Perlindungan Data Pribadi Nasabah dalam Perbankan Digital
-
Bagaimana memastikan perlindungan hak nasabah terkait data pribadi dalam transaksi perbankan digital?
-
BAGAIMANA MEMASTIKAN PERLINDUNGAN HAK NASABAH TERKAIT DATA PRIBADI DALAM TRANSAKSI PERBANKAN DIGITAL?
Muhlisin, S.H., M.H.Perihal perlindungan data pribadi merupakan penjabaran dari jaminan hak bagi warga negara yang secara konstitusional diatur dalam Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 (UUD NRI 1945). Dalam ketentuan tersebut secara jelas mengatur terkait “Hak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta hak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi”. Perlindungan data pribadi tersebut kemudian lebih lanjut diatur dalam Undang-Undang Nomor 27 Tahun 2022 Tentang Pelindungan Data Pribadi (UU No. 27 tahun 2022).
Dalam UU No. 27 tahun 2022 tersebut menyebutkan bahwa “Pelindungan Data Pribadi adalah keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi”. Dalam upaya perlindungan tersebut, kemudian ketentuan Pasal 65 ayat (2) dan Pasal 67 ayat (2) mengatur perihal larangan bagi siapapun mengungkapkan data pribadi yang bukan miliknya. Ketentuan Pasal 67 tersebut menyebutkan bahwa siapapun yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi pihak lain diancam dengan pidana penjara paling lama 4 tahun dan/atau pidana denda paling banyak Rp 4.000.000.000,00 (empat miliar rupiah).
Dalam konteks data pribadi Nasabah, maka dapat disebut pula sebagai bagian dari rahasia bank. Pasal 14 Angka 1 ketentuan Pasal 1 angka 28 Undang-Undang Nomor 4 Tahun 2023 Tentang Pengembangan dan Penguatan Sektor Keuangan (UU No. 4 tahun 2023) menyebutkan, “Rahasia Bank adalah informasi yang berhubungan dengan keterangan mengenai Nasabah Penyimpan dan Simpanan dari Nasabah Penyimpan”. Artinya dalam konteks data pribadi nasabah dapat dimaknai dalam bentuk 2 hal, yakni berkaitan dengan identitas nasabah dan data yang berkaitan dengan nominal simpanan dari nasabah.
Secara tegas kemudian Pasal 14 Angka 37 ketentuan Pasal 40 ayat (1) dan ayat (2) UU No. 4 Tahun 2023 menyebutkan, bahwa Bank dan Pihak Terafiliasi wajib merahasiakan informasi mengenai Nasabah Penyimpan dan simpanannya. Kewajiban merahasiakan informasi tersebut, berlaku juga kepada Nasabah Penyimpan yang menyandang identitas sebagai Nasabah Debitur, Bank dan/atau Pihak Terafiliasi. Dalam penjelasan kebijakan tersebut bahwa kewajiban bank berlaku diantaranya kepada pegawai Bank baik kepada semua pejabat maupun karyawan Bank. Akan tetapi hal tersebut dikecualikan untuk kepentingan-kepentingan atau kebutuhan yang berkenaan dengan kepentingan/kebutuhan ketentuan dalam Pasal 14 Angka 38 ketentuan Pasal 40A UU No. 4 Tahun 2023 yang dirinci secara jelas dalam ketentuan tersebut. Dalam undang-undang yang sama sebagaimana diatur dalam Pasal 40C ketentuan tersebut, larangan untuk membocorkan data rahasia Nasabah Penyimpan dan simpanannya, bukan hanya berlaku bagi Bank dan Pihak Terafiliasi semata tetapi siapapun orang yang mendapatkan informasi mengenai Nasabah Penyimpan dan simpanannya.Jika ketentuan terkait kewajiban merahasiakan informasi mengenai Nasabah Penyimpan dan simpanannya dilanggar, maka tindakan tersebut tergolong sebagai perbuatan tindak pidana. Perbuatan yang dimaksud berlaku pula bagi pihak yang dengan sengaja memaksa Bank atau Pihak Terafiliasi untuk memberikan informasi rahasia bank tanpa izin OJK atau tanpa kewenangan. Ancaman pidana atas tindakan tersebut sebagaimana diatur dalam ketentuan Pasal 14 Angka 51 ketentuan Pasal 47 UU No. 4 Tahun 2023 yang menyebutkan:
(1) Setiap Orang yang tanpa izin dari Otoritas Jasa Keuangan atau tanpa kewenangan sebagaimana dimaksud dalam Undang-Undang ini, dengan sengaja memaksa Bank atau Pihak Terafiliasi untuk memberikan informasi sebagaimana dimaksud dalam Pasal 40 dipidana dengan pidana penjara paling singkat 2 (dua) tahun dan paling lama 4 (empat) tahun dan pidana denda paling sedikit Rp 10.000.000.000,00 (sepuluh miliar rupiah) dan paling banyak Rp 200.000.000.000,00 (dua ratus miliar rupiah).
(2) Anggota dewan komisaris atau yang setara, anggota direksi atau yang setara, pegawai Bank atau Pihak Terafiliasi lainnya yang dengan sengaja memberikan keterangan sebagaimana dimaksud dalam Pasal 40 dipidana dengan pidana penjara paling singkat 2 (dua) tahun dan paling lama 4 (empat) tahun dan pidana denda paling sedikit Rp 4.000.000.000,00 (empat miliar rupiah) dan paling banyak Rp 8.000.000.000,00 (delapan miliar rupiah).
Ketentuan diatas juga berlaku bagi bank digital, yang dimaksud bank digital dalam penjelasan Pasal 14 Angka 4 ketentuan Pasal 7B ayat (1) UU No. 4 Tahun 2023 yaitu Bank yang menyediakan dan menjalankan kegiatan usaha terutama melalui saluran elektronik tanpa kantor fisik selain kantor pusat, atau menggunakan kantor fisik yang terbatas. Ketentuan tersebut lebih lanjut diatur dalam Peraturan Otoritas Jasa Keuangan Republik Indonesia Nomor 12/POJK.03/2021 Tentang Bank Umum (POJK No. 12/POJK.03/2021).
Perlindungan terhadap data nasabah dalam perbankan digital secara terang diatur dalam Pasal 24 ayat (1) huruf e POJK No. 12/POJK.03/2021 yang mengatur bahwa Bank Berbadan Hukum Indonesia (BHI) yang beroperasi sebagai Bank Digital harus memenuhi persyaratan salah satunya menjalankan perlindungan terhadap keamanan data nasabah.
Jika melihat ketentuan Pasal 2 POJK No. 12/POJK.03/2021 yang menyebutkan:
(1) Dalam Setiap pihak yang melakukan kegiatan penghimpunan dana dari masyarakat dalam bentuk simpanan wajib terlebih dahulu memperoleh izin usaha sebagai Bank dari OJK, kecuali apabila kegiatan penghimpunan dana diatur dengan ketentuan peraturan perundang-undangan tersendiri.
(2) Tanpa mengesampingkan sanksi pidana sesuai dengan ketentuan peraturan perundang-undangan, terhadap pihak yang melanggar ketentuan sebagaimana dimaksud pada ayat (1) dikenai sanksi administratif berupa penghentian dan penutupan kegiatan usaha.
Izin usaha tersebut terhadap bank digital bukan sesuatu yang dikecualikan sebagaimana pasal 2 tersebut diatas, bahwa syarat mengenai pendirian BHI sebagai bank digital yang diatur dalam pasal 11 sampai pasal 22 berlaku pula bagi bank digital. Ketentuan tersebut dapat dilihat dalam Pasal 26 ayat (1) POJK No. 12/POJK.03/2021 yang menyebutkan:
(1) Ketentuan mengenai pendirian Bank BHI sebagaimana dimaksud dalam Pasal 11 sampai dengan Pasal 22 berlaku mutatis mutandis terhadap pendirian Bank BHI baru yang akan beroperasi sebagai Bank Digital sebagaimana dimaksud dalam Pasal 25 huruf a kecuali diatur khusus dalam Peraturan OJK ini.Berkaitan dengan rahasia data pribadi nasabah dapat dikatakan pula sebagai data pribadi/informasi pribadi konsumen. Kerahasian data pribadi/informasi tersebut, pada tahun 2014 OJK telah mengeluarkan Surat Edaran No. 14/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data dan/atau Informasi Pribadi Konsumen. Surat edaran tersebut dalam angka romawi II menyebutkan Perlindungan Data Dan/Atau Informasi Pribadi Konsumen sebagai berikut:
- PUJK dilarang dengan cara apapun, memberikan data dan/atau informasi pribadi mengenai Konsumennya kepada pihak ketiga.
- Larangan sebagaimana dimaksud pada angka 1 dikecualikan dalam hal:
a. Konsumen memberikan persetujuan tertulis; dan/atau
b. diwajibkan oleh peraturan perundang-undangan. - Dalam hal Konsumen memberikan persetujuan tertulis sebagaimana dimaksud pada angka 2 huruf a, PUJK dapat memberikan Data dan/atau Informasi Pribadi Konsumen dengan kewajiban memastikan pihak ketiga dimaksud tidak memberikan dan/atau menggunakan Data dan/atau Informasi Pribadi Konsumen untuk tujuan selain yang disepakati antara PUJK dengan pihak ketiga.
- Tata cara persetujuan tertulis dari Konsumen dapat dinyatakan dalam bentuk antara lain:
a. pilihan setuju atau tidak setuju; atau
b. memberikan tanda persetujuan.
dalam dokumen dan/atau perjanjian produk dan/atau layanan. - Dalam hal PUJK yang memperoleh data dan/atau informasi pribadi seseorang dan/atau sekelompok orang dari pihak lain dan PUJK akan menggunakan data dan/atau informasi tersebut untuk melaksanakan kegiatannya, PUJK wajib memiliki pernyataan tertulis bahwa pihak lain telah memperoleh persetujuan tertulis dari seseorang dan/atau sekelompok orang tersebut untuk memberikan data dan/atau informasi pribadi dimaksud kepada pihak manapun termasuk PUJK.
- PUJK wajib menetapkan kebijakan dan prosedur tertulis mengenai penggunaan Data dan/atau Informasi Pribadi Konsumen yang paling kurang memuat:
a. menjelaskan secara tertulis dan/atau lisan kepada Konsumen mengenai tujuan dan konsekuensi dari pemberian persetujuan tertulis serta pemberian dan/atau penyebarluasan Data dan/atau Informasi Pribadi Konsumen sebagaimana dimaksud pada angka 2 huruf a; dan
b. meminta persetujuan tertulis dari Konsumen dalam hal PUJK akan memberikan dan/atau menyebarluaskan Data dan/atau Informasi Pribadi Konsumen kepada pihak ketiga untuk tujuan apapun, kecuali ditetapkan lain dalam peraturan perundang-undangan yang berlaku. - Kebijakan dan prosedur tertulis sebagaimana dimaksud pada angka 6 wajib dituangkan dalam standar prