Perusahaan E-commerce Harus Tahu! Ini Ketentuan Tata Cara Kelola Data Pribadi

“Dalam mengelola sistem elektroniknya, setiap penyedia platform online harus memiliki kebijakan tata kelola, prosedur kerja pengoperasian, dan mekanisme audit data pribadi pengguna”

Beberapa waktu yang lalu tepatnya pada awal Mei tahun 2020 lalu, publik tanah air sempat dihebohkan dengan insiden kebocoran data pribadi pada salah satu platform online terbesar di Indonesia, yakni Tokopedia. Diketahui bahwa penyedia layanan e-commerce tersebut mengalami kebocoran data sekitar 15 juta akun penggunanya. 

Pihak yang mengaku sebagai pelaku dibalik kebocoran data tersebut juga mengklaim bahwa ia memiliki dan akan menjual sekitar 91 juta data pengguna Tokopedia. Selain itu, diketahui juga bahwa data-data yang sebelumnya diperjualbelikan seharga USD 5.000 atau sekitar Rp 70 juta tersebut kini dapat didownload secara bebas.

Atas insiden tersebut, maka setiap penyedia layanan e-commerce atau Penyelenggara Sistem Elektronik (PSE) pada umumnya harus mematuhi ketentuan dalam mengelola sistem elektroniknya sebagaimana yang telah ditetapkan oleh Pemerintah. Ketentuan yang dimaksud, berlaku terhadap setiap orang, penyelenggara negara, badan usaha, dan masyarakat yang menyediakan, mengelola, atau mengoperasikan suatu sistem elektronik.

Baca juga: Hati-Hati! PSE Wajib Melindungi Data Pribadi Penggunanya, Kalau Tidak Ini Mau Kena Sanksi

Adapun beberapa ketentuan pokoknya, yakni PSE diwajibkan untuk memiliki kebijakan tata kelola data pribadi, prosedur kerja pengoperasian, dan mekanisme audit yang dilakukan secara berkala terhadap sistem elektronik guna mencegah terjadinya hal-hal tersebut (Pasal 13 Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (PP PSE)). Secara garis besar, dalam menyelenggarakan sistem elektroniknya PSE harus dapat menjamin tersedianya beberapa hal sebagai berikut:

1. Perjanjian tingkat layanan;
2. Perjanjian keamanan informasi terhadap jasa layanan teknologi informasi yang digunakan; dan
3. Keamanan informasi dan sarana komunikasi internal yang diselenggarakan (Pasal 11 ayat (1) PP PSE).

Selain itu, PSE juga harus menjamin bahwa setiap komponen dan keterpaduan dari seluruh sistem elektroniknya dapat beroperasi sebagaimana mestinya. Penyelenggaraan sistem elektronik yang dimaksud harus dijalankan dengan menerapkan manajemen risiko terhadap kerusakan atau kerugian yang ditimbulkan (Pasal 11 ayat (2) dan Pasal 12 PP PSE).

Pemrosesan Data Pribadi

Sebagaimana dalam contoh kasus yang telah disebutkan diatas, salah satu kegiatan yang dilaksanakan PSE dalam sistem elektroniknya adalah pemrosesan data pribadi penggunanya. Adapun yang termasuk sebagai tindakan pemrosesan data pribadi berdasarkan Pasal 14 ayat (2) PP PSE meliputi tindakan:

1. Perolehan dan pengumpulan data pribadi;
2. Pengolahan dan penganalisisan data pribadi;
3. Penyimpanan data pribadi;
4. Perbaikan dan pembaharuan data pribadi;
5. Penampilan,  pengumuman, transfer, penyebarluasan, atau pengungkapan data pribadi; atau
6. Penghapusan atau pemusnahan data pribadi.

Tak lupa dalam melaksanakan kegiatan pemrosesan data pribadi tersebut, setiap PSE wajib menjalankan prinsip perlindungan data pribadi yang meliputi:

1. Pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, adil, dengan sepengetahuan dan persetujuan dari pemilik data pribadi;
2. Pemrosesan data pribadi dilakukan sesuai dengan tujuannya serta menjamin hak-hak pemilik data pribadi;
3. Pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dapat dipertanggungjawabkan, dan memperhatikan tujuan pemrosesannya;
4. Pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari kehilangan, penyalahgunaan, akses dan pengungkapan yang tidak sah, serta pengubahan atau perusakan data pribadi;
5. Memberitahukan tujuan pengumpulan, aktivitas pemrosesan, dan kegagalan perlindungan data pribadi; dan
6. Pemrosesan data pribadi dimusnahkan atau dihapus kecuali masih dalam masa retensi sesuai kebutuhan (Pasal 14 ayat (1) PP PSE).

Perlu dicatat bahwa sebelum melakukan pemrosesan data pribadi tersebut, PSE harus sudah mendapat persetujuan yang sah dari pemiliknya (Pasal 14 ayat (3) PP PSE). Selain itu, PSE juga harus memenuhi segala ketentuan dalam memproses data pribadi yang diperlukan untuk:

1. Pemenuhan kewajiban perjanjian, yakni jika seorang pemilik data pribadi merupakan salah satu pihak yang terlibat dalam suatu perjanjian atau untuk memenuhi permintaan seorang pemilik data pribadi pada saat akan melakukan perjanjian;
2. Pemenuhan kewajiban hukum dari pengendali data pribadi sesuai dengan ketentuan peraturan perundang-undangan
3. Pemenuhan perlindungan kepentingan yang sah (vital interest) daro pemilik data pribadi;
4. Pelaksanaan kewenangan pengendali data pribadi sesuai ketentuan peraturan perundang-undangan;
5. Pemenuhan kewajiban pengendali data pribadi dalam pelayanan publik untuk kepentingan umum; atau
6. Pemenuhan kepentingan yang sah lainnya dari pengendali data pribadi atau pemilik data pribadi yang bersangkutan (Pasal 14 ayat (4) PP PSE).

Apabila terjadi kegagalan dalam perlindungan data pribadi sebagaimana yang terjadi pada contoh kasus yang disebutkan diatas, maka PSE yang bersangkutan harus memberitahukan hal tersebut secara tertulis kepada pemilik data pribadi yang bersangkutan. Tentunya setiap ketentuan diatas dimaksudkan untuk meminimalisir terjadinya pelanggaran hak-hak para pengguna sistem elektronik terkait data-data milik mereka agar insiden yang serupa tidak terjadi lagi.

Baca juga: Rawan Penyalahgunaan Data Pribadi, Bagaimana Pengaturannya?

Sanksi bagi perusahaan e-commerce yang melanggar

Teruntuk perusahaan e-commerce yang masih tidak juga memenuhi kewajibannya berdasarkan ketentuan-ketentuan diatas, maka berdasarkan Pasal 100 PP PSE Menteri Komunikasi dan Informatika dapat menjatuhkan sanksi administratif kepada perusahaan e-commerce tersebut. Adapun sanksi administratif yang dimaksud dapat berupa:

1. Teguran tertulis;
2. Denda administratif;
3. Penghentian sementara;
4. Pemutusan akses; dan/atau
5. Dikeluarkan dari daftar.

Perlu dicatat bahwa perusahaan e-commerce yang telah dikenai sanksi administratif diatas, tetap harus memenuhi tanggung jawab pidana dan perdatanya. Oleh karena itu, para perusahaan e-commerce diharapkan dapat bersungguh-sungguh dalam menjamin perlindungan data-data pribadi dari setiap penggunanya.

Untuk itu, perhatikan dengan baik kebijakan penggunaan dana tata kelola data pribadi Konsumen Anda, agar tidak menimbulkan kerugian bagi bisnis e-commerce yang dijalankan. Ingin konsultasi lebih lanjut? Hubungi Smartlegal.id melalui tombol di bawah sekarang juga. 

Author: Muhammad Fa’iz Nur Abshar