Wahyudi mengingatkan dalam hal terjadi kegagalan pelindungan data pribadi yang memiliki dampak yang serius, Tokopedia wajib melakukan tindakan lanjutan seperti yang diatur dalam ketentuan Pasal 24 Ayat (3) PP No. 71 Tahun 2019. Pasal itu menyatakan “Penyelenggara Sistem Elektronik wajib mengamankan Informasi Elektronik dan/atau Dokumen Elektronik dan segera melaporkan dalam kesempatan pertama kepada aparat penegak hukum dan Kementerian atau Lembaga terkait”.
Menurut Wahyudi, terkait hal ini seharusnya diatur lebih lanjut mengenai koordinasi antara Penyelenggara Sistem Elektronik kepada Kementerian atau Lembaga terkait. “Terutama dengan tujuan meminimalisir risiko terjadinya kebocoran data bagi pengguna,” ujarnya.
Langkah rincinya, jika terjadi kebocoran data pribadi penyelenggara sistem elektronik sebagai pengendali data harus memberikan pemberitahuan kepada pemilik data, sejumlah informasi yang terkait dengan: (1) kategorisasi data pribadi apa saja yang bocor; (2) jumlah subjek data yang terdampak; (3) informasi kontak petugas perlindungan data pribadi yang dapat dihubungi; (4) konsekuensi yang mungkin terjadi sebagai dampak dari kebocoran; dan (5) langkah-langkah yang telah diambil oleh pengendali data untuk mengatasi kebocoran (termasuk mitigasi kejadian serupa di masa mendatang).
Infrastruktur Keamanan Data Pribadi
Peneliti Elsam Lintang Setianti menambahkan, jika mengacu pada prinsip-prinsip perlindungan data pribadi, penyelenggara platform seperti Tokopedia memiliki kewajiban untuk menjaga infrastruktur keamanan data pribadi pengguna layanannya. Infrastruktur tersebut meliputi, penerapan pseudonymization dan enkripsi data pribadi. Kemudian memberikan jaminan kerahasiaan, integritas, ketersediaan, dan ketahanan yang berkelanjutan dari sistem dan layanan pemrosesan.
Lintang juga menyebutkan, penyelenggara platform juga harus memiliki kemampuan untuk memulihkan ketersediaan dan akses ke data pribadi dalam waktu yang tepat (tidak menunda-nunda) dalam hal terjadi insiden fisik atau teknis (kebocoran data), serta menerapkan proses pemantauan dan evaluasi secara teratur serta audit terhadap efektivitas langkah-langkah teknis dan organisasi untuk memastikan keamanan pemrosesan, termasuk menerapkan Privacy by Design dan Data Protection Impact Assessments (DPIAs). (Baca: Urgensi Perlindungan Data Pribadi untuk Konsumen Sektor E-Commerce)
Lebih lanjut, jika mengacu pada ketentuan Pasal 29 Permenkominfo No.20 Tahun 2016, pemilik data pribadi juga berhak untuk mengajukan pengaduan kepada Menteri dalam rangka penyelesaian sengketa, atas terjadinya kegagalan dalam perlindungan data pribadi. Untuk itu, menanggapi situasi kekosongan hukum perlindungan data pribadi yang komprehensif saat ini, Elsam menekankan agar Kementerian Komunikasi dan Informatika segera melakukan proses investigasi.
Investigasi ini agar mendapatkan data dan informasi lebih lanjut perihal jumlah data penumpang yang terdampak, data apa saja yang bocor, dan langkah-langkah apa saja yang telah diambil oleh pihak penyelenggara platform untuk menangani dan mencegah terulangnya insiden kebocoran data pribadi.