Penggunaan data pribadi konsumen oleh perusahaan e-commerce atau marketplace dibolehkan asal sesuai ketentuan peraturan perundang-undangan. Apabila ada penyalahgunaan data pribadi, konsumen yang merasa dirugikan dapat menggugatnya melalui jalur hukum.
Pelindungan data pribadi diatur dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP 27/2022”) yang merupakan wujud komitmen negara dalam menjaga hak privasi dan keamanan informasi setiap individu.
Berikut jenis-jenis data pribadi:
- Data Spesifik:
- Informasi kesehatan
- Data biometrik
- Data genetika
- Catatan kejahatan
- Data anak
- Data keuangan
- Data lainnya sesuai dengan ketentuan peraturan perundang-undangan
- Data Umum:
- Nama lengkap
- Jenis kelamin
- Kewarganegaraan
- Agama
- Status perkawinan
- Data pribadi yang dikombinasikan sehingga dapat mengidentifikasi seseorang
Data pribadi yang perlu dilindungi:
- Nomor identitas;
- Informasi medis;
- Nama panggilan;
- Tanda tangan;
- Alamat lengkap;
- Identitas keluarga;
- Foto dokumen;
- Geolocation.
Bagi perusahaan e-commerce yang ingin menggunakan data pribadi penggunanya harus sesuai dengan ketentuan yang berlaku. Berikut ketentuan penggunaan data pribadi bagi pelaku usaha e-commerce.
Baca Juga: Pengaruh Teknologi Terhadap Hak Kekayaan Intelektual
Persetujuan Konsumen
Penggunaan data pribadi konsumen harus dilakukan atas persetujuan orang yang dianggap diatur dalam Pasal 26 Ayat (2) Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (“UU ITE 19/2016”). Oleh karena itu, perusahaan tidak dapat menggunakan informasi pribadi konsumen kecuali dengan persetujuan dari pemilik informasi pribadi tersebut.
Persetujuan ini dapat diminta oleh perusahaan saat konsumen membaca Syarat dan Ketentuan. Syarat dan Ketentuan harus dibuat dengan jelas, menggunakan kalimat yang baik dan mudah dipahami, serta menjelaskan maksud dan tujuan.
Data pribadi yang dapat diperoleh dan dikumpulkan oleh perusahaan harus relevan dengan bisnis perusahaan. Hal ini diatur dalam Pasal 7 Permenkominfo 20 Tahun 2016 tentang Perlindungan Data Pribadi Melalui Sistem Elektronik, yang menyatakan bahwa perolehan dan pengumpulan data pribadi harus dibatasi pada informasi yang relevan.
Baca Juga: Syarat dan Keabsahan Tanda Tangan Elektronik
Perlindungan Data Pribadi Konsumen
Perusahaan wajib menyimpan data pribadi konsumen sesuai dengan standar perlindungan data pribadi sebagaimana diatur dalam ketentuan Pasal 59 Peraturan Pemerintah (PP) Nomor 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik, standar tersebut meliputi:
- Data pribadi diperoleh secara jujur dan sah dari konsumen .
- Data pribadi dimiliki hanya untuk satu atau lebih tujuan yang spesifik.
- Data pribadi yang diperoleh harus layak dan relevan dengan tujuan.
- Data pribadi harus akurat dan terkini dengan memberi konsumen kesempatan memperbarui datanya.
- Data pribadi tidak dapat disimpan lebih lama dari waktu yang diperlukan.
- Mempunyai sistem pengamanan untuk mencegah kebocoran.
- Informasi pribadi tidak boleh dikirim ke luar Indonesia.
Penyimpanan data pribadi yang dilakukan oleh suatu perusahaan e-commerce harus sesuai dengan ketentuan Pasal 15-19 Permenkominfo 20 Tahun 2016, penyimpanan informasi pribadi harus memenuhi beberapa poin kesimpulan berikut:
- Enkripsi data
Informasi pribadi harus disimpan dalam bentuk data terenkripsi.
- Durasi penyimpanan
Data pribadi wajib disimpan dalam sistem elektronik dapat diabaikan 5 tahun, kecuali ada ketentuan lain dalam peraturan.
- Jika tidak lagi konsumen menjadi
Waktu 5 tahun tersebut tetap berlaku meskipun informasi pemilik pribadi tidak lagi menjadi konsumen di perusahaan e-commerce tersebut.
- Penghapusan data
Jika telah melebihi waktu 5 tahun, maka data pribadi diperbolehkan dihapus oleh perusahaan. Namun, data pribadi juga dapat tetap disimpan, asalkan hanya digunakan sesuai dengan tujuan awalnya.
Konsumen dapat meminta data pribadinya yang telah diperoleh oleh perusahaan untuk dihapus atau dihancurkan. Perusahaan juga wajib menghapus informasi tersebut atas permintaan konsumen jika data tersebut tidak relevan dengan tujuan dan bisnis perusahaan.
Baca Juga: Apakah Kontrak Elektronik Sah Secara Hukum?
Pemberian Sanksi
Ada pemberian sanksi hukum terhadap perusahaan e-commerce apabila melanggar ketentuan-ketentuan yang telah ditetapkan. Sanksi tersebut diatur dalam Pasal 36 ayat (1) Permenkominfo 20 Tahun 2016 yang meliputi:
- Peringatan lisan
- Peringatan tertulis
- Penghentian sementara kegiatan
- Pengumuman di situs dalam jaringan
Selain itu, konsumen juga mempunyai hak menggugat perusahaan jika datanya digunakan tanpa persetujuannya (Pasal 26 Ayat (2) UU ITE).
Baca Juga: Jenis Pelanggaran dan Kewenangan Bursa Kripto
Kesimpulan
Penggunaan data pribadi oleh konsumen di suatu perusahaan e-commerce dibolehkan asalkan mematuhi ketentuan hukum dan perundang-undangan lainnya. Di Indonesia sudah ada Undang-undang Perlindungan Data Konsumen (UU PDP) yang mengatur dan melindungi data pribadi agar tidak digunakan secara ilegal.
Perusahaan, khususnya e-commerce wajib meminta persetujuan konsumen untuk mengambil datanya dan hanya digunakan dengan tujuan yang relevan. Apabila terjadi pelanggaran, perusahaan dapat dikenakan sanksi sesuai hukum yang berlaku, dan konsumen memiliki hak untuk menggugat.
Baca Juga: Penyadapan Telepon Seluler Melanggar Hukum?
Dasar Hukum:
- UU 19/2016 tentang ITE
- Permenkominfo 20/2016 tentang Perlindungan Data Pribadi Melalui Sistem Elektronik
- UU 27/2022 tentang Pelindungan Data Pribadi
- PP 80/2019 tentang Perdagangan Melalui Sistem Elektronik
Referensi: