tirto.id - Perusahaan mesti bersiap untuk menyesuaikan praktik pengelolaan data pribadi pengguna layanannya, menyusul segera berlaku penuhnya Undang-Undang Perlindungan Data Pribadi pada bulan Oktober mendatang. Namun, kesiapan pemerintah untuk memonitor perusahaan-perusahaan masih dipertanyakan, mengingat belum terbentuknya lembaga independen yang dijanjikan.
Angel (30) kerap menerima penawaran dari salah satu perusahaan asuransi yang tidak ia pakai jasanya.
“(Mungkin) karena pakai layanan kartu kredit dari layanan bank yang ada kerja sama dengan asuransi itu ya, jadi sering ditawarin,” ceritanya kepada Tirto, Kamis (12/9/2024).
Intensitas penawarannya juga bisa sampai dua kali dalam seminggu. Menurut Angel, ini cukup mengganggu. “Sampai sering gak mau ngaku nasabah bank yang berhubungan dengan asuransi itu, biar cepat selesai teleponnya,” terang perempuan asal Jakarta itu.
Padahal, Angel selalu menghindari mencentang kolom yang menyatakan bersedia dikirimi penawaran dan promosi produk.
“Seinget gue tuh, kalau isi itu (formulir pendaftaran ataupun ketentuan kebijakan dari bank), selalu gak gue centang kesedian menerima promosi segala macam. Gak tau kalau dicentang bakal terima lebih banyak penawaran lagi atau gimana sih,” tambahnya.
Menyusul segera berlakunya Undang-Undang Nomor 27 tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) pada Oktober 2024 mendatang, praktik telepon penawaran dari entitas bisnis yang tidak dikenali, masih banyak terjadi di masyarakat. Padahal, aturan ini meregulasi penggunaan data pribadi oleh perusahaan. Salah satunya, menjamin data pribadi seseorang digunakan sesuai dengan persetujuan dan tidak dibagikan perusahaan ke pihak lain, yang kemudian berujung dengan promosi program ataupun iklan.
Angel mengaku tahu soal UU PDP, namun terbatas pada perlindungan terhadap kebocoran data. Dia tidak mengetahui bahwa undang-undang tersebut juga menjamin haknya untuk meminta penghapusan/perbaikan data ke pengendali data jika ia merasa terganggu.
Tak hanya Angel, hal serupa juga dialami Firda (26). Karyawan swasta yang bekerja di Bojonegoro, Jawa Timur, itu bilang dirinya beberapa kali ditelepon oleh pihak bank, yang menawarkan asuransi.
Meski awal-awal merasa terbantu oleh informasi produk tersebut, lama-lama Firda justru merasa terganggu. Firda sempat terpaksa mengakhiri telepon dan memblokir nomor pihak bank.
“Kalau pas daftar di sana (bank), seingetku ya, untuk info di e-mail atau WhatsApp aku menyetujui, tapi untuk penawaran tidak. Aku hanya bilang, kalau info tidak apa-apa, karena waktu itu (teller bank) bilangnya info,” kata Firda, di ujung telepon, Kamis (12/9/2024).
Kehadiran UU PDP sebenarnya merinci kewajiban perusahaan dan badan publik, yang mengumpulkan data, untuk menjaga keamanan data pribadi konsumen atau pelanggan. Secara istilah, pemegang data pribadi dalam UU PDP disebut dengan “pengendali data pribadi” dan “prosesor data pribadi”.
Pengendali data berarti setiap orang, individu atau korporasi, badan publik, dan organisasi internasional, yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Sementara prosesor data diartikan sama, hanya saja mereka bertindak “atas nama pengendali data”.
Para pengumpul dan pemegang data pribadi ini mendapat perhatian secara khusus dalam UU PDP, mengingat munculnya dugaan beberapa kasus kebocoran data yang terjadi di Indonesia, melibatkan perusahaan swasta.
