Kastara.ID, Jakarta – Peneliti Center for Indonesian Policy Studies (CIPS) Siti Alifah Dina mencontohkan, penyalahgunaan data pribadi di e-commerce setidaknya diatur UU Telekomunikasi, UU Informasi dan Transaksi Elektronik (ITE), UU Perlindungan Konsumen, UU Perdagangan, dan Peraturan Pemerintah dan Peraturan Menteri turunannya.
Jadi, secara tidak langsung, urusan perlindungan data pribadi merupakan kewenangan Kementerian Perdagangan dan Kementerian Komunikasi dan Informatika. Tanpa koordinasi yang kuat dari kementerian tersebut, implementasi dan pengawasan perlindungan konsumen akan sulit dipastikan.
“Lemahnya kerangka kebijakan dan implementasi perlindungan data pribadi membuat konsumen Indonesia sangat bergantung pada tindakan bisnis bertanggung jawab (responsible business conduct) yang dilakukan secara mandiri (self-regulatory). Contohnya adalah penandatanganan kode etik bersama oleh tiga asosiasi fintech (Aftech, AFPI, dan AFSI) pada September 2019 terkait perlindungan konsumen, perlindungan privasi dan data pribadi, mitigasi risiko siber dan mekanisme minimal penanganan aduan konsumen,” tegas Siti Alifah, dalam siara persnya, Sabtu (27/6).
Penggunaan data pribadi dalam penyedia layanan e-commerce tidak jarang disalahgunakan dan diakses untuk kepentingan di luar transaksi yang penyedia platform lakukan. Dalam beberapa kasus yang berkaitan dengan perusahaan financial technology (fintech), data konsumen disebarluaskan dan diperjualbelikan tanpa seizin konsumen.
Dengan adanya kebocoran data yang diperjualbelikan secara ilegal di dark web bukan saja merugikan pengguna, tetapi juga merugikan kredibilitas platform tersebut yang berpotensi merugikan pelaku usaha. RUU Perlindungan Data Pribadi idealnya mengatur hak dan kewajiban antara penyedia layanan dengan konsumen untuk memperjelas tujuan penggunaan data pribadi dan data apa saja yang boleh diakses oleh penyedia layanan yang berhubungan dengan transaksi tersebut.
Jika RUU Perlindungan Data Pribadi disahkan, pengendali data wajib menyampaikan pemberitahuan secara tertulis paling lambat 72 jam kepada pemilik data dan instansi pengawas jika terjadi data breach atau kegagalan perlindungan data pribadi. Kerangka kebijakan saat ini mempunyai tenggat waktu 14 hari, dan melonggarkan kemungkinan lebih berisiko atas kebocoran data. (rfr)