Apabila perusahaan seperti e-commerce diretas sehingga terjadi kebocoran data pribadi jutaan penggunanya, bagaimana tanggung jawab perusahaan tersebut?
DAFTAR ISI
INTISARI JAWABAN
Jika terjadi kebocoran data pribadi pengguna e-commerce, perusahaan e-commerce yang bersangkutan wajib memberitahukan kepada pengguna dan lembaga yang menyelenggarakan pelindungan data pribadi maksimal 3x24 jam. Selain itu, perusahaan harus melakukan upaya penanganan serta pemulihan kebocoran data pribadi tersebut.
Hal ini lantaran perusahaan e-commerce wajib mencegah kebocoran data pribadi dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, pengubahan yang tidak sah, penyalahgunaan, perusakan dan penghilangan data pribadi.
Lantas, apa sanksi bagi perusahaan e-commerce yang lalai sehingga terjadi kebocoran data pribadi?
Penjelasan lebih lanjut dapat Anda baca ulasan di bawah ini.
ULASAN LENGKAP
Terima kasih atas pertanyaan Anda.
Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalanselengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.
Sebelum menjawab pertanyaan Anda, kami asumsikan bahwa data yang diretas tersebut berkaitan dengan nama, identitas seperti KTP, nomor telepon, dan email pengguna e-commerce tersebut.
Maka, untuk menjawab pertanyaan Anda, kami akan menyampaikan apa yang dimaksud dengan data pribadi terlebih dahulu. Data pribadi adalah data mengenai orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik/nonelektronik.[1]
Belajar Hukum Secara Online dari Pengajar Berkompeten Dengan Biaya TerjangkauMulai DariRp. 149.000
Terdapat dua jenis data pribadi, yaitu data pribadi yang bersifat spesifik dan yang bersifat umum.[2] Berkaitan dengan nama, KTP, nomor telepon, merupakan jenis data pribadi yang bersifat umum, karena merupakan data yang dikombinasikan untuk mengidentifikasi seseorang.[3] Jika dalam peretasan tersebut ternyata juga terdapat data mengenai keuangan pengguna e-commerce tersebut, maka termasuk data pribadi yang bersifat spesifik.[4]
Dengan demikian, secara yuridis data pengguna yang diproses oleh e-commerce tersebut dapat dikategorikan sebagai data pribadi yang menjadi ranah pengaturan UU PDP.
Tanggung Jawab Perusahaan E-Commerce Jika Terjadi Kebocoran Data Pribadi
Kebocoran data pribadi yang diproses/dikelola oleh perusahaan e-commerce, baik karena peretasan pihak ketiga ataupun secara sengaja dibocorkan kepada pihak ketiga/publik, merupakan tanggung jawab perusahaan selaku pengendali data pribadi.
Perusahaan e-commerce digolongkan sebagai pengendali data pribadi yang berbentuk korporasi[5] yang tunduk pada ketentuan pelindungan data pribadi dalam UU PDP.
Beberapa prinsip yang berlaku ketika pengendali data pribadi melakukan pemrosesan data pribadi di antaranya:[6]
Pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
Pemrosesan data pribadi dilakukan sesuai dengan tujuannya;
Pemrosesan data pribadi dilakukan dengan menjamin hak subjek data pribadi;
Pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
Pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan data pribadi;
Pemrosesan data pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan pelindungan data pribadi;
Data pribadi dimusnahkan/dihapus setelah masa retensi berakhir berdasarkan permintaan subjek data pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
Pemrosesan data pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.
Berdasarkan ketentuan di atas, pada dasarnya perusahaan e-commerce mempunyai kewajiban untuk mencegah kebocoran data pribadi dengan melindungi keamanan data pribadi dari pengaksesan, pengungkapan, pengubahan yang tidak sah, penyalahgunaan, perusakan dan penghilangan data pribadi.
Jika terjadi kebocoran data pribadi, maka perusahaan e-commerce yang bersangkutan wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam kepada penggunanya dan lembaga yang menyelenggarakan data pribadi.[7]
Pemberitahuan tersebut harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi tersebut bocor, serta upaya penanganan serta pemulihan kebocoran data pribadi.[8]
Jika kebocoran data pribadi tersebut hingga mengganggu pelayanan publik dan/atau berdampak serius terhadap kepentingan masyarakat, maka perusahaan e-commerce harus mengumumkan kebocoran tersebut kepada masyarakat.[9]
Sanksi bagi Perusahaan E-commerce atas Kebocoran Data Pribadi
Dalam UU PDP, pengendali data pribadi yang tidak mengumumkan kebocoran data pribadi yang telah terjadi, dapat dikenai sanksi administratif berupa: [10]
peringatan tertulis;
penghentian sementara semua kegiatan pemrosesan data pribadi;
penghapusan atau pemusnahan data pribadi; dan/atau
denda administratif dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[11]
Dalam hal ini, Anda dapat melaporkan ke lembaga khusus yang menyelenggarakan pelindungan data pribadi yang nantinya akan ditetapkan oleh presiden.[12]
Selain sanksi administratif, atas kebocoran data konsumen atau dalam hal ini pengguna e-commerce dapat digugat secara perdata oleh pengguna yang dirugikan. Hal ini diatur di dalam Pasal 12 ayat (1) UU PDP yang menyebutkan bahwa subjek data pribadi (pengguna) berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi sesuai dengan ketentuan peraturan perundang-undangan.
Pengguna atau konsumen yang dirugikan atas kebocoran data tersebut dapat menggugat berdasarkan Pasal 1365 KUH Perdata tentang perbuatan melawan hukum.