Regulasi Tokopedia Larang Pengguna Hapus Akun, Langgar Hak Data Pribadi
PerbesarJordy, begitu pria itu meminta dipanggil, bangun tidur dengan perasaan tak tenang, Minggu (3/5) pagi. Ia panik mendapat kabar peretasan data pengguna Tokopedia dari sebuah grup WhatsApp.
Terdaftar sebagai pengguna Tokopedia sejak tiga tahun lalu, Jordy khawatir data pribadinya bocor. “Saya merasa enggak aman dong. As a normal person aja,” katanya kepada kumparan.
Jordy memutuskan untuk menutup akun Tokopedia agar semua data pribadinya terhapus dari sistem pangkalan data situs belanja daring itu. Tetapi, dia tidak menemukan fitur untuk menghapus akun di aplikasi Tokopedia.
Sorenya, Jordy menghubungi Tokopedia untuk meminta penghapusan akun. Yang terjadi selanjutnya membuat dia kecewa: pelayanan pelanggan menginformasikan bahwa aturan Tokopedia tidak mengizinkan pengguna menghapus akun.
Alasannya, menurut Tokopedia, demi keamanan guna mencegah penipuan (fraud). Jordy tak mendapat penjelasan memuaskan perihal alasan keamanan yang dimaksud.
Baginya, aturan itu tidak masuk akal. “Kenapa enggak bikin five days period atau one week period, di mana dia ngecek akun tersebut sebelum satu minggu ditutup,” ia mengeluh dengan nada jengkel.
Kabar kebocoran data Tokopedia ramai diberitakan media sejak Sabtu (2/5) malam. Informasi itu pertama kali bergulir dari kicauan akun @underthebreach di Twitter.
Dalam keterangan profilnya, akun ini mendeklarasikan diri sebagai penyedia layanan pemantauan dan pencegahan kebocoran data asal Israel. @underthebreach menyebut, database yang dicuri meliputi email, password yang di-hash, hingga nama lengkap pemilik akun Tokopedia.
“Peretasan terjadi pada Maret 2020 dan berdampak ke 15.000.000 pengguna, meski peretas mengaku punya lebih banyak (data pengguna) lagi,” cuit @underthebreach.
Keesokan harinya, hanya berselang beberapa jam dari kicauan pertama, @underthebreach mengabarkan perkembangan baru: data pengguna Tokopedia yang bocor mencapai 91 juta akun.
Si peretas menjualnya di Darknet—situs web dan forum online terenkripsi yang tidak terindeks mesin pencari (search engine) biasa—senilai 5.000 Dolar AS.
Tokopedia telah mengakui pencurian data tersebut. Tokopedia menjamin password dan informasi penting pengguna terlindungi enkripsi.
“Kami menganjurkan pengguna Tokopedia untuk tetap mengganti password akunnya secara berkala demi keamanan dan kenyamanan,” kata Nuraini Razak, VP of Corporate Communications Tokopedia, kepada kumparan, Sabtu (2/5).
Senin (4/5) lalu, Kementerian Informasi dan Informatika memanggil Tokopedia untuk menjelaskan insiden peretasan sistemnya.
Staf Ahli Menkominfo Bidang Hukum Henri Subiakto mengungkapkan, kebocoran terjadi pada data lapisan pertama yang meliputi nama pelanggan, alamat, tanggal lahir, jenis kelamin, lokasi, dan nomor telepon.
“(Peretas) tidak bisa mengakses lebih jauh mengenai transaksi, dana yang ada, apalagi mengambil dana yang ada di Tokopedia. Yang berbahaya itu kan,” kata Henri.
Tetapi bagi Gordy dan sejumlah orang lain, penjelasan itu belum cukup menenangkan. Mereka memilih menutup akun Tokopedia untuk menghapus seluruh data di dalamnya.
Di media sosial Twitter, misalnya, sejumlah akun mempertanyakan fitur untuk menghapus akun di Tokopedia. Beberapa pengguna bahkan meminta @tokopediacare, akun resmi pelayanan pelanggan Tokopedia di Twitter, untuk menindaklanjuti permohonan penghapusan akun.
Wartawan kumparan lalu mencoba menghapus akun Tokopedia untuk memastikan kebenaran informasi tersebut. Ternyata benar, tak ada fitur untuk menghapus akun di toko daring itu.
kumparan selanjutnya menggunakan layanan “pesan bantuan” yang tersedia di aplikasi mobile Tokopedia. Customer service lantas menjelaskan fitur penutupan akun memang tidak tersedia di Tokopedia.
Pihak Tokopedia malah balik menanyakan alasan penutupan akun, disertai penegasan komitmen Tokopedia dalam menjaga data pengguna.
Setelah percakapan keenam, customer service Tokopedia menghubungi kumparan melalui sambungan telepon dan mengajukan dua opsi bila tak lagi ingin menggunakan layanan Tokopedia: akun dan data yang ada silakan diabaikan, atau permintaan akan lebih dulu dipertimbangkan oleh tim investigasi.
Menurut customer service tersebut, pihak Tokopedia yang nanti berwenang memutuskan apakah suatu akun bisa ditutup atau tidak.
Suhanto, Dirjen Perdagangan Dalam Negeri Kementerian Perdagangan, mengatakan aturan rinci soal itu tertuang pada ayat 3 Pasal 59 PP PMSE yang berbunyi, “Dalam hal pemilik data pribadi menyatakan keluar, berhenti berlangganan atau berhenti menggunakan jasa dan sarana PMSE, maka pemilik data pribadi berhak meminta Pelaku Usaha untuk menghapus seluruh data pribadi yang bersangkutan.”
Perihal aturan penghapusan data, menurut Suhanto, juga tercantum dalam Pasal 25 Peraturan Menteri Komunikasi dan Informatika 20/2016 yang mengatur tentang pemusnahan data pribadi, baik sebagian maupun keseluruhan.
Hak pengguna meminta pemusnahan data pribadi juga kembali ditegaskan pada Pasal 26 butir e, yang menyebut “Pemilik Data Pribadi berhak: meminta memusnahkan Data Perseorangan Tertentu miliknya dalam Sistem Elektronik yang dikelola oleh Penyelenggara Sistem Elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.”
Terkait kasus kebocoran data Tokopedia, Suhanto meminta perusahaan e-commerce itu, “Menginformasikan kepada pemilik data pribadi mengenai kegagalan (mencegah kebocoran data) tersebut disertai dengan pilihan bagi pengguna layanan untuk memiliki akses guna mengubah atau memperbaiki data dan memusnahkan data pribadi miliknya sesuai dengan ketentuan perundang-undangan.”
Dalam kebijakan privasi yang diperbarui pada 30 Januari 2018, Tokopedia jelas mendeklarasikan komitmen perihal penghapusan informasi: Tokopedia akan menyimpan informasi selama akun pengguna tetap aktif dan dapat melakukan penghapusan sesuai dengan ketentuan peraturan hukum yang berlaku.
kumparan mengkonfirmasi isu seputar penghapusan data tersebut melalui Senior Public Relations Specialist Tokopedia, Antonia Adega. Namun, ia tak menanggapi daftar pertanyaan yang kumparan ajukan.
“Di luar pernyataan tertulis yang kami sampaikan kemarin-kemarin, belum ada informasi terbaru lagi yang bisa kami sampaikan,” jawabnya melalui pesan WhatsApp. “Mohon maaf sekali lagi dan terima kasih pengertiannya.”
Wahyudi Djafar, Deputi Direktur Riset ELSAM (Lembaga Studi dan Advokasi Masyarakat), menyatakan penghapusan data merupakan hak pengguna platfrom mana pun. ELSAM merupakan salah satu lembaga hak asasi manusia yang menaruh perhatian pada isu perlindungan dan keamanan data pribadi .
Menghapus data, kata Wahyudi, masuk kategori hak pemilik data, di samping hak lain seperti hak akses, hak memperbaiki, memblokir, menyangkal, hak terkait pemrofilan dan pengambilan keputusan secara otomatis, hak atas kompensasi dan pertanggungjawaban, dan lain-lain.
Masalahnya, perlindungan hak atas data pribadi di Indonesia masih lemah. Beleid yang mengatur, ujar Wahyudi, baru setingkat peraturan pemerintah dan peraturan menteri.
Sanksi yang ringan juga menjadi salah satu celah regulasi. Peraturan pemerintah dan peraturan menteri hanya bisa mengganjar pelanggaran dalam bentuk sanksi administratif.
Penelitian ELSAM pada 2018 juga menunjukkan rata-rata platform di Indonesia belum memenuhi prinsip aturan perlindungan data pribadi.
“Alasannya karena hukum kita belum terlalu kuat mengatur itu semua. Itu juga terjadi dalam konteks Tokopedia,” ujar Wahyudi.
Oleh sebab itu, ia menekankan, kebutuhan atas Undang-Undang Perlindungan Data Pribadi yang terkatung-katung pembahasannya di DPR menjadi kebutuhan mendesak.
***
Simak panduan lengkap corona di Pusat Informasi Corona .
Yuk, bantu donasi untuk atasi dampak corona.
