“Dan soal tujuan ini harus jelas sejak awal, tidak bisa perusahaan asal mengumpulkan informasi pribadi orang lain baru diakhir tujuannya ditentukan, itu menyalahi aturan,” ujarnya.
Lebih rigid lagi batasan pemanfaatan data pribadi untuk bisnis di bidang financial services, kata Robert, karena OJK mempunyai batasannya tersendiri. Selanjutnya, sejauh apa suatu data dapat dikategorikan sebagai data pribadi?
(Baca Juga: Yuk Simak, Perlindungan Data Pribadi yang Tersebar di Beberapa UU)
Anggota Komisi I DPR, Arwani Thomafi, pernah menyebutkan bahwa kategori data pribadi yang wajib dilindungi Negara sebagaimana diatur dalam Pasal 84 ayat (1) serta Pasal 85 UU No.23 Tahun 2006 yang telah direvisi menjadi Undang-Undang Nomor 24 Tahun 2013 tentang Administrasi Kependudukan, yakni terdiri dari Nomor KK, NIK, tanggal/bulan/tahun lahir, keterangan tentang kecacatan fisik dan/atau mental, NIK Ibu Kandung, NIK ayah serta beberapa isi catatan peristiwa penting.
“Tidak boleh siapapun menyebarluaskan data pribadi,” tukas Arwani.
Dalam aturan khusus (Perkominfo Perlindungan Data Pribadi, -red), menurut Robert, Perkominfo tersebut sedikit banyak mengambil definisi data pribadi dari GDPR EU (general data protection regulation EU) yang mendefinisikan data pribadi dalam dua tipe. Pertama, data yang dengan sendirinya dapat langsung mengidentifikasi seseorang seperti data berupa Nomor KTP, BPJS dan sebagainya. Kedua, kumpulan informasi yang jika dikumpulkan dapat mengidentifikasi seseorang.
“Jadi tak Cuma informasi yang berdiri sendiri saja data pribadi, tapi collection of information itu masuk data pribadi juga,” kata Robert.
Langkah Hukum dan Sanksi
Bila terjadi penyalahgunaan data pribadi atau bahkan perusahaan penyedia sistem ‘gagal’ dalam melindungi data pribadi pengguna, Robert menyarankan setidaknya ada dua langkah hukum yang bisa dilakukan pengguna. Pertama, pengguna dapat mengajukan complain ke Kominfo dengan dasar bahwa penyedia sistem informasi elektronik telah gagal melindungi data pribadi pengguna. Dalam konteks upaya hukum yang ditempuh adalah complain, maka unsur kerugian yang dihasilkan dalam kasus pelanggaran data pribadi yang terjadi tak perlu dibuktikan.
“Yang penting dia sudah gagal melindungi data pribadi kita, maka kita sudah bisa langsung submit complain,” kata Robert.