DATA PRIBADI KONSUMEN FINTECH
Oleh SITI YUNIARTI (Desember 2018)
Di tengah maraknya pertumbuhan Fintech, terutama peer to peer landing, muncul pemberitaan pada pertengahan tahun 2018 yang memuat cara penagihan oleh salah satu Penyelenggara Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi (“P2PL”) terhadap konsumen penerima pinjaman yang terlambat atau gagal bayar dengan cara mengakses kontak ponsel konsumen. Dalam publikasi yang disampaikan YLKI, cara penagihan merupakan salah satu yang dikeluhkan oleh peminjam P2PL, selain perihal tingginya suku bunga (lihat tulisan berjudul:Konsumen Fintech). Dalam kasus tersebut, setidaknya ada 2 hal yang menjadi perhatian, yakni perihal cara penagihan dan penggunaan data pribadi. Dalam kesempatan ini, fokus pembahasan adalah perihal data konsumen, khususnya data penerima pinjaman pada layanan P2PL.
Dalam transaksi berbasis teknologi informasi, data merupakan salah satu topik krusial. Berdasarkan penelitian Lembaga Studi dan Advokasi Masyarakat (Elsam) tahun 2016, setidaknya ada 30 aturan di Indonesia yang mengatur mengenai data. Namun, sampai dengan saat ini aturan yang khusus mengenai perlindungan data pribadi baru sebatas RUU Perlindungan Data Pribadi. Terkait dengan layanan keuangan berbasis teknologi informasi, OJK memiliki aturan mengenai perlindungan data pribadi sebagaimana tercantum dalam Peraturan OJK No.1/POJK.07/2013 tentang Perlindungan Konsumen Sektor Jasa Keuangan (POJK Perlindungan Konsumen) yang ditindaklanjuti dengan Surat Edaran OJK No.014/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data dan/atau Informasi Pribadi Konsumen (SEOJK Data Pribadi Konsumen). Secara lebih spesifik, pengaturan data konsumen dalam P2PL di atur pula dalam Peraturan OJK No.77/POJK.01/2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi (POJK Layanan P2PL). Dalam perlindungan konsumen sektor jasa keuangan, kerahasian dan keamanan data/informasi konsumen merupakan salah satu prinsip yang digunakan.
Data pribadi dibagi menjadi dua kategori, yaitu data pribadi non-sensitif dan data pribadi sensitif. Perbedaan data non-sensitif dan data sensitif terletak pada tingkat kebahayaan yang akan dirasakan kepada individu jika terjadi pengolahan data tanpa persetujuan. Data sensitif biasanya mendapatkan perlindungan hukum yang lebih besar. Data tersebut di antaranya informasi yang menyangkut etnisitas, pendapat politik, agama dan kepercayaan, keanggotaan dari organisasi perdagangan, data yang berhubungan dengan kesehatan dan kehidupan seks seseorang (Shinta Dewi Rosadi;2009). Setiap negara memiliki ketentuan berbeda mengenai lingkup data yang dimaksud. Dalam RUU Perlindungan Data Pribadi, rumusan data pribadi adalah “setiap data tentang kehidupan seseorang, baik yang teridentifikasi dan/atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik dan/atau non-elektronik”. Adapun lingkup data dan/atau informasi pribadi konsumen dalam SEOJK Data Pribadi Konsumen adalah:
Perseorangan | Korporasi |
a. Nama;
b. Alamat; c. Tanggal lahir dan/atau umur; d. Nomor telephone;dan/atau e. Nama ibu kandung |
a. Nama;
b. Alamat; c. Nomor telepon; d. Susunan direksi dan komisaris termasuk dokumen identitas berupa KTP/paspor/ijin tinggal.dan/atau e. Susunan pemegang saham. |
Pada dasarnya penyelenggara P2PL, sebagaimana pelaku usaha jasa keuangan lainnya, diberikan kewajiban untuk menjaga kerahasiaan data konsumen sejak data diperoleh sampai dengan data tersebut dimusnahkan. Penggunaan dan pengungkapan data konsumen oleh penyelenggara P2PL, termasuk pengungkapan pada pihak ketiga, hanya dapat dilakukan berdasarkan persetujuan konsumen. Pengecualian atas persetujuan dilakukan dalam hal pengungkapan dalam rangka pelaksanaan peraturan perundang-undangan. Hal tersebut sejalan pula dengan ketentuan dalam Pasal 26 UU ITE sebagai berikut:
Kecuali ditentukan lain oleh Peraturan Perundang-undangan, penggunaan, setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.
Persetujuan diberikan secara tertulis oleh konsumen yang dapat dilakukan dalam bentuk antara lain pilihan setuju/ tidak setuju atau memberikan tanda persetujuan dalam dokumen dan/atau perjanjian produk dan/atau layanan. Apakah persetujuan yang diberikan tersebut dapat dibatalkan atau diubah? Persetujuan konsumen tersebut dapat dibatalkan atau diubah secara elektronik dalam bentuk dokumen elektronik (lihat Pasal 39 POJK Layanan P2PL). Dalam hal terjadi pengungkapan pada pihak ketiga, wajib dipastikan bahwa data tersebut digunakan sesuai dengan tujuan pengungkapan yang disepakati dan tentunya dilakukan dengan persetujuan konsumen.
Pelanggaran terhadap ketentuan mengenai kerahasian data oleh penyelenggara P2PL dikenakan sanksi administrasi sebagaimana diatur dalam POJK Layanan P2PL dari mulai peringatan tertulis, denda, pembatasan kegiatan usaha, dan pencabutan ijin. Dari sisi konsumen, berdasarkan Pasal 26 ayat (2) UU ITE, setiap orang yang dilanggar haknya berdasarkan ketentuan dalam ayat (1) (baca:penggunaan informasi melalui media elektronik yang menyangkut data pribadi) dapat mengajukan gugatan atas kerugian yang timbul.
Dalam kode etik yang dikeluarkan oleh Asosiasi Fintech Indonesia, contoh kegiatan pengumpulan, penyimpanan dan penggunaan data pribadi konsumen yang dilakukan tanpa itikad baik, antara lain:
- Meminta data pribadi dari pengguna meskipun belum ada layanan yang dapat diberikan kepada konsumen tersebut;
- Mengumpulkan data pribadi yang tidak relevan dengan layanan yang akan diberikan kepada pengguna;
- Mengumpulkan data pribadi di luar data yang sudah disetujui untuk diberikan oleh pengguna;
- Mengunakan data pribadi untuk tujuan yang belum diberitahukan kepada pengguna;dan
- Mengumpulkan dan menyimpan data pribadi meskipun penyelenggara belum memiliki sistem elektronik yang handal untuk melakukan kegiatan tersebut.
Untuk peningkatan perlindungan data konsumen, selain perlunya monitoring dari OJK terhadap pelaksanaan ketentuan mengenai perlindungan data ini serta peran aktif asosiasi terkait terhadap kepatuhan anggota asosiasi, konsumen perlu pula untuk membaca dan memahami klausula-klausula perjanjian layanan dan/atau ketentuan lainnya terkait pengumpulan, pemanfaatan dan pengungkapan data pribadi konsumen sebelum setuju menggunakan jasa layanan yang disediakan oleh penyelenggara. Guna menunjang pemahaman konsumen terhadap perlindungan data, OJK beserta pihak terkait lainnya juga perlu untuk meningkatkan literasi konsumen terkait layanan keuangan berbasis teknologi informasi ini. (***)
REFERENSI:
Shinta Dewi Rosadi, “Cyber Law : Perlindungan Privasi atas Informasi Pribadi dalam E-Commerce menurut Hukum Internasional”, (Bandung: Widya Padjadjaran, 2009)
Published at :