Quo Vadis Hukum Pelindungan Data Pribadi Pada Sektor Perbankan

Satjipto Rahardjo pernah mengungkapkan sebuah adagium hukum yang berbunyi bahwa “hukum untuk manusia, bukan manusia untuk hukum. Satu adagium hukum populer yang relevansinya sangat tinggi apabila dikaitkan dengan perkembangan hukum di tengah disrupsi teknologi saat ini. Keadaan ini juga turut menegaskan adagium hukum populer lainnya, yaitu “het recht hink anchter de feiten aan” atau yang bermakna hukum senantiasa tertinggal dari peristiwa yang diaturnya. Relasi dua adagium ini amat erat apabila dihubungkan dengan eksistensi norma hukum di bidang teknologi sebelum diberlakukannya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Adapun setelah pemberlakuan UU PDP, data pribadi menjadi “jantung pengaturan” dari norma a quo.

Apabila menelisik UU PDP secara lebih lanjut, tidak terdapat spesifikasi sektoral yang diatur dalam ketentuan a quo. Adapun UU PDP mengatur pelindungan data pribadi secara umum. Ditegaskan pula oleh Yosea Iskandar dalam bahasanbertajuk “Mengenali Persetujuan Dalam Pelindungan Data Pribadi Konsumen Sektor JasaKeuangan” bahwa UU PDP hingga saat ini belum memiliki aturan pelaksana yang secara khusus mengatur pelaksanaan masing-masing sektoral. Hal ini mendorong satu penafsiran bahwa UU PDP merupakan pedoman pelindungan data pribadi yang dapat diterapkan pada seluruh sektor yang terkait dengan pelindungan data pribadi, termasuk sektor jasa keuangan (SJK). Berbicara mengenai aspek pelindungan data pribadi pada SJK, Otoritas Jasa Keuangan (OJK) sejalan dengan substansi yang diatur dalam UU PDP turut memberlakukan Peraturan Otoritas Jasa Keuangan No. 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi Oleh Bank Umum (POJK 11/2022).

Ketentuan POJK 11/2022 sendiri pada prinsipnya mengelevasi penggunaan kanal ektronik baik pada layanan operasional ataupun produk dari bank umum. Adapun ketentuan a quo ini semakin menegaskan bahwa bank umum selaku penyelenggara wajib untuk bertanggung jawab atas pelaksanaan pelindungan data pribadi dari subjek data pribadi, yaitu dalam hal ini adalah nasabah. Merujuk pada ketentuan Pasal 1 ayat (4), ayat (5), bank umum dapat bertindak sebagai pengendali data pribadi ataupun sebagai prosesor data pribadi dari nasabah. Berkenaan dengan kedudukannya baik sebagai pengendali data pribadi atau prosesor data pribadi, melekat pula kewajiban bagi bank umum sebagai penyelenggara pemrosesan data pribadi sesuai dengan ketentuan UU PDP. Terkait dengan kewajiban bank umum, ketentuan Pasal 36 UU PDP mengatur bahwa bank umum wajib untuk menjaga kerahasiaan data pribadi. Permasalahan muncul ketika pelindungan data pribadi yang dilakukan oleh bank tersebut apabila terjadi “undercover hacking by artificial intelligence” dari pihak ketiga di luar pihak-pihak yang sah mendapatkan persetujuan dari nasabah sebagai subjek data pribadi.

Tidak dapat dipungkiri bahwa keadaan seperti undercover hacking by artificial intelligence ini menjadi hal yang harus dicegah atau dimitigasi risikonya oleh bank, namun hal ini juga patut untuk dipahami sebagai satu permasalahan serius yang harus direspon oleh regulator. Hal ini tidak lain karena konseptual definisi dari kegagalan pelindungan sebagaimana yang diatur dalam penjelasan ketentuan Pasal 46 ayat (1) UU PDP, yaitu “kegagalan melindungi data pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan data pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap data pribadi yang dikirim, disimpan, atau diproses”. Perlu untuk digarisbawahi, definisi a quo memiliki konsekuensi logis untuk memberikan seluruh tanggung jawab risiko pada bank sebagai pengendali data pribadi dan prosesor data pribadi. Hal ini juga ditegaskan pada ketentuan Pasal 46 ayat (3) UU PDP yang menegaskan bahwa bank selaku pengendali data pribadi dalam hal “kegagalan pelindungan data pribadi” wajib untuk memberitahukan hal terkait kepada masyarakat. Arsitektur UU PDP dalam hal terkait secara tegas menerangkan bahwa kegagalan pelindungan data pribadi adalah seutuhnya pada bank selaku pengendali data pribadi atau prosesor data pribadi.

Setidaknya terdapat dua hal yang perlu untuk diluruskan terkait arsitektur UU PDP yang mengatur kewajiban bank dalam hal kegagalan pelindungan data pribadi. Hal pertama adalah bahwa kegagalan pelindungan data pribadi tidak hanya terjadi akibat peretasan pihak ketiga, tetapi juga akibat kesalahan atau kelalaian dari nasabah terhadap pengelolaan data pribadinya yang terhubung dengan layanan dan produk perbankan yang digunakan atau dapat diaksesnya. Hal kedua adalah bahwa terjadinya kegagalan pelindungan data pribadi idealnya tidak hanya menjadi tanggung jawab dari bank umum, tetapi juga menjadi kewajiban bagi lembaga otoritas yang dibentuk berdasarkan ketentuan UU PDP. Hal ini sejalan dengan ketentuan Pasal 60 UU PDP, yaitu bahwa lembaga dimaksud berwenang untuk melakukan pengawasan terhadap kepatuhan pengendali data pribadi.

Apabila merujuk pada ketentuan tersebut, pengawasan terhadap bank dalam pengendalian atau pemrosesan data pribadi pada prinsipnya telah juga dilakukan oleh lembaga otoritas. Sehingga dalam hal ini, idealnya apabila muncul kegagalan pelindungan data pribadi perlu dilakukan penelusuran terhadap sebab keadaan kegagalan pelindungan data pribadi dan tidak melalui justifikasi normatif. Oleh karena itu, kewajiban bank dalam menjalankan pemrosesan data pribadi berdasarkan hukum sepanjang telah dilaksanakan sesuai dengan mitigasi risiko yang diatur dalam ketentuan UU PDP adalah clear evidence bagi bank umum untuk tidak dijustifikasi mengalami kegagalan pelindungan data pribadi.

Terkait dengan hal ini, terdapat dua rekomendasi yang dapat dikemukakan. Hal pertama adalah dibutuhkan suatu peraturan pelaksana dari UU PDP yang mengatur spesifik kewajiban bank dalam hal kegagalan pelindungan data pribadi dan mitigasi risiko secara keseluruhan. Hal kedua adalah dengan memperjelas alur pengawasan kelembagaan otoritas pelindungan data pribadi dalam pengawasan sektor perbankan. Sehingga dalam hal ini regulasi pelindungan data pribadi tidak hanya melindungi subjek data pribadi, tetapi juga melindungi pengendali data pribadi atau prosesor data pribadi dalam hal ini adalah bank umum.

Kristianus Jimy Pratama

Officer Development Program Information Technology

PT Bank Mandiri (Persero) Tbk.

Komentar

Posting Komentar

Postingan populer dari blog ini

  Membangun (Kembali) Serambi Pejuang Pendidikan Oleh: Kristianus Jimy Pratama, S.H. Salah satu tujuan Negara Kesatuan Republik Indonesia (NKRI) yang termuat pada alinea keempat Pembukaan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 (UUD NRI) Tahun 1945) adalah untuk mencerdaskan kehidupan bangsa. Sehingga oleh karenanya, Pemerintah memiliki tanggung jawab untuk mengusahakan dan menyelenggarakan satu sistem pendidikan nasional yang meningkatkan keimanan dan ketakwaan serta akhlak mulia dalam rangka mencerdaskan kehidupan bangsa ( vide ketentuan Pasal 31 ayat (3) UUD NRI Tahun 1945). Sejalan dengan hal tersebut, ketentuan Pasal 1 angka (2) Undang-Undang Nomor 20 Tahun 2003 tentang Sistem Pendidikan Nasional (UU Sisdiknas) menerangkan bahwa akar dari pendidikan yang berdasarkan Pancasila dan UUD NRI Tahun 1945 adalah nilai-nilai agama, kebudayaan nasional Indonesia, dan tanggap terhadap tuntutan perubahan zaman. Dimana salah satu bentuk terwujudnya pendidikan nasional ya
Baca selengkapnya
Gambar
  Sinar Terang Mata Air Harapan Oleh: Kristianus Jimy Pratama Sungai merupakan bak denyut nadi kehidupan dan sumber harapan bagi setiap anggota masyarakat yang hidup dan tinggal di sekitarnya. Bahkan begitu pentingnya sungai dengan kehidupan manusia, tidak dapat dipungkiri bahwa terdapat beragam prosesi adat di tanah air yang dilakukan pada aliran air sungai yang menandai awal perjalanan dan akhir kehidupan dari seorang manusia. Seperti halnya saya yang lahir di Kota Palembang, ibukota Provinsi Sumatera Selatan yang begitu lekatnya dengan Sungai Musi. Apabila memandang Sungai Musi dari atas Jembatan Ampera, maka tidak dapat dipungkiri riak-riak aliran Sungai Musi begitu tenang. Riak-riak aliran Sungai Musi tersebut sejatinya tidak hanya mengalir di Kota Palembang semata, melainkan juga hingga beberapa kabupaten/kota lainnya di Provinsi Sumatera Selatan. Tetapi apabila menelusuri alirannya menggunakan sampan-sampan kecil ( ‘ ketek ’ dalam Bahasa Palembang) hingga daerah hilir, ki
Baca selengkapnya