Di Indonesia, peraturan perundang-undangan di bidang pos (yang mengatur pula penyelenggaraan jasa kurir) telah mengakomodir sebagian kecil ketentuan terkait pelindungan data pengguna layanan pos dan kurir. UU No. 38 Tahun 2009 tentang Pos telah mengatur mengenai kerahasiaan, namun dalam konteks isi barang yang dikirim. Sementara itu, PM Kominfo No. 4 Tahun 2021 tentang Penyelenggaraan Pos telah mewajibkan Penyelenggara Pos (termasuk Jasa Kurir) untuk menjaga kerahasiaan data pribadi. Namun, aturan tersebut dikhususkan untuk penyelenggaraan Layanan Transaksi Keuangan oleh Penyelenggara Pos.
Dewasa ini, tidak sedikit para Penyelenggara Pos yang mulai menggunakan sistem elektronik dan bergabung dalam ekosistem digital. Pemerintah pun dituntut untuk melakukan transformasi digital industri pos nasional yang tentu tidak terlepas dari risiko keamanan siber.
Dalam ekosistem digital, data pribadi pengguna layanan pos dan kurir tersebar pada sistem elektronik milik Penyelenggara Pos, marketplace, bea cukai, dan/atau penyedia jasa pembayaran, tidak hanya di tingkat domestik, melainkan juga di tingkat internasional.
Kondisi ini memungkinkan akses data pribadi pengguna layanan pos dan kurir oleh pihak ketiga. Akses diperoleh dari daftar alamat, pelacakan data melalui internet, referensi silang, dan aktivitas data mining untuk tujuan identifikasi minat pelanggan ataupun penjualan data.
Identifikasi dan penyelesaian kasus-kasus kebocoran dan/atau penyalahgunaan data yang melibatkan pengguna layanan pos dan kurir akan lebih kompleks mengingat sektor-sektor semakin terkonvergensi di era digital.
Merujuk pada ketentuan internasional di Konvensi Universal Postal Union (UPU), data pribadi didefinisikan sebagai informasi yang dibutuhkan untuk mengidentifikasi pengguna layanan pos dan kurir.
Dalam konteks jasa pengiriman, data pribadi merupakan informasi yang diperlukan untuk mengidentifikasi pengirim dan penerima barang. Informasi ini mencakup antara lain yaitu nama dan alamat fisik atau titik pengiriman.
Lebih lanjut, Konvensi UPU mengatur mengenai pemrosesan data pribadi dimana data pribadi pengguna layanan pos dan kurir dapat digunakan hanya untuk tujuan dari pengumpulan data dimaksud sesuai dengan peraturan perundang-undangan nasional yang berlaku. Tujuan sebagaimana dimaksud misalnya adalah untuk keperluan pengiriman barang.
Metode pengumpulan dan pemrosesan data dapat bervariasi mengingat data pribadi diproses sesuai dengan peraturan perundang-undangan domestik di mana data-data dikumpulkan. Oleh karena itu, Konvensi UPU mewajibkan Penyelenggara Pos untuk menginformasikan pelanggan mengenai penggunaan data-data pribadi mereka dan tujuan dari pengumpulan data-data tersebut. Akses data-data tersebut oleh pihak ketiga pun hanya dapat dilakukan jika peraturan perundang-undangan domestik mengizinkan.
Seiring penyusunan RUU Pelindungan Data Pribadi (PDP), maka perlu dilakukan koordinasi lintas sektor untuk memahami lebih dalam mengenai penerapan dan implikasi peraturan tersebut dalam konteks penyelenggaraan pos dan kurir.