Tokopedia Bisa Kena Denda Rp331 Miliar
VIVA – Peristiwa peretasan dan penjualan 91 juta data pribadi pengguna Tokopedia di situs dark web menjadi alasan pentingnya Indonesia memiliki Undang-Undang Perlindungan Data Pribadi (UU PDP). Tanpa regulasi ini maka masyarakat seperti dibiarkan di hutan belantara tanpa perlindungan.
Pakar keamanan siber Pratama Persadha menjelaskan bahwa Tokopedia harus dimintai pertanggungjawaban. Tapi, yang menjadi masalah regulasi apa yang bisa dipakai, karena Indonesia belum memiliki UU PDP.
“Coba kita lihat data yang diretas, praktis hanya password saja yang dienkripsi. Padahal data lainnya juga sangat krusial. Ada user ID, email, nama lengkap, tanggal lahir, jenis kelamin dan nomor telepon seluler," ujarnya di Jakarta, Senin malam, 4 Mei 2020.
Pratama lalu mencontoh Eropa yang sudah memiliki GDPR (General Data Protection Regulation), di mana seluruh data pribadi warganya harus dilindungi. Sedangkan, pada kasus Tokopedia, hanya password saja yang terenkripsi. Hal ini membuat penggunanya menjadi sasaran empuk tindak kejahatan seperti phising.
Selain pengamanan yang tidak menyeluruh, Tokopedia juga tidak langsung memberikan notifikasi pada pengguna terdampak dan juga langkah preventif. Menurut Pratama, seharusnya salah satu unicorn Indonesia itu bisa saja memberi notifikasi lewat aplikasi, email, SMS atau pun WhatsApp.
“Tokopedia juga harus menghadapi ancaman tuntutan bila ada user Tokopedia dari warga Uni Eropa yang merasa dirugikan. Mereka dilindungi GDPR. Ancamannya tidak main-main. Bisa sampai 20 juta euro atau sekitar Rp331 miliar,” tegas Pratama.
Undang-Undang Perlindungan Data Pribadi (UU PDP) milik Eropa itu akan melakukan investigasi ke perusahaan bersangkutan, apakah data-data sensitif dienkripsi.
Selain itu akan dilihat juga dari sisi sumber daya manusia (SDM) hingga vendor teknologi, apakah perusahaan melakukan update security patch secara berkala dan bagaimana model pengamanan yang dijalankan.