Pada tahun 2019-2020 misalnya, terjadi serangkaian kasus dugaan kebocoran data yang melibatkan sejumlah perusahaan e-commerce. Pada Maret 2019, sempat muncul klaim dari akun peretas yang mengaku menjual 13 juta data pribadi pengguna Bukalapak. Pihak Bukalapak kala itu menyebut adanya upaya meretas situs mereka, namun mereka menegaskan tidak ada data penting seperti username, password, dan data finansial, yang bocor.
Kemudian pada Juli 2020, muncul dugaan kebocoran data 91 juta data pengguna Tokopedia yang disebar di forum internet. Hal ini diduga terkait dengan peretasan yang terjadi pada Mei 2020, yang menimpa "Toko Ijo" (sebutan pop Tokopedia). Pihak Tokopedia sempat melaporkan kejadian tersebut ke polisi.
Di waktu berdekatan, pada Mei 2020 juga muncul isu kebocoran data pengguna Bhinneka.com, sebanyak 1,2 juta data pengguna. Pihak Bhinneka lantas melakukan investigasi terhadap klaim hacker tersebut. Perusahaan ini juga menegaskan kalau password pengguna selalu dilindungi lewat enkripsi.
Tidak hanya bisnis e-commerce, industri perbankan juga rawan terhadap kebocoran data. Tahun 2023, muncul isu dugaan kebocoran data yang melibatkan Bank Syariah Indonesia (BSI). Sebanyak 15 juta data diklaim terpublikasi di dark web. Pihak BSI kala itu menyebut kalau data dan dana nasabah dalam kondisi aman. Namun, menurut Konsultan Keamanan Siber, Teguh Aprianto, data-data nasabah seperti, nama, nomor HP, alamat, saldo di rekening, histori transaksi, sampai dengan informasi pekerjaan, yang dikelola BSI, telah bocor ke pihak luar.
Terbaru, pada Juli 2024, muncul dugaan kebocoran 370 ribu data dari Bank Tabungan Negara (BTN). Namun, pihak BTN telah membantah informasi ini dan menyebut tidak ada kebocoran data nasabah sama sekali.
Sudahkah Perusahaan Berbenah soal Perlindungan Data Konsumen?
Kasus-kasus kebocoran data tersebut tidak hanya menunjukkan lemahnya perlindungan data beberapa situs yang ada di Indonesia, tapi juga menunjukkan alpanya regulasi perlindungan data pribadi. Oleh sebab itu, disahkannya UU PDP pada tahun 2022, dan berlaku penuhnya aturan ini di 2024, dilihat bisa membantu mengetuk inisiatif perusahaan pengumpul data untuk mengambil aksi lebih dalam pengamanan data pribadi konsumen.
Perusahaan teknologi Tokopedia, misalnya, mengaku kini memiliki tim dalam perusahaan yang secara khusus menangani urusan perlindungan dan privasi data.
“Privacy, Data Protection, dan Security Team adalah garda terdepan kami dalam menjaga keamanan sistem teknologi informasi kami dan melindungi privasi data pengguna, guna memperkuat proses terciptanya sebuah ekosistem digital yang aman dan terpercaya,” terang AVP of Public Policy and Government Relations Tokopedia and ShopTokopedia, Hilmi Adrianto, lewat keterangan tertulis kepada Tirto, Rabu (12/9/2024).
Berkaca dari dugaan kasus kebocoran data di masa lalu, pihak Tokopedia mengaku melakukan peningkatan perlindungan dan privasi informasi yang tersertifikasi secara internasional dari International Organization for Standardization (ISO).
Hilmi menjelaskan, mereka menerapkan ISO 27001 untuk keamanan informasi dan ISO 27701 untuk manajemen informasi privasi. Perusahaan teknologi juga menggunakan sistem keamanan metode pembayaran dengan sertifikasi pengamanan kartu kredit level tertinggi untuk menjamin keamanan data penggunanya.
Tidak hanya itu, “Toko Ijo” juga menyediakan fitur Privasi Akun untuk memberikan kontrol lebih besar kepada pengguna atas penggunaan data mereka. Mereka juga telah melakukan penyesuaian ketentuan perlindungan data pribadi dengan UU PDP, dalam halaman "Kebijakan Privasi", baik untuk Tokopedia dan ShopTokopedia.
Di halaman tersebut, tercantum penjelasan soal data yang dikumpulkan perusahaan serta penggunaannya. Tokopedia juga menyebut soal hak pengguna untuk mengakses, mengoreksi, dan/atau menghapus data pribadi yang diberikan kepada platform, sesuai dengan ketentuan perusahaan.
Tokopedia juga secara aktif menekankan pentingnya perlindungan data pribadi pada pengguna aplikasi mereka. “Selain itu, kami melakukan berbagai upaya sosialisasi melalui beragam kanal resmi untuk meningkatkan pemahaman masyarakat akan perlindungan data pribadi,” tambah Hilmi. Upaya tersebut terwujud misal lewat pelatihan literasi digital untuk UMKM dan sosialisasi melalui media sosial untuk menjangkau audiens yang lebih luas.
Serupa, perusahaan teknologi Shopee, yang menjadi penyedia jasa lainnya, juga telah melakukan penyesuaian kebijakan privasinya setelah UU PDP resmi disahkan. Dalam halaman soal kebijakan privasi, mereka mencantumkan pasal-pasal soal hak pengguna untuk meminta informasi, mengubah atau melakukan pembaruan, serta menghapus data pribadi, sesuai dengan ketentuan hak di UU PDP.
"Shopee berkomitmen untuk melindungi data Pengguna dan mematuhi semua undang-undang perlindungan data dan privasi yang berlaku," begitu terang Head of Public Affairs Shopee Indonesia, Radynal Nataprawira dalam pesan singkat kepada Tirto, Jumat (13/9/2024).
Senada, Blibli, alias PT Global Digital Niaga Tbk., juga menyatakan memperkuat implementasi keamanan di dalam proses internal perusahaan, menyambut berlaku penuhnya UU PDP. “Blibli menyambut baik pengembangan UU PDP ini sehingga dapat memperjelas aturan terkait keamanan data pribadi yang ada di Indonesia,”ujar IT Governance, Risk, Compliance and Data Governance Manager Blibli, Yosua Sugianto, kepada Tirto, Jumat (13/9/2024).
Serupa dengan Tokopedia, perusahaan ini juga telah menerapkan standar internasional, ISO 27001, terkait sistem manajemen keamanan informasi, serta yang terbaru, sertifikasi ISO 27701 terkait sistem manajemen data pribadi.
Lebih lanjut, Yosua juga memaparkan, terkait upaya mitigasi kebocoran data, Blibli menerapkan berbagai kebijakan data privasi sebagai pedoman dalam proses pengamanan data. Fokusnya tidak hanya pada aspek teknologi, namun juga pada aspek proses dan sumber daya manusia.
Beberapa perusahaan teknologi lain seperti Gojek, dan Grab, juga sempat kami minta keterangannya terkait dengan pendekatan terkait implementasi UU PDP. Sayangnya, sampai tulisan ini diturunkan, Tirto belum menerima jawaban dari perusahaan-perusahaan tersebut.
Pelaku industri lainnya, yang juga banyak mengelola data pribadi individu, adalah instansi perbankan. Salah satu instansi perbankan terbesar di Indonesia, Bank Central Asia (BCA) mengaku telah menyesuaikan operasi mereka dengan aturan yang berlaku.
“Saat ini, BCA telah membentuk komite khusus untuk merumuskan strategi dalam mengimplementasi UU PDP tersebut. BCA juga akan memonitoring impelementasi PDP sesuai dengan ketentuan yang diatur pada UU PDP,” terang Executive Vice President (EVP) Corporate Communication and Social Responsibility BCA, Hera F. Haryn, lewat pesan tertulis kepada Tirto, Rabu (12/9/2024).
Terkait dengan kekhawatiran kebocoran data, BCA juga mengaku melakukan pengamanan dengan standar keamanan berlapis, manajemen risiko dan liability, serta akuntabilitas. Perusahaan ini juga mengaku mematuhi dan mengikuti kebijakan lain pemerintah yang mengarah ke operasi perbankan.
Serupa dengan operasi Tokopedia, BCA juga menerapkan manajemen keamanan informasi yang tersertifikasi ISO. Ada ISO 27001 untuk penerapan standarisasi sistem manajemen keamanan informasi, ISO 20000:1-2018 terkait manajemen keamanan pusat data. BCA juga telah tersertifikasi PCI DSS dalam hal pengamanan transaksi kartu kredit.
Pasal Sorotan, dari Kewajiban Keamanan hingga Beri Notifikasi
Menurut ahli, ada beberapa poin penting yang bisa mendapat perhatian terkait implementasi UU PDP bagi badan usaha. Asisten Peneliti Center for Digital Society (CfDS), M. Irfan Dwi Putra, menyebut ada beberapa ketentuan soal kewajiban menjaga keamanan data yang perlu mendapat sorotan khusus.
Misalnya terkait Pasal 35, yang menegaskan keharusan perusahaan untuk memastikan keamanan data pribadi yang diproses, dengan melakukan penyusunan dan penerapan langkah teknis, dan menentukan tingkat keamanan data dengan memperhatikan sifat dan risiko data.
Yang tak kalah penting, kata Irfan, yakni kewajiban perusahaan memberi notifikasi kepada pengguna atau nasabah jika terjadi kebocoran data seperti kasus-kasus yang sudah disebutkan di atas.
Akan tetapi, masalahnya, menurut pengamatan Irfan, sepanjang dua tahun ke belakang, sejak UU PDP disahkan, belum ada perusahaan yang memberi notifikasi kepada nasabah atau pelanggan mereka ketika terjadi kebocoran data.
Padahal, pasal 46 UU PDP menyebut kalau “dalam hal terjadi kegagalan perlindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam, kepada subjek data pribadi dan lembaga”.
Pemberitahuan itu mencakup data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, serta upaya penanganan dan pemulihan yang dilakukan oleh pengendali data.
“Memang di satu sisi ini kalau kita ngomong dari perspektif bisnis itu akan menurunkan tingkat kepercayaan pengguna atau pelanggan terhadap si perusahaan. Tetapi kalau misalkan kita lihat memang secara hukum ini kan sudah menjadi kewajiban mereka,” ujar Irfan, saat dihubungi Tirto, Rabu (11/9/2024).
Bahkan, dalam hal tertentu, UU PDP juga menyebut kalau pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan perlindungan data pribadi.
Jika perusahaan melanggar pasal 46 tersebut, termasuk juga pasal 35 dan sejumlah pasal lain soal keamanan data yang diproses, maka perusahaan akan dikenai sanksi administrasi berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan atau denda administratif.
Besaran denda administratif sendiri disebut paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
“Kalau kita berbicara sanksi administratif itu kan, berarti kita melalui pengadilan. Jadi bukan lembaga yudikatif gitu ya yang kemudian menjatuhkan sanksi, tetapi dari pemerintah sebagai administrator. Dan dalam hal ini yang nantinya memang memiliki kewenangan untuk menjatuhkan sanksi tersebut itu adalah lembaga otoritas PDP gitu ya,” ungkap Irfan.
Namun, hingga kini, lembaga otoritas tersebut belum dibentuk. Lembaga ini semestinya dibikin oleh Presiden sebelum UU PDP efektif berlaku pada Oktober 2024. Idealnya lembaga otoritas perlindungan data pribadi ini merupakan lembaga independen yang posisinya langsung bertanggung jawab ke presiden.
Irfan menyampaikan, beberapa variabel nantinya akan digunakan dalam penentuan besaran denda sampai mencapai batas maksimal dua persen. Variabel ini misalnya berapa banyak data yang bocor atau data yang terdampak, apa saja yang sudah dilakukan oleh pihak perusahaan atau pengendali data dalam mengatasi kebocoran data, dan berapa banyak kerugian yang ditimbulkan.
“Kan data tuh ada banyak ya, misalkan rekam medis, itu termasuk data pribadi. Atau mungkin data yang bocor itu cuma nama aja gitu. Itu kan pasti implikasinya akan berbeda gitu. Kalau misalkan rekam medis implikasinya akan jauh lebih besar dibandingkan data-datanya sifatnya umum,” kata Irfan.
Lebih jauh, Irfan juga bilang, persoalan lain yang penting diperhatikan perusahaan juga mencakup perekaman pemrosesan data, atau dalam General Data Protection Regulation (GDPR) disebut sebagai Record of Processing Activities (ROPA).
Sederhananya, aturan yang masuk dalam pasal 31 UU PDP itu mensyaratkan perusahaan untuk mencatat aktivitas data pribadi pengguna atau nasabah yang diolah.
“Misalnya itu diprosesnya, dikumpulkannya kapan, kemudian di prosesnya seperti apa, dan dia itu misalnya sudah mencapai masa retensi, sudah dihapus atau belum. Intinya itu seperti catatan atau histori dari mulai data itu diambil, dikumpulkan, sampai nanti itu dihapus atau dimusnahkan itu dari awal sampai akhir,” terang Irfan.
Fase Awal Checklist Perjanjian Jadi Celah Besar bagi Perusahaan
Selain dari sisi perusahaan, masyarakat sebagai “subjek data” atau pemilik data juga mesti teliti dalam membaca ketentuan setiap membuka rekening baru atau mendaftar beragam aplikasi. Dengan kata lain, masyarakat perlu memperhatikan hal-hal yang ia setujui.
Irfan, selaku Asisten Peneliti CfDS, memberi contoh, saat seseorang membuka rekening bank, maka mereka akan disajikan beberapa formulir yang berisi persetujuan untuk dibubuhi tanda centang.
“Nah disitu seharusnya kalau misalnya kita lihat ke dalam UU PDP itu ada beberapa ketentuan, misalnya apakah nanti si pelanggan atau pengguna atau nasabah ini akan bersedia untuk menerima marketing atau iklan marketing gitu,” kata Irfan.
Ketika pengguna menyetujui hal tersebut, maka aktivitas itu sah, artinya orang tersebut setuju bahwa bank atau suatu perusahaan akan menghubungi mereka untuk keperluan pemasaran.
Meski demikian, ketentuan semacam itu seringkali menggunakan redaksi yang kompleks, sehingga tak mudah dipahami orang awam. Irfan pun menyoroti permasalahan tersebut dan menyampaikan bahwa belum ada aturan yang mewajibkan perusahaan melakukan simplifikasi “syarat dan ketentuan” yang mereka sodorkan ke publik.
“Tapi memang beberapa perusahaan tuh ada yang sengaja membuat dengan bahasa yang, apa ya, sangat sulit untuk kita pahami ya, agar yaudah kita langsung checklist aja gitu di bawahnya,” ungkap Irfan.
Irfan juga bilang, momen awal pemberian tanda centang atau penandatangan formulir semacam ini bisa menjadi celah yang besar bagi perusahaan untuk melakukan apa saja yang mereka mau.
“Itu yang bisa menjadi celah untuk, dalam tanda kutip, ada penyelundupan hukum gitu ya di situ. Ada hal-hal misalnya marketing atau apa diselundupkan di situ, yang mana kalau misalkan kita nggak baca ya kita akan setuju aja gitu. Kemudian sebenarnya secara umum ini undang-undang PDP ini memang sudah sangat rigid gitu ya, sudah sangat ketat,” katanya.
Dengan demikian, Irfan menyampaikan, meskipun perjanjian awal ini dilihat sebagai sesuatu yang sederhana, momen ini menjadi awal dari segalanya. Persetujuan individu akan kebijakan privasi umumnya disebutkan dalam ketentuan itu.
“Karena memang kan dari situ data kita diambil, diolah, diolahnya diapain aja, dibagikan kepada siapa saja, atau nanti siapa yang akan ditunjuk sebagai prosesor,” ungkapnya.
==
Artikel ini telah diperbarui pada 14 September 2024 untuk memasukkan pernyataan dari Blibli.
Bila pembaca memiliki saran, ide, tanggapan, maupun bantahan terhadap klaim Periksa Fakta dan Decode, pembaca dapat mengirimkannya ke email factcheck@tirto.id.
Editor: Farida Susanty
