David menambahkan hingga gugatan ini diajukan, pihak Tokopedia tidak pernah memberikan pemberitahuan dalam bentuk apapun terkait rincian data yang telah dicuri dan telah dikuasai oleh oleh pihak ketiga secara melawan hukum. David menduga Tokopedia berusaha menyembunyikan fakta yang sebenarnya yang terjadi dengan hanya menyampaikan adanya upaya pencurian data dan memastikan beberapa data masih aman, namun tidak menyampaikan fakta yang sebenarnya bahwa sebagian data telah bocor dan tidak pula memberitahukan rincian data yang telah dikuasai oleh pihak ketiga tanpa persetujuan para pemilik data pribadi dan/atau secara melawan hukum.
Sehubungan dengan hal tersebut, lanjut David, Tokopedia telah secara jelas melanggar kewajiban hukumnya dan tidak beriktikad baik untuk melakukan pemberitahuan terhadap terjadinya kegagalan Tokopedia untuk melakukan perlindungan data pribadi para pemilik akun Tokopedia. Hal ini membuktikan bahwa Tokopedia telah melanggar ketentuan Pasal 14 ayat (5) PP No. 71 Tahun 2019 jo. Pasal 2 ayat (2) huruf f dan Pasal 28 huruf c PM Kominfo No. 20 Tahun 2016.
Lalai dalam Pengawasan
Selain itu, David menilai Menkominfo melakukan kesalahan dalam proses pengawasan penyelenggaran sistem elektronik oleh Tokopedia, di mana hal ini mengakibatkan data pribadi pemilik akun Tokopedia dikuasai pihak ketiga secara melawan hukum. (Baca: Ada Prinsip Without Undue Delay dalam Kebocoran Data Konsumen Tokopedia)
David menjelaskan bahwa dalam peraturan hukum di Indonesia, Kominfo diberikan wewenang untuk melakukan pengawasan dalam penyelenggaraan sistem elektronik, pengawasan dilakukan termasuk namun tidak terbatas pada kegiatan penyelenggaan sistem elektronik oleh Tokopedia. Pengawasan yang dilakukan oleh Kominfo tersebut mencakup kegiatan pemantauan, pengendalian, pemeriksaan, penelusuran, dan pengamanan. Hal ini merujuk pada ketentuan yang diatur dalam Pasal 35 ayat (1) PP No. 71 Tahun 2019.
Bahwa terjadinya kebocoran data akun Tokopedia membuktikan bahwa Kominfo selaku otoritas yang diberikan wewenang melakukan pengawasan terhadap penyelenggaraan sistem elektronik telah melakukan kesalahan dalam melaksanakan kewenangannnya. Hal ini karena beberapa data pribadi para pemilik akun Tokopedia terbukti dikuasai pihak ketiga secara melawan hukum.
“Kegagalan Tokopedia melindungi data pribadi pemilik akun menyebabkan data pribadi berada di pihak ketiga yang tidak bertanggungjawab dapat merugikan atau berpotensi merugikan para pemilik akun karena data pribadi tersebut dapat digunakan untuk marketing, tindak pidana penipuan (scaming dan phising) dan/atau perbuatan melawan hokum lainnya,” urai David.
Sehubungan dengan telah dikuasainya data pribadi pemilik akun Tokopedia oleh pihak ketiga secara melawan hukum, lanjut David, maka para pemilik akun berpotensi menjadi korban scaming, phising, malware (malicious software), dan spam. Hal ini karena data pengguna yang bocor berupa akun email dan nomor telepon pengguna berpotensi disalahgunakan mengirimkan pesan penipuan.