Anda mungkin sering atau pernah menerima SMS atau telepon dari seseorang yang menawarkan aplikasi kartu kredit, asuransi, pinjaman, atau produk lainnya. Penelpon atau pengirim SMS tersebut mengetahui nama lengkap anda atau identitas anda lainnya. Kita bertanya-tanya bagaimana mereka bisa memproleh data pribadi kita.
Data pribadi merupakan sesuatu yang sangat berharga dan mempunyai nilai jual tinggi. Beberapa tahun belakangan, dunia kita diwarnai dengan berbagai masalah terkait data, dari pencurian hingga penyalahgunaan data.
Beberapa tahun belakangan kita menjadi saksi tergoncangnya perusahaan kelas dunia karena urusan kebocoran data, sebut saja yang terkini Facebook, sebelumnya ada deretan nama besar lainnya seperti Equifax (perusahaan pemeringkat kredit) dan Yahoo. Masih ingat pula kita maraknya serangan ransomware seperti virus WannaCry yang mampu mengunci data secara online dan ilegal.
Seluruh kejadian tersebut hampir dipastikan memakan korban jutaan pemilik data. Tidak menutup kemungkinan, kita adalah salah satu pemilik data yang disalahgunakan itu.
Meski ada sebagian pihak menyatakan bahwa pengalihan data itu sudah menjadi hal biasa di era digital ini, hal itu tidak dapat dapat menjadi alasan untuk membiarkan kejadian itu berlanjut. Kalaupun tidak bisa dihilangkan sama sekali, setidaknya upaya mengupaya risiko wajib diterapkan.
Pasca skandal Facebook -- Cambridge Analytica, Uni Eropa mencanangkan pembaharuan regulasi perlindungan data (General Data Protection Regulation/ GDPR) yang sudah berlaku sejak tahun 1995. Pembaharuan tersebut menyesuaikan dengan perubahan kondisi era digital saat ini.
Bagaimana dengan Indonesia? Regulasi mengenai perlindungan data sebenarnya kita miliki juga. Namun demikian, regulasi tersebut tersebar diberbagai ketentuan, sebut saja undang-undang mengenai kependudukan, undang-undang mengenai informasi trasaksi elektronik, undang terkait perbankan atau system pembayaran, dan sebagainya.
Pada intinya, seluruh aturan itu menekankan kewajiban menjaga kerahasiaan data pribadi. Pengecualian dapat dilakukan sepanjang ada alasan yang kuat secara hukum atau atas izin pemilik data. Nah, pengecualian inilah yang kerapkali menjadi celah penyalahgunaan.
Ketika kita akan mengajukan aplikasi tertentu, misalnya kartu kredit atau keanggotaan (membership) tertentu, pembukaan akun (sign up) platform media social atau aplikasi, tentu kita diminta untuk memberikan identitas pribadi. Penyedia layanan tersebut selanjutnya menyampaikan semacam kontrak baku (terms of condition) yang mau tidak mau harus kita setujui (agree).
Di kontrak itulah pernyataan kesediaan kita untuk memperbolehkan penyedia jasa data kita tercantum. Sayangnya, sebagian besar dari kita tidak sadar terhadap keberadaan pernyataan tersebut. Maklum saja, rincian syarat dan ketentuan yang disodorkan biasanya ditulis dengan huruf kecil dengan jumlah kalimat yang sangat banyak dan tidak jarang sulit dipahami.
Selain itu, pernyataan tersebut tidak bersifat negotiable artinya jika kita akan menggunakan jasa yang ditawarkan maka harus bersedia menyetujui kontrak atau syarat yang diajukan itu. Jika tidak, proses pendaftaran akan berhenti dan kita tidak dapat memperoleh layanan yang ditawarkan.