Anda pernah mendapat telepon tiba-tiba dari sebuah perusahaan menawarkan kartu kredit atau asuransi? Darimana si penelpon mendapatkan nomor kontrak pribadi Anda.
Padahal data itu awalnya hanya dicatat dan diberikan konsumen ketika membeli sebuah produk, misalnya kartu debit di sebuah bank. Tak hanya nomor telepon. Email, alamat dan identitas lain pun sudah diketahui pihak lain. Tidak mengherankan banyak warga menjadi korban kejahatan seperti penipuan.
UU Perlindungan Data Pribadi dianggap sebagai salah satu payung hukum untuk melindungi masyarakat dari penyalahgunaan data. Meski belum masuk ke dalam Program Legislasi Nasional (Prolegnas), pemerintah telah melakukan bebeberapa kali pertemuan antar Kementerian. Kementerian Komunikasi dan Informatika yang menjadi leading sector penyusunan RUU ini. Naskah akademik RUU sudah siap. Otoritas Jasa Keuangan (OJK) adalah salah satu lembaga yang dimintai masukan.
Kepala Departemen Perlindungan Konsumen OJK Anto Prabowo mengatakan data pribadi adalah privasi yang diamanatkan langsung oleh konstitusi negara, sehingga perlu diberikan landasan hukum yang lebih teknis. Sudah ada beberapa pengaturan perlindungan data pribadi yang tersebar. Menurut Anto, agar lebih efektif, perlindungan data pribadi sebaiknya dituangkan dalam sebuah Undang-Undang.
Sebagai pihak yang dimintai masukan atas RUU Perlindungan Data Pribadi (RUU PDP), OJK telah menyampaikan sejumlah masukan. Setidaknya, ada 8 masukan OJK yang berhubungan dengan perlindungan konsumen lembaga keuangan.
Pertama, OJK memandang perlu penegasan perlakuan oleh pengendali data yang berbeda terhadap tiga jenis data pribadi yang diatur dalam Pasal 8 ayat (1) RUU. Ketiga jenis itu adalah data nasabah (customer), yakni pihak yang masih memiliki account dan aktif menggunakan produk atau layanan perlaku usaha; konsumen (customer) yakni pihak yang tidak memiliki account namun menggunakan produk atau layanan pelaku usaha; dan bekas nasabah (former customer) yakni pihak yang pernah memiliki account dan sudah tidak menggunakan produk atau layanan pelaku usaha.
Pengawasan terhadap ketiga tiga jenis nasabah tetap harus dilakukan. Menurut Anto, jika nasabah masih tercatat memiliki account maka pengendali data atau pelaku jasa keuangan wajib mengamankan data pribadi tersebut. Jika hanya sekadar walk-in, pelaku jasa keuangan wajib mengamankan data sampai proses penggunaan produk selesai. Tetapi jika nasabah sudah menutup akun, maka pelaku jasa keuangan tidak diperkenankan untuk menyimpan dan menggunakan data nasabah tersebut. “Kalau bukan nasabah, harus ada izin jika ingin menggunakan data pribadinya,” jelasnya.
OJK berpandangan, pengamanan data pribadi nasabah harus punya masa berlaku. Ukurannya ketika si nasabah memutuskan untuk menutup akun Jika nasabah masih tercatat memiliki akun maka pelaku jasa keuangan harus mengamankan data nasabah tersebut.
Adapun mekanisme yang diusulkan oleh OJK adalah pemusnahan data baik secara manual maupun dalam bentuk database. Jika tidak bisa dihilangkan secara keseluruhan, data tersebut dijadikan arsip oleh pelaku jasa keuangan dan tidak bisa digunakan untuk menghindari penyalahgunaan data. Saat ini pun, lanjutnya, OJK sudah melakukan pengawasan agar pelaku usaha tidak sharing data kepada pihak manapun.
Kedua, dalam penjelasan umu RUU PDP perlu dinyatakan secara eksplisit bahwa pengaturan lebih lanjut terkait perlindungan data pribadi konsumen sektor jasa keuangan dilaksanakan oleh OJK selaku otoritas yang berwenang di sektor jasa keuangan. Hal tersebut mempertimbangkan ketentuan kerahasiaan data/informasi dan perlindungan konsumen di sektor jasa keuangan.
