Rizky Karo Karo
Dosen Fakultas Hukum Universitas Pelita Harapan
Dalam model perdagangan konservatif ataupun online (e-commerce), konsumen selalu berada di posisi lemah dan tidak berdaya. Misalnya, ketika beberapa hari lalu terjadi kebocoran data konsumen dalam sistem sebuah situs belanja online. Peneliti dark web Vinny Troia menemukan kebocoran data sekitar 1,2 miliar profil pada Oktober 2019.
Data pribadi merupakan perpanjangan seseorang di dunia nyata ke dunia maya (cyberspace). Data pribadi dilindungi oleh Undang-Undang Informasi dan Transaksi Elektronik, yang dengan tegas mengatur bahwa penyelenggara perdagangan elektronik wajib membangun sistem yang andal dan bertanggung jawab terhadap beroperasinya sistem tersebut. Perdagangan elektronik juga diatur dalam Peraturan Pemerintah Nomor 80 Tahun 2019 tentang Perdagangan melalui Sistem Elektronik dan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Keduanya telah mengatur syarat administratif, hak, dan kewajiban pemilik data pribadi maupun penyelenggara.
Peraturan itu juga menetapkan sanksi administratif bagi penyelenggara yang melanggar ketentuan, dari teguran tertulis hingga pencabutan izin usaha. Masalahnya, setelah sanksi administratif diberikan, bagaimana nasib data pribadi elektronik yang telah bocor?
Data pribadi dalam sistem elektronik adalah "barang seksi" pada abad ke-21. Berbagai perusahaan berlomba-lomba menciptakan aplikasi online yang mewajibkan pengguna memasukkan data pribadinya, seperti nama lengkap, alamat surat elektronik, nomor telepon seluler, dan tanggal lahir. Konsumen pun hanya memiliki dua pilihan: setuju atau tidak. Pada umumnya, konsumen hanya akan memberikan persetujuan tanpa membaca disclaimer yang diberikan. Hukum di Indonesia telah mengatur dengan tegas bahwa penyelenggara jasa online wajib melindungi data dalam sistem elektronik dan menggunakannya sesuai dengan peruntukannya. Misalnya, jika untuk tujuan e-commerce, peruntukannya hanya transaksi elektronik.
Menurut hemat saya, suatu sistem e-commerce tentu memiliki kemungkinan celah keamanan yang dapat dibobol oleh peretas yang jahat. Dapatkah penyelenggara melepaskan tanggung jawab dari dugaan peretasan? Jawabannya adalah tidak. Mereka harus bertanggung jawab, baik secara administratif, pidana, maupun perdata. Apabila merujuk pada Pasal 100 ayat 3 Peraturan Pemerintah tentang Penyelenggaraan Sistem dan Transaksi Elektronik, pengenaan sanksi administratif tidak menghapuskan tanggung jawab pidana dan perdata penyelenggara. Menurut Shinta Dewi (2009), pengguna akan merasa nyaman melakukan transaksi melalui Internet jika merasa yakin adanya perlindungan informasi pribadinya, sehingga tidak akan disebarluaskan kepada pihak lain tanpa seizinnya.
Peretas harus bertanggung jawab secara pidana dan perusahaan e-commerce memiliki kewajiban hukum untuk memberikan ganti rugi. Pasal 30 Undang-Undang Informasi dan Transaksi Elektronik mengancam pelaku peretasan karena dua tindakan. Peretas dapat dikenai hukuman penjara 7 tahun dan denda paling banyak Rp 700 juta karena mengakses sistem informasi secara ilegal serta diancam pidana penjara paling lama 8 tahun dan denda paling banyak Rp 800 juta karena menjebol sistem pengamanan.
Adapun konsumen memiliki hak hukum untuk menggugat perusahaan e-commerce yang dianggap lalai tidak dapat menyediakan sistem keamanan yang andal dan aman dengan dasar perbuatan melawan hukum (onwetmatige daad). Calon penggugat lebih tepat menggunakan Undang-Undang Informasi dan Transaksi Elektronik ketimbang Undang-Undang Perlindungan Konsumen karena yang terakhir ini belum mengatur pelaku usaha yang menggunakan sistem elektronik.
Calon penggugat dapat mendaftarkan gugatannya ke pengadilan negeri tempat perusahaan e-commerce tersebut berada. Mereka dapat menuntut ganti rugi, baik berupa materiil yang dapat dinilai dengan uang maupun imateriil, misalnya berupa penguatan sistem keamanan, sehingga kebocoran data pribadi dalam sistem tidak terulang lagi.
Inilah momen yang tepat untuk membahas dengan rinci konsep rancangan Undang-Undang Perlindungan Data Pribadi. Salah satu hal yang diatur dalam undang-undang itu adalah sanksi pemidanaan kepada korporasi agar lebih memberikan keadilan bagi konsumen dan delik terhadap "jual-beli" dalam sistem elektronik.
