Quo Vadis Hukum Pelindungan Data Pribadi Pada Sektor Perbankan
Satjipto Rahardjo pernah
mengungkapkan sebuah adagium hukum yang berbunyi bahwa “hukum untuk manusia,
bukan manusia untuk hukum. Satu adagium hukum populer yang relevansinya sangat
tinggi apabila dikaitkan dengan perkembangan hukum di tengah disrupsi teknologi
saat ini. Keadaan ini juga turut menegaskan adagium hukum populer lainnya,
yaitu “het recht hink anchter de feiten
aan” atau yang bermakna hukum senantiasa tertinggal dari peristiwa yang
diaturnya. Relasi dua adagium ini amat erat apabila dihubungkan dengan
eksistensi norma hukum di bidang teknologi sebelum diberlakukannya
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
Adapun setelah pemberlakuan UU PDP, data pribadi menjadi “jantung pengaturan”
dari norma a quo.
Apabila menelisik UU PDP secara
lebih lanjut, tidak terdapat spesifikasi sektoral yang diatur dalam ketentuan a quo. Adapun UU PDP mengatur pelindungan
data pribadi secara umum. Ditegaskan pula oleh Yosea Iskandar dalam bahasanbertajuk “Mengenali Persetujuan Dalam Pelindungan Data Pribadi Konsumen Sektor JasaKeuangan” bahwa UU PDP hingga saat ini belum memiliki aturan pelaksana yang
secara khusus mengatur pelaksanaan masing-masing sektoral. Hal ini mendorong
satu penafsiran bahwa UU PDP merupakan pedoman pelindungan data pribadi yang
dapat diterapkan pada seluruh sektor yang terkait dengan pelindungan data
pribadi, termasuk sektor jasa keuangan (SJK). Berbicara mengenai aspek pelindungan
data pribadi pada SJK, Otoritas Jasa Keuangan (OJK) sejalan dengan substansi
yang diatur dalam UU PDP turut memberlakukan Peraturan Otoritas Jasa Keuangan
No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi Oleh Bank Umum
(POJK 11/2022).
Ketentuan POJK 11/2022 sendiri pada
prinsipnya mengelevasi penggunaan kanal ektronik baik pada layanan operasional ataupun
produk dari bank umum. Adapun ketentuan a
quo ini semakin menegaskan bahwa bank umum selaku penyelenggara wajib untuk
bertanggung jawab atas pelaksanaan pelindungan data pribadi dari subjek data
pribadi, yaitu dalam hal ini adalah nasabah. Merujuk pada ketentuan Pasal 1
ayat (4), ayat (5), bank umum dapat bertindak sebagai pengendali data pribadi
ataupun sebagai prosesor data pribadi dari nasabah. Berkenaan dengan
kedudukannya baik sebagai pengendali data pribadi atau prosesor data pribadi,
melekat pula kewajiban bagi bank umum sebagai penyelenggara pemrosesan data
pribadi sesuai dengan ketentuan UU PDP. Terkait dengan kewajiban bank umum,
ketentuan Pasal 36 UU PDP mengatur bahwa bank umum wajib untuk menjaga
kerahasiaan data pribadi. Permasalahan muncul ketika pelindungan data pribadi
yang dilakukan oleh bank tersebut apabila terjadi “undercover hacking by artificial intelligence” dari pihak ketiga di
luar pihak-pihak yang sah mendapatkan persetujuan dari nasabah sebagai subjek
data pribadi.
Tidak dapat dipungkiri bahwa
keadaan seperti undercover hacking by
artificial intelligence ini menjadi hal yang harus dicegah atau dimitigasi
risikonya oleh bank, namun hal ini juga patut untuk dipahami sebagai satu
permasalahan serius yang harus direspon oleh regulator. Hal ini tidak lain
karena konseptual definisi dari kegagalan pelindungan sebagaimana yang diatur
dalam penjelasan ketentuan Pasal 46 ayat (1) UU PDP, yaitu “kegagalan melindungi data pribadi seseorang
dalam hal kerahasiaan, integritas, dan ketersediaan data pribadi, termasuk
pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah
pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah
terhadap data pribadi yang dikirim, disimpan, atau diproses”. Perlu untuk
digarisbawahi, definisi a quo
memiliki konsekuensi logis untuk memberikan seluruh tanggung jawab risiko pada
bank sebagai pengendali data pribadi dan prosesor data pribadi. Hal ini juga
ditegaskan pada ketentuan Pasal 46 ayat (3) UU PDP yang menegaskan bahwa bank
selaku pengendali data pribadi dalam hal “kegagalan pelindungan data pribadi”
wajib untuk memberitahukan hal terkait kepada masyarakat. Arsitektur UU PDP
dalam hal terkait secara tegas menerangkan bahwa kegagalan pelindungan data
pribadi adalah seutuhnya pada bank selaku pengendali data pribadi atau prosesor
data pribadi.
Setidaknya terdapat dua hal yang
perlu untuk diluruskan terkait arsitektur UU PDP yang mengatur kewajiban bank
dalam hal kegagalan pelindungan data pribadi. Hal pertama adalah bahwa
kegagalan pelindungan data pribadi tidak hanya terjadi akibat peretasan pihak
ketiga, tetapi juga akibat kesalahan atau kelalaian dari nasabah terhadap
pengelolaan data pribadinya yang terhubung dengan layanan dan produk perbankan
yang digunakan atau dapat diaksesnya. Hal kedua adalah bahwa terjadinya
kegagalan pelindungan data pribadi idealnya tidak hanya menjadi tanggung jawab
dari bank umum, tetapi juga menjadi kewajiban bagi lembaga otoritas yang
dibentuk berdasarkan ketentuan UU PDP. Hal ini sejalan dengan ketentuan Pasal 60
UU PDP, yaitu bahwa lembaga dimaksud berwenang untuk melakukan pengawasan
terhadap kepatuhan pengendali data pribadi.
Apabila merujuk pada ketentuan
tersebut, pengawasan terhadap bank dalam pengendalian atau pemrosesan data
pribadi pada prinsipnya telah juga dilakukan oleh lembaga otoritas. Sehingga
dalam hal ini, idealnya apabila muncul kegagalan pelindungan data pribadi perlu
dilakukan penelusuran terhadap sebab keadaan kegagalan pelindungan data pribadi
dan tidak melalui justifikasi normatif. Oleh karena itu, kewajiban bank dalam
menjalankan pemrosesan data pribadi berdasarkan hukum sepanjang telah
dilaksanakan sesuai dengan mitigasi risiko yang diatur dalam ketentuan UU PDP
adalah clear evidence bagi bank umum
untuk tidak dijustifikasi mengalami kegagalan pelindungan data pribadi.
Terkait dengan hal ini, terdapat dua rekomendasi yang dapat dikemukakan. Hal pertama adalah dibutuhkan suatu peraturan pelaksana dari UU PDP yang mengatur spesifik kewajiban bank dalam hal kegagalan pelindungan data pribadi dan mitigasi risiko secara keseluruhan. Hal kedua adalah dengan memperjelas alur pengawasan kelembagaan otoritas pelindungan data pribadi dalam pengawasan sektor perbankan. Sehingga dalam hal ini regulasi pelindungan data pribadi tidak hanya melindungi subjek data pribadi, tetapi juga melindungi pengendali data pribadi atau prosesor data pribadi dalam hal ini adalah bank umum.
Kristianus Jimy Pratama
Officer Development Program Information Technology
PT Bank Mandiri (Persero) Tbk.
Komentar
Posting Komentar