Ketiga, dalam Pasal 6 ayat (3) RUU PDP, mengatur data pribadi yang bersifat spesifik yakni agama atau keyakinan, data kesehatan, data biometik, data genetika, kehidupan seksualitas, pandangan politik, catatan kejahatan, data anak, data keuangan pribadi, keterangan tentang kecacatan fisik dan mental, serta data lainnya sesuai dengan ketentuan perundang-undangan. Menurut OJK, perlunya penambahan cakupan data pribadi dengan data pekerjaan.
Keempat, Pasal 17 ayat (3) RUU PDP menyebutkan pengendali data pribadi dilarang memberikan informasi jika pemberian informasi dapat membahayakan keamanan atau kesehatan fisik atau kesehatan mental orang perseorangan selain pemilik data pribadi, mengakibatkan bahaya bagi keamanan, kesehatan fisik atau kesehatan mental pemilik data pribadi yang mengajukan permintaan akses, mengungkapkan data pribadi milik orang perseorangan lainnya, dan bertentangan dengan kepentingan nasional. OJK mengusulkan perlunya penambahan kriteria dampak terhadap larangan pengendali data pribadi memberikan informasi data pribadi yaitu jika berpotensi merugikan secara finansial.
Kelima, untuk Pasal 34 RUU PDP terkait pengendali data pribadi, dalam hal pengendali data pribadi berbentuk badan hukum melakukan penggabungan, pemisahan, peleburan perusahaan atau transaksi bisnis lainnya, maka pengendali tersebut wajib menyampaikan pemberitahuan pengelolaan dan meminta persetujuan ulang dari pemilik data pribadi. OJK mengusulkan pengendali data harus meminta persetujuan ulang dari pemilik data pribadi.
Keenam, Pasal 44 ayat (2) RUU PDP menegaskan penyelesaian sengketa di luar persidangan dapat dilakukan oleh komisi atau lembaga penyelesaian sengketa lainnya yang ditunjuk sesuai dengan kesepakatan para pihak melalui negosiasi, mediasi, konsiliasi, dan arbitrase. Masukan dari OJK atas pasal ini adalah mekanisme penyelesaian sengketa pengelolaan data pribadi konsumen sektor jasa keuangan dilakukan sesuai mekanisme yang berlakudi sektor jasa keuangan, termasuk penyelesaian sengketa di luar pengadilan seperti LAPS dan BPSK.
Ketujuh, Pasal 38 ayat (2) RUU PDP menyebutkan pembentukan pedoman perilaku pengendali data pribadi harus mempertimbangkan sejumlah hal yaitu tujuan pengelolaan data pribadi, prinsip-prinsip pengelolaan data pribadi, masukan dari pemilik data pribadi atau asosiasi perwakilan, dan masukan dari komisi. OJK memberikan masukan bahwa dalam penyusunan pedoman perilaku pengendali data pribadi, perlu dibuka kepada lembaga otoritas lain, maupun lembaga penggiat perlindungan konsumen untuk memberikan masukan.
Delapan, Pasal 42 ayat (2) yang mengatur tugas Komisi. Komisi dibentuk untuk menerima pengaduan, memfasilitasi penyelesaian sengketa, dan melakukan pendampingan terhadap pemilik data pribadi, memantau kepatuhan seluruh pihak yang terkait dengan perlindungan data pribadi, mengambil langkah-langkah perlindungan data pribadi yang digunakan dan merekomendasikan hal-hal yang diperlukan dalam rangka memenuhi standar perlindungan data pribadi. Komisi juga berkoordinasi dengan badan publik dan pelaku usaha dalam upaya merumuskan dam melaksanakan rencana serta kebijaan untuk memperkuat perlindungan data pribadi, dan mempublikasikan secara teratur panduan tentang langkah-langkah pribadi.
Masukan dari OJK adalah dalam melaksanakan tugas dan fungsinya, Komisi perlu berkoordinasi lintas otoritas berwenang agar lebih efektif, komprehensif, dan efisien. “Ini kan baru sekadar masukan dari OJK. Bisa saja diterima atau tidak,” pungkasnya