“Terkait konsumen, bocornya data pribadi jelas sudah banyak sekali pelanggaran yang dilakukan, mengingat data pribadi diatur dalam beberapa regulasi seperti UU ITE, bahkan di UUD juga ada,” kata David.
Di samping itu, lanjut David, kasus bocornya data pribadi ini membuat masyarakat menjadi bimbang harus berbuat apa, sementara Tokopedia dan Menkominfo hanya menyarankan agar mengubah password.
“Tidak ada satu hal yang pasti konsumen harus ngapain, tidak ada informasi juga bahwa mereka sudah diretas atau bocor, padahal itu kewajiban untuk memberikan informasi bahwa data pribadi sudah diretas,” tambahnya. (Baca: Ada Prinsip Without Undue Delay dalam Kebocoran Data Konsumen Tokopedia)
Untuk diketahui, kewajiban memberikan notifikasi tertuang dalam ketentuan Pasal 14 ayat (5) PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Pasal itu menyatakan, “Jika terjadi kegagalan dalam perlindungan terhadap Data Pribadi yang dikelolanya, Penyelenggara Sistem Elektronik wajib memberitahukan secara tertulis kepada pemilik Data Pribadi tersebut”.
Deputi Direktur Riset Lembaga Studi dan Advokasi Masyarakat (Elsam), Wahyudi Djafar, mengatakan Tokopedia wajib memberikan notifikasi kepada konsumen. Notifikasi ini disampaikan dengan cara tertulis kepada konsumen Tokopedia terutama yang terdampak insiden kebocoran data ini.
“Berdasarkan pasal tersebut, Tokopedia sebagai Penyelenggara Sistem Elektronik memiliki kewajiban untuk memberikan notifikasi terkait kebocoran data kepada seluruh konsumennya, terutama konsumen terdampak,” ungkap Wahyudi kepada hukumonline, Minggu (3/5).
Menurut Wahyudi, hal ini sejalan dengan prinsip notifikasi tanpa penundaan (without undue delay) dalam perlindungan data pribadi. Namun, ia menyayangkan keberadaan ketentuan Pasal 28 Peraturan Menteri Komunikasi dan Informasi (Permenkominfo) No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik yang mengatur pemberitahuan tertulis ini dapat dilakukan paling lambat 14 hari sejak terjadinya insiden. (Baca: Kerentanan Pelanggaran Data Pribadi di Tengah Pandemi Covid-19).