Pesatnya perkembangan teknologi telah melahirkan beragam bisnis virtual, baik berbentuk start up, peer to peer lending (P2PL) untuk sektor financial services, bahkan aplikasi sejenis yang menawarkan fasilitas e-wallet dan sebagainya. Hal ini jelas menuntut kemapanan regulasi agar tak tertinggal jauh dari arus perkembangan zaman.
Salah satu isu pelanggaran hukum yang marak dilakukan tipikal bisnis virtual ini, di antaranya penyalahgunaan data pribadi, baik itu karena sengaja menyalahgunakan atau bahkan ‘ketidaktahuan’ atas batasan serta prosedur legal pemanfaatan data pribadi konsumen. Lantas, bolehkan perusahaan tersebut memanfaatkan data pribadi konsumen secara hukum?
Head of Legal Analyst Hukumonline, Robert Sidauruk, memaparkan dalam Seminar Tech In Asia, Selasa (23/10), hal itu dibolehkan bahkan tak bisa dipungkiri adanya kebutuhan atas pemanfaatan data pribadi bagi pengembangan perusahaan khususnya industri start up.
Dengan memanfaatkan data pribadi pengguna itulah, kata Robert, suatu perusahaan bisa mengetahui ‘siapa pengguna/konsumen’ mereka, bagaimana cara melahirkan produk yang baru, bagaimana mengembangkan produk lama hingga strategi marketing & sales apa yang bisa dilakukan ke depan dengan demografi pelanggan yang sudah diketahui berkat pemanfaatan data pribadi.
Akan tetapi, Robert mengingatkan setidaknya terdapat tiga batasan yang tak boleh dilewati perusahaan agar tak tersangkut kasus hukum penyalahgunaan data pribadi. “Kesalahpahaman dari pebisnis biasanya, kalau kita sudah setuju dengan term and condition mereka, maka mereka bisa bebas ambil data kita. Padahal itu ada batasannya,” kata Robert.
Adapun tiga batasan yang dimaksud yaitu: Pertama, wajib mendapatkan persetujuan dari konsumen. Persetujuan ini harus dilakukan dalam bentuk tertulis, dalam bahasa Indonesia dan diungkapkan secara tegas atau tidak menggunakan singkatan pada term & condition yang dapat membingungkan pengguna. Untuk mensiasati ini, bahkan beberapa website dan start up mewajibkan penggunanya untuk memberikan akses data pribadi mereka agar bisa melanjutkan penggunaan jasa website/start up itu.
Menurut Robert, pelanggaran yang banyak dilakukan dalam konteks ‘persetujuan pengguna’ ini banyak terjadi dalam kasus pengambilan data pribadi orang lain tanpa persetujuan langsung dari orang tersebut. Misalnya, perusahaan P2PL mengakses phonebook penggunanya sehingga rekan pengguna yang masuk dalam daftar phonebook tersebut terserang blackmail. Seharusnya, kata Robert, karena itu adalah data pribadi rekan pengguna maka perusahaan harus mendapatkan persetujuan itu langsung dari rekan pengguna jasa tersebut.
“Itu common banget terjadi, padahal phonebook itu adalah data pribadi orang lain, bukan data pribadi pengguna,” kata Robert.
Sebelumnya, Anggota Komisi I DPR, Sukamta juga pernah menyebutkan bahwa Pasal 26 ayat (1) UU No.11 Tahun 2008 yang telah direvisi menjadi Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (ITE), tegas diatur bahwa penggunaan data pribadi masyarakat harus seizin dan melalui persetujuan dari orang yang datanya bakal digunakan.
Kedua, terkait pemanfaatan data pribadi pengguna adalah wajib mendapatkan sertifikasi electronic platform (EP) sebagaimana disebutkan dalam Pasal 59 PP No.82 Tahun 2012 tentang Penyelenggaraan Sistem dan Transaksi Elektronik.
Pasal 59: (1) Penyelenggara Sistem Elektronik untuk pelayanan publik wajib memiliki Sertifikat Elektronik. (2) Penyelenggara Sistem Elektronik untuk nonpelayanan publik harus memiliki Sertifikat Elektronik. (3) Penyelenggara dan Pengguna Sistem Elektronik selain sebagaimana yang dimaksud pada ayat (1) dan ayat (2) dapat memiliki Sertifikat Elektronik yang diterbitkan oleh penyelenggara sertifikasi elektronik. |
Ketiga, maksud dan tujuan mengambil data pribadi pengguna harus jelas sejak awal serta tipe infomasi pribadi apa saja yang akan mereka ambil. Sehingga, ujungnya terlihat jelas relevansi antara pengambilan data pribadi tipe tertentu dengan tujuan pengambilan data pribadi yang disebutkan pebisnis.
(Baca Juga: Sanksi yang Bisa Dikenakan ke Facebook Terkait Bocornya Data Pengguna di Indonesia)
Merujuk Pasal 28 poin (b) Peraturan Menteri Komunikasi dan Informatika (Permenkominfo) No.20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik disebutkan bahwa setiap penyelenggara Sistem Elektronik wajib menjaga relevansi serta kesesuaian penggunaan data dengan tujuan perolehan, pengumpulan, pengolahan, penyebarluasan hingga pemusnahan data pribadi.
Misalnya, kata Robert, tak ada relevansi antara pengambilan informasi personal pengguna berupa foto atau gambar-gambar yang tersimpan pada device pengguna bagi perusahaan peer to peer lending. Lain halnya dengan perusahaan transportasi online yang mengambil personal data address pengguna. Menurut Robert, itu ada relevansinya untuk menunjang produk transportasi online.
“Dan soal tujuan ini harus jelas sejak awal, tidak bisa perusahaan asal mengumpulkan informasi pribadi orang lain baru diakhir tujuannya ditentukan, itu menyalahi aturan,” ujarnya.
Lebih rigid lagi batasan pemanfaatan data pribadi untuk bisnis di bidang financial services, kata Robert, karena OJK mempunyai batasannya tersendiri. Selanjutnya, sejauh apa suatu data dapat dikategorikan sebagai data pribadi?
(Baca Juga: Yuk Simak, Perlindungan Data Pribadi yang Tersebar di Beberapa UU)
Anggota Komisi I DPR, Arwani Thomafi, pernah menyebutkan bahwa kategori data pribadi yang wajib dilindungi Negara sebagaimana diatur dalam Pasal 84 ayat (1) serta Pasal 85 UU No.23 Tahun 2006 yang telah direvisi menjadi Undang-Undang Nomor 24 Tahun 2013 tentang Administrasi Kependudukan, yakni terdiri dari Nomor KK, NIK, tanggal/bulan/tahun lahir, keterangan tentang kecacatan fisik dan/atau mental, NIK Ibu Kandung, NIK ayah serta beberapa isi catatan peristiwa penting.
“Tidak boleh siapapun menyebarluaskan data pribadi,” tukas Arwani.
Dalam aturan khusus (Perkominfo Perlindungan Data Pribadi, -red), menurut Robert, Perkominfo tersebut sedikit banyak mengambil definisi data pribadi dari GDPR EU (general data protection regulation EU) yang mendefinisikan data pribadi dalam dua tipe. Pertama, data yang dengan sendirinya dapat langsung mengidentifikasi seseorang seperti data berupa Nomor KTP, BPJS dan sebagainya. Kedua, kumpulan informasi yang jika dikumpulkan dapat mengidentifikasi seseorang.
“Jadi tak Cuma informasi yang berdiri sendiri saja data pribadi, tapi collection of information itu masuk data pribadi juga,” kata Robert.
Langkah Hukum dan Sanksi
Bila terjadi penyalahgunaan data pribadi atau bahkan perusahaan penyedia sistem ‘gagal’ dalam melindungi data pribadi pengguna, Robert menyarankan setidaknya ada dua langkah hukum yang bisa dilakukan pengguna. Pertama, pengguna dapat mengajukan complain ke Kominfo dengan dasar bahwa penyedia sistem informasi elektronik telah gagal melindungi data pribadi pengguna. Dalam konteks upaya hukum yang ditempuh adalah complain, maka unsur kerugian yang dihasilkan dalam kasus pelanggaran data pribadi yang terjadi tak perlu dibuktikan.
“Yang penting dia sudah gagal melindungi data pribadi kita, maka kita sudah bisa langsung submit complain,” kata Robert.
Adapun sanksi atas pelanggaran ketentuan perlindungan data Pribadi, kata Robert, diatur dalam Pasal 36 Perkominfo No.20 Tahun 2016, yakni berupa sanksi peringatan lisan maupun tertulis, penghentian sementara kegiatan usaha dan/atau diumumkan melalui situs dalam jaringan (website online). Hanya saja jika pengguna menghendaki adanya ganti kerugian, kata Robert, lebih tepatnya bisa menempuh langkah kedua, yakni mengajukan gugatan ke pengadilan.
“Tapi untuk jalur gugatan ini memang lebih berat ketimbang jalur complain ke Kominfo, mengingat unsur kerugian yang diderita harus betul-betul dapat dibuktikan,” pungkas Robert.
Pasal 36:
|