang Ekonomi Kreatif tidak menyebutkan istilah data pribadi ataupun mengandung ketentuan tentang data pribadi. Padahal, salah satu aktivitas ekonomi kreatif adalah melakukan profiling dan online targeted marketing;
2. Peraturan Presiden No. 74 Tahun 2017 tentang Roadmap E-Commerce menyebutkan keamanan data secara umum, namun bukan mengacu kepada data pribadi;
3. Undang-Undang No, 23 Tahun 2006 jo. Undang-Undang No. 24 Tahun 2013 tentang Administrasi Kependudukan menyebutkan pentingnya bagi negara untuk melindungi (menyimpan, merawat, dan melindungi) data pribadi dalam konteks administrasi kependudukan.

Undang-Undang No. 11 Tahun 2008 jo. Undang-Undang No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik, tepatnya pada Pasal 26, mengatur tentang data pribadi; penggunaan data pribadi harus dilakukan lewat persetujuan orang yang bersangkutan. Kenapa? Karena data pribadi adalah bagian dari hak pribadi manusia.

Lebih lanjut, Peraturan Pemerintah No. 71 Tahun 2017 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP No. 71 Tahun 2017) mendefinisikan Data Pribadi sebagai setiap data tentang seseorang baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui Sistem Elektronik dan/atau nonelektronik.

PP No. 71 Tahun 2017 mewajibkan agar lembaga yang melakukan pengelolaan data untuk mendaftarkan diri. Apabila anda tertarik untuk mendaftarkan usaha anda sesuai dengan ketentuan PP No. 71 Tahun 2017, anda dapat menghubungi Bizlaw melalui info@bizlaw.co.id atau 0812-9921-5128.

Peraturan Pemerintah No. 71 Tahun 2017 juga mengatur tentang penghapusan data pribadi yang dapat dimintakan penetapan pengadilan. Penghapusan data pribadi ini terdiri dari beberapa jenis:

1. Penghapusan data (right to erasure)

Berarti sang pemegang data (pelaku usaha) harus melakukan penghapusan data pribadi yang dimilikinya

1. Pengeluaran dari search engine (right to delisting)

Penghapusan informasi terkait individu yang bersangkutan di search engine

Contohnya, jika anda merupakan konsumen dari Telkom, anda diharuskan untuk memberikan data pribadi anda kepada Telkom, seperti Nomor Induk Kependudukan. Dengan begitu, Nomor Induk Kependudukan anda akan mempunyai suatu koneksi dengan nomor telepon anda. Namun, jika anda tidak lagi menjadi konsumen Telkom, anda berhak untuk memutuskan koneksi antara Nomor Induk Kependudukan anda dan nomor telepon Telkom anda.

Selain itu, terdapat pula right to be forgotten, yakni hak agar semua data yang dimiliki oleh pelaku usaha dan pihak ketiga mengenai seseorang tidak dapat lagi diakses.

Adanya sanksi bila tidak bisa melindungi data pribadi

Peraturan Pemerintah No. 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik menentukan sanksi administratif bagi pelaku usaha yang tidak berhasil mematuhi ketentuan peraturan perundang-undangan terkait data pribadi dalam menjalankan usahanya.

Pertama, pelaku usaha yang berpotensi untuk melanggar aturan dapat dimasukkan ke dalam daftar prioritas pengawasan. Kedua, pelaku usaha yang mempunyai reputasi buruk, merugikan konsumen, dan kepentingan nasional dapat dimasukkan ke dalam daftar hitam. Menurut Pasal 40 Undang-Undang Informasi dan Transaksi Elektronik, para pelaku usaha yang masuk ke dalam daftar hitam dapat diblok.

Selain sanksi administratif, Undang-Undang Informasi dan Elektronik juga mengenakan sanksi pidana apabila sang pelaku usaha yang memegang data tidak mempunyai sistem keamanan data pribadi konsumen. Dari segi perdata, pelaku usaha yang mengalami kegagalan dalam melindungi data pribadi konsumen juga dapat digugat secara perdata atas kerugian para pemilik data pribadi.

Apa yang harus dilakukan?

Pada saat ini, Indonesia memang belum mempunyai peraturan spesifik yang mengatur tentang perlindungan data pribadi konsumen. Adapun hal yang tengah digodok oleh Pemerintah Indonesia adalah Rancangan Undang-Undang Data Pribadi (RUU PDP). Inisiatif ini pertama diusulkan setelah keluarnya Peraturan Menteri Komunikasi dan Informatika Republik Indonesia  No. 21 Tahun 2016. RUU PDP saat ini tengah diperbincangkan di Dewan Perwakilan Rakyat. 

Walaupun Indonesia belum mempunyai peraturan spesifik tentang data pribadi konsumen, para pelaku usaha masih mengemban suatu kewajiban untuk melindungi data pribadi konsumen, dan untuk tidak menyalahgunakan data konsumen. Oleh karena itu, terdapat beberapa hal yang perlu dilakukan oleh para pelaku usaha:

1. Membuat sistem perlindungan data pribadi konsumen yang efektif;
2. Melancarkan prinsip prior and informed consent mengenai penggunaan data pribadi konsumen dan ketentuan tentang penghapusannya

Yang dimaksud dengan prior and informed consent disini adalah adanya pemberitahuan lebih awal mengenai bagaimana sang pelaku usaha akan menggunakan data pribadi konsumen. Pelaku usaha juga perlu menentukan syarat-syarat dan kondisi dimana data konsumen yang dipegang olehnya dapat dihapus. Setelah pemberitahuan mengenai hal-hal tersebut dilakukan, konsumen dapat memilih untuk menyetujui bagaimana datanya akan digunakan dan/atau dihapuskan.

Persetujuan yang diberikan oleh konsumen dapat dibuat dalam bentuk perjanjian terkait syarat-syarat penggunaan jasa sang pelaku usaha.

Hubungi Kami

Apabila anda tertarik untuk menyediakan perjanjian terkait data pribadi konsumen, anda dapat menghubungi Bizlaw. Bizlaw menyediakan jasa penyusunan dan pemeriksaan kontrak, serta jasa pengacara bagi para pelaku bisnis, dengan ahli yang telah berpengalaman di bidangnya. Hubungi Bizlaw melalui info@bizlaw.co.id atau 0812-9921-5128.