Hukum Perlindungan Data Pribadi dalam Transaksi Elektronik
Agus Suprianto, SH., SHI., MSI., CM
Advokat, Dosen Hukum STAI Yogyakarta, Mahasiswa S-3 FSH UIN Sunan Kalijaga
Firma Hukum “TNC & Friends” dalam kurun waktu tahun 2020 s.d 2022, sering dimintai bantuan hukum terkait korban Layanan Pendanaan Bersama Berbasis Teknologi Informasi (LPBBTI) atau Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi (LPMUBTI). Sistem LPBBTI / LPMUBTI bagi masyarakat sering menyebut dengan istilah pinjaman online (Pinjol) atau pendanaan berbasis Financial Technology (fintech).
Fintech merupakan sebuah inovasi pada bidang industri jasa keuangan yang dapat dimanfaatkan melalui penggunaan teknologi, umumnya menawarkan produk yang berfokus pada berbagai mekanisme transaksi keuangan. Perusahaan Fintech Lending yang resmi, berizin dan terdaftar, masuk dalam daftar direktori lembaga Otoritas Jasa Keuangan (OJK). Sementara perusahaan fintech yang tidak resmi dan tidak terdaftar di OJK, sangat banyak dan rata-rata berpola yang sama yaitu menawarkan produk layanan pinjaman.
Para penyelenggara fintech hanya berperan sebagai pihak ketiga yang berkedudukan di tengah pemberi pinjaman dan penerima pinjaman. Kedua belah pihak dalam menggunakan aplikasi fintech, wajib registrasi dan mengisi data diri sebagaimana diminta. Data tersebut mencakup nama, kartu tanda penduduk, nomor induk keluarga, Kartu Keluarga, alamat rumah/kantor, nomor telepon/HP dan rumah, bahkan foto diri pun termasuk. Data pribadi tersebut dimintakan untuk kepentingan proses pendaftaran pada aplikasi fintech yang secara otomatis tersimpan pada database pemilik aplikasi fintech.
Proses aplikasi pinjaman online lazimnya mengikuti tahapan sebagai berikut : a). peminjam masuk ke website, b). melakukan registrasi dan mengisi form aplikasi. c). platform kemudian memverifikasi dan menganalisa kualifikasi pinjaman tersebut. d). pinjaman yang berhasil lolos di posting di website di mana pendana bisa memberikan komitmen dana untuk pinjaman itu.
Sebagaimana telah dijanjikan pada aplikasi Terms and Conditions, data tersebut harus disimpan dengan baik dan tidak diberikan ke pihak lain. Namun sering kali terjadi penyalahgunaan data pribadi konsumen fintech dimana data tersebut dijualbelikan atau diancam disebarluaskan karena wanprestasi atau tidak membayar tepat waktu dan adanya bunga tidak wajar / bunga berbunga.
Terkait ancaman penyalahgunaan atas perlindungan data pribadi konsumen, pada tanggal 17 Oktober 2022 lahir UU No. 27 Tahun 2022 Tentang Pelindungan Data Pribadi (PDP). Data Pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau non-elektronik. Sementara Pelindungan Data Pribadi adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi.
UU PDP berfungsi untuk menjamin hak warga negara atas perlindungan data pribadi, menumbuhkan kesadaran masyarakat dan menjamin pengakuan atau penghormatan atas pentingnya perlindungan data pribadi. Perlindungan data pribadi tercantum dalam Pasal 28G UUD 1945. Perlindungan data pribadi bersifat universal dan diakui banyak negara. Sebelum UU Pelindungan Data Pribadi, pengaturan perlindungan data pribadi diatur melalui UU No. 11 Tahun 2008 jo UU No. 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik, UU No. 39 Tahun 1999 tentang Hak Asasi Manusia, UU No. 14 Tahun 2008 tentang Keterbukaan Informasi Publik, dan UU No. 23 Tahun 2006 jo UU Nomor 24 Tahun 2013.
Menurut Pasal 4 UU PDP, Data Pribadi terdiri yaitu Data Pribadi yang bersifat spesifik dan Data Pribadi yang bersifat umum. Data Pribadi yang bersifat spesifik, meliputi : a). data dan informasi kesehatan. b). data biometric. c). data genetika. d). catatan kejahatan. e). data anak. f). data keuangan pribadi. g). data lainnya sesuai dengan ketentuan peraturan perundang-undangan. Sementara Data Pribadi yang bersifat umum, meliputi : a). nama lengkap. b). jenis kelamin; c). kewarganegaraan. d). agama. e). status perkawinan. dan/ atau f). Data Pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Selanjutnya ada ketentuan larangan penggunaan Data Pribadi, yang diatur dalam Pasal 65 dan 66 UU PDP yaitu : 1). setiap orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi. 2). setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya. 3). setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya. 4). setiap orang dilarang membuat Data Pribadi atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.
Apabila terjadi permasalahan dari larangan penggunaan Data Pribadi, Pasal 67 UU PDP mengatur tindak pidana sebagai berikut :
- Setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5.000.000.000,00 (lima miliar rupiah).
- Setiap orang yang dengan sengaja dan melawan hukum mengunglapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp 4.000.000.000,00 (empat miliar rupiah).
- Setiap orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp 5. 000.000.000,00 (lima miliar rupiah).
Selain tindak pidana tersebut, Pasal 68 – 73 UU PDP mengatur beberapa rumusan pidana lain dengan menerapkan ancaman pidana 5 tahun atau 5 tahun keatas, pidana tambahan berupa denda yang dijatuhkan kepada Korporasi paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan, ganti rugi, pencabutan izin dan pembubaran Korporasi, dan sebagainya.
Akhir tulisan ini, diharapkan lahirnya UU PDP dalam transaksi Pendanaan Berbasis Teknologi Informasi, yaitu dapat meminimalisir risiko, segera terwujud kelembagaan penyelenggaraan perlindungan data yang definitif sebagaimana amanat UU ini, dan dapat melindungi seseorang dari potensi kecurangan Data Pribadi, misal pada momen Pemilu 2024.