Ceknricek.com — Perlindungan hukum atas kerahasiaan data pribadi konsumen/nasabah oleh pengendali data pribadi dalam transaksi elektronik adalah suatu hal yang lazim. Tidak hanya lazim, bahkan bisa dikatakan hampir mutlak. Hal ini mengingat, di abad 21 ini terjadi pergeseran perilaku dan perspektif konsumen atau nasabah jasa keuangan yang lebih memilih melakukan aktivitasnya secara elektronik atau melalui dunia maya.
Transaksi yang dilakukan secara elektronik (etransaction), disatu sisi akan membawa dampak positif dari perspektif efektifitas dan efisiensi. Di sisi lain rentan dijadikan celah bagi para pelaku perentas data illegal. Terutama apabila terkait dengan keamanan serta kerahasian data pribadi konsumen/ nasabah sebagai pengguna jasa transaksi elektronik.
Hal yang menarik adalah bahkan di luar negeri perlindungan data pribadi bukan hanya digunakan untuk acuan transaksi keuangan bagi pelaku perentasan. Sebut saja desas desus pengambilan data pengguna Facebook secara ilegal oleh Cambridge Analytical untuk kepentingan Pilpres 2016 di Amerika Serikat. Atau bocornya data penumpang Malindo Air dan Thai Lion Air, anak perusahaan Lion Group di Malaysia bulan September 2019 lalu yang tercecer di amazon.com .
Oleh karena sebegitu pentingnya “perlindungan data pribadi” ini, sampai-sampai Pemerintah merasakan wajib merumuskan dalam suatu perangkat Undang-undang tersendiri. Perlindungan data pribadi sendiri sedianya telah diatur dalam beberapa peraturan terpisah, seperti UU ITE atau UU Kependudukan. Bahkan secara spesifik Pemerintah juga telah memiliki PP No. 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik yang dijadikan dasar penyelesaian kasus perentasan data konsumen e-commerce semacam pembobolan data 91 juta data pengguna dan lebih dari 7 juta data merchant Tokopedia pada awal bulan Mei 2020 lalu.
Sampai dengan saat ini RUU Perlindungan Data Pribadi (RUU PDP) masih dalam proses pembahasan oleh Legislatif. Sebagai inisiatif dari Pemerintah RUU PDP ini sebenarnya telah diteken oleh Presiden untuk diajukan ke DPR dan di targetkan akan segera rampung dalam tahun 2021.
Hal yang menjadi menarik dalam RUU ini (versi Desember 2019) adalah dalam ketentuan pasal 40 ayat 1 terdapat kewajiban bila terjadi kegagalan perlindungan Data Pribadi. Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis dalam waktu paling lambat 3 x 24 jam kepada Pemilik Data Pribadi dan Menteri. Sayangnya, berkaitan dengan hal ini pengendali Data pribadi (Baik penyedia jasa informasi dan perbankan) yang lalai melakukan hal ini maka secara korporasi hanya dapat dikenakan sanksi administrasi saja. Hanya unsur kesengajaan saja yang mensyaratkan sesuatu tindakan yang dapat dikenakan sanksi pidana.
Dilain hal sangat dirasakan perlu dilakukannya upaya hukum tersendiri, sehingga secara Keperdataan pengembalian Hak Konsumen/ Nasabah dapat dipulihkan. Hal ini jelas diperlukan, dimana secara korporasi, Pengendali wajib memperhatikan azas kehatihatian dalam perlindungan terhadap hak konsumen atau nasabah perbankan yang menggunakan system Etransaction ini.
Kegagalan menjaga kerahasiaan data pribadi ini jelas merupakan suatu perbuatan melawan hukum (onrechtmatghdaad) yang dilakukan oleh pengendali sehingga menimbulkan kerugian secara material dan/ atau immaterial, karena memenuhi unsur antara lain:
1. Adanya perbuatan melawan hukum dimana dalam hal ini terdapat tindakan yang bertentangan dengan kewajiban hukum pengendali sebagai penanggungjawab etransaction
2. Adanya kesalahan karena melalaikan prinsip kehati-hatian, sehingga transaksi ini tetap bisa dilakukan oleh pihak selain konsumen/ nasabah sebagaimana dipersyaratkan dalam UU ITE, UU Perbankan dan Peraturan Bank Indonesia/ PBI Nomor 9/15/PBI/2007 tentang Penerapan Manajemen Risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum
3. Adanya kerugian dimana terdapat kerugian yang diderita baik secara finansial ataupun kerahasiaan oleh konsumen/ nasabah akibat perentasan
4. Adanya hubungan sebab akibat dimana dipastikan bahwa kerugian yang dialami oleh konsumen/ nasabah disebabkan oleh kesalahan dari pengendali. Pada akhirnya, hal yang justru dibutuhkan terkait pembenahan atas perlindungan data pribadi ini adalah keseriusan setiap stakeholder, pelaksana transaksi dan regulator yang secara selektif serta berkelanjutan menetapkan personel yang berintegritas dan berhak memiliki hak akses pada setiap perangkat data base Data Pribadi Konsumen/ Nasabah.
Baca juga: Ilham Bintang Putuskan Gugat Indosat Ooredoo dan Commonwealth Bank
Baca juga: Dirjen APTIKA: Tahun 2020 Indonesia Punya UU Perlindungan Data Pribadi