Rentannya keamanan dan kerahasiaan data pribadi merupakan topik yang banyak diperbincangkan sepanjang tahun 2022. Mulai dari kebocoran data yang terjadi di berbagai institusi, maraknya jual beli data melalui situs online, hingga tumpang tindihnya ketentuan yang ada menjadi pemantik hangatnya diskusi terkait persoalan pelindungan data pribadi.
Dikeluarkannya Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) diharapkan dapat menjamin hak dasar warga negara terkait pelindungan diri pribadi. Selain pentingnya kesiapan industri dan ketegasan Pemerintah dalam menegakkan aturan, pemahaman yang tepat adalah kunci tercapainya tujuan utama dari pelindungan data pribadi.
Semua pihak perlu memahami bahwa kewenangan atas data pribadi ada pada masing-masing individu sebagai subjek data. Di dalamnya termasuk kewenangan dalam menentukan data yang akan diberikan, kepada siapa pemberian tersebut ditujukan dan untuk apa data tersebut dimanfaatkan. Berbagai kasus yang timbul mencerminkan masih kurangnya pemahaman masyarakat akan dampak penyalahgunaan data pribadi, sekalipun kerugian yang ditimbulkannya dapat amat besar.
Baca juga:
- Sejumlah Kritik Penyusunan dan Potensi Problematika UU PDP
- Aturan Wajib bagi Pengendali Data Pribadi dalam UU PDP
- Dunia Usaha Siap Implementasikan UU PDP
Dalam kasus pinjol ilegal misalnya, kita kerap membaca berita tentang korban yang menyesal telah meminjam dari pinjol illegal. Bahkan ada yang mau bunuh diri karena malu dan tertekan. Dikabarkan bahwa dalam melakukan penagihan, pihak pinjol ilegal menghubungi para pemilik nomor telepon yang tersimpan di kontak telepon peminjam dengan berbagai modus. Mulai dari menyampaikan informasi mengenai utang si peminjam hingga menuduh peminjam telah melarikan sejumlah uang.
Sekilas terlihat masalah hukum dalam kasus tersebut adalah terjadinya pencemaran nama baik dan perbuatan tidak menyenangkan yang dilakukan terhadap peminjam agar melunasi pinjaman dengan bunga tinggi. Namun dalam konteks pelindungan data pribadi masalah utamanya adalah terjadinya penyalahgunaan data pribadi peminjam oleh pihak operator pinjol ilegal.
Secara formalitas mungkin saja peminjam memang telah memberikan persetujuan kepada pihak pinjol ilegal untuk memanfaatkan berbagai data dan informasi pribadi dalam telepon genggam yang dipergunakan untuk mengajukan pinjaman. Dalam kenyataannya, peminjam belum tentu menyadari luasnya cakupan persetujuan yang diberikannya. Seperti misalnya seberapa banyak data dan seberapa besar akses yang diberikan, apa tujuan pemanfaatannya dan bagaimana dampaknya bagi dirinya di kemudian hari.
Dengan demikian kewajiban bagi pelaku usaha untuk memperoleh persetujuan konsumen dalam mengumpulkan dan memanfaatkan data pribadinya tampak tidak otomatis melindungi kepentingan konsumen sepenuhnya. Terdapat beberapa faktor yang harus diperhatikan, di antaranya adalah penggunaan istilah-istilah dan bahasa hukum dalam dokumen pemberian persetujuan. Sekalipun misalnya dokumen persetujuan dibuat dengan menggunakan bahasa sederhana namun karena dirancang untuk mencakup tujuan yang seluas-luasnya maka uraian dapat menjadi terlalu panjang untuk dipahami konsumen dengan mudah.
Faktor berikutnya adalah pengetahuan konsumen akan nilai data yang dimilikinya. Sekalipun konsumen memiliki pemahaman yang cukup atas dokumen persetujuan yang diberikannya, tidak mudah baginya untuk mengetahui seberapa jauh data dan informasinya dapat dimanfaatkan oleh pelaku usaha. Tanpa mengetahui hal tersebut tentu sukar baginya untuk memperhitungkan dampaknya di kemudian hari.
Faktor selanjutnya adalah kebutuhan pribadi masing-masing konsumen itu sendiri. Dalam keadaan terdesak konsumen dapat merasa bahwa pemberian data pribadinya kepada pelaku usaha adalah satu-satunya cara untuk memenuhi kebutuhannya. Jika itu terjadi maka persetujuan dapat saja diberikan tanpa mempertimbangkan dampaknya di kemudian hari. Bahkan mungkin tanpa membaca dokumen-dokumen yang disediakan pelaku usaha.
UU PDP kini mengatur dengan lebih seksama berbagai hal mengenai persetujuan yang harus diberikan konsumen sebagai subjek data pribadi kepada pihak pengendali sebagai pihak yang akan memanfaatkan data tersebut. Mengingat sanksi tegas serta akibat hukum yang ditimbulkannya jika terjadi pelanggaran, memahami bentuk persetujuan yang harus diperoleh dan syarat keabsahannya menjadi penting bagi para pelaku usaha. Terutama di sektor jasa keuangan yang amat mengandalkan tersedianya data konsumen yang tertata dengan baik dalam menjalankan kegiatan usahanya.
Konsep dan ketentuan mengenai pelindungan data pribadi itu sendiri bukanlah hal yang baru bagi sektor jasa keuangan, khususnya perbankan. Demikian pula halnya dengan kewajiban pelaku usaha memperoleh persetujuan konsumen untuk mengumpulkan dan memanfaatkan data pribadi konsumen. Sebelum diundangkannya UU PDP telah ada berbagai ketentuan yang dikeluarkan Otoritas Jasa Keuangan (OJK) yang mengatur mengenai persetujuan ini.
Peraturan OJK No.6/POJK.07/2022
Perbuatan yang dilarang tanpa persetujuan. Pasal 11 ayat (1) Peraturan OJK No.6/POJK.07/2022 Tentang Perlindungan Konsumen Dan Masyarakat Di Sektor Jasa Keuangan (POJK 6/2022) melarang Pelaku Usaha Jasa Keuangan (PUJK) untuk melakukan beberapa tindakan tertentu. Salah satu di antaranya adalah memberikan data dan/atau informasi pribadi mengenai konsumen kepada pihak lain. Namun demikian hal berbagai larangan tersebut dikecualikan jika konsumen memberikan persetujuannya dan/atau diwajibkan atau ditetapkan oleh ketentuan peraturan perundang-undangan.
Selanjutnya Pasal 11 ayat (4) POJK 6/2022 mewajibkan PUJK untuk menjelaskan secara tertulis dan/atau lisan mengenai tujuan dan konsekuensi dari persetujuan konsumen terkait dengan pemberian data dan/atau informasi pribadi konsumen. Dengan adanya penjelasan tersebut tentunya diharapkan konsumen dapat mempertimbangkan dengan baik dampak pemberian data pribadinya sebelum memberikan persetujuan.
Selain persetujuan yang langsung diperoleh dari pemilik data, ketentuan ini juga mengenal adanya persetujuan tidak langsung yang memungkinkan PUJK memperoleh data dari pihak ketiga. Pasal 11 ayat (6) POJK 6/2022 menyatakan bahwa “dalam hal PUJK memperoleh data dan/atau informasi pribadi seseorang dan/atau sekelompok orang dari pihak lain dan PUJK akan menggunakannya untuk melaksanakan kegiatannya, PUJK wajib memiliki pernyataan tertulis bahwa pihak lain dimaksud telah memperoleh persetujuan dari seseorang dan/atau sekelompok orang tersebut untuk memberikan data dan/atau informasi pribadi dimaksud kepada pihak tertentu, termasuk PUJK”.
POJK 6/2022 juga mencantumkan sanksi administratif yang dapat dikenakan jika PUJK lalai dalam melaksanakan kewajibannya. Di antaranya berupa peringatan tertulis, denda, pembatasan atau pembekuan produk dan/atau layanan dan/atau kegiatan usaha, pencabutan izin produk dan/atau layanan dan pencabutan izin usaha.
Peraturan OJK No.11/POJK.03/2022
Adanya pertukaran Data. Pasal 45 Peraturan OJK No.11/POJK.03/2022 Tentang Penyelenggaraan Teknologi Informasi Oleh Bank Umum (POJK 11/2022) menyatakan bahwa “dalam menerapkan pelindungan data pribadi pada kegiatan pertukaran data, Bank wajib menetapkan paling sedikit a. klasifikasi data yang merupakan data pribadi; b. hak dan kewajiban para pihak yang terlibat dalam pertukaran data pribadi; c. perjanjian pertukaran data pribadi; d. sarana pertukaran data pribadi; dan e. keamanan data pribadi.”
Selanjutnya, ayat 2 pasal tersebut menyatakan bahwa “pertukaran data pribadi sebagaimana dimaksud pada ayat (1) dilakukan dengan memperhatikan persetujuan konsumen dan/atau calon konsumen yang dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan”. Dengan demikian maka untuk dapat melakukan pertukaran data dengan pihak lain bank juga harus memperhatikan telah adanya persetujuan konsumen akan hal tersebut.
Pelanggaran atas ketentuan tersebut dapat dikenai sanksi administratif berupa teguran tertulis. Jika tetap lalai bank dapat dikenakan larangan untuk menerbitkan produk bank baru, pembekuan kegiatan usaha tertentu, dan/atau penurunan penilaian faktor tata kelola dalam penilaian tingkat kesehatan Bank.
UU PDP
UU PDP mengatur berbagai ketentuan terkait pemberian persetujuan oleh subjek data pribadi dengan akibat hukum yang lebih luas. Salah satu yang penting untuk diperhatikan adalah adanya hak subjek data pribadi untuk mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi. Selain itu juga terdapat kewajiban dari pengendali data untuk memiliki dasar pemrosesan data pribadi.
Persetujuan sebagai dasar pemrosesan. Pasal 20 ayat (1) UU PDP mewajibkan pengendali untuk memiliki dasar pemrosesan data pribadi. Salah satu yang dapat menjadi dasar adalah persetujuan yang sah secara eksplisit dari subjek data pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan kepada subjek data pribadi.
Informasi yang harus disampaikan Pengendali Data. Pasal 21 ayat (1) UU PDP mengatur bahwa dalam hal pemrosesan data pribadi berdasarkan persetujuan, pengendali wajib menyampaikan informasi mengenai a. legalitas dari pemrosesan data pribadi; b. tujuan pemrosesan data pribadi; c. jenis dan relevansi data pribadi yang akan diproses; d. jangka waktu retensi dokumen yang memuat data pribadi; e. rincian mengenai informasi yang dikumpulkan; f. jangka waktu pemrosesan data pribadi; dan g. hak subjek data pribadi. Namun demikian tidak ada penjelasan lebih lanjut mengenai kapan seluruh informasi tersebut harus diberikan, apakah sebelum persetujuan diberikan, pada saat bersamaan, atau setelah diterimanya persetujuan.
Bentuk Persetujuan. Pasal 22 ayat (1) dan (2) UU PDP menyatakan bahwa persetujuan yang diberikan dapat dilakukan secara tertulis atau terekam serta dapat disampaikan secara elektronik atau nonelektronik.
Syarat Pemberian Persetujuan. Selanjutnya Pasal 22 ayat (4) UU PDP mencantumkan berbagai persyaratan yang harus dipenuhi dalam pemberian persetujuan apabila ada tujuan lain dari permintaan persetujuan tersebut, yaitu: a. dapat dibedakan secara jelas dengan hal lainnya; b. dibuat dengan format yang dapat dipahami dan mudah diakses; dan c. menggunakan bahasa yang sederhana dan jelas.
Akibat Hukum. Jika persyaratan yang dicantumkan dalam Pasal 22 ayat 1 jo ayat 4 UU PDP tersebut tidak terpenuhi maka ayat 5 dari Pasal 22 mengatur bahwa persetujuan tersebut dinyatakan batal demi hukum. Batal demi hukumnya persetujuan yang diberikan tentu dapat membawa dampak serius bagi seluruh tindakan hukum yang dilakukan berdasarkan persetujuan tersebut. Bukan hanya soal keabsahannya yang kemudian dapat dipertanyakan, hak dan kewajiban para pihak yang timbul dari tindakan hukum tersebut juga dapat diperdebatkan.
Selain akibat hukum di atas, UU PDP juga mencantumkan berbagai sanksi atas pelanggaran atau penyalahgunaan data yang menimbulkan kerugian. Konsumen juga berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi.
UU PDP telah mengisi kekosongan aturan yang selama ini terjadi. Namun demikian peluang munculnya berbagai penafsiran berbeda atas ketentuan-ketentuan yang ada di dalamnya dapat menjadi tantangan tersendiri dalam menerapkan UU ini. Kita berharap agar peraturan pelaksanaan yang akan diterbitkan mampu mengantisipasi hal tersebut. Oleh karenanya kontribusi berbagai pemangku kepentingan amat diperlukan dalam penyusunan berbagai aturan tersebut agar tujuan utama dibentuknya undang-undang ini dapat tercapai dengan baik.
*)Yosea Iskandar, Praktisi Hukum Perbankan.
Artikel kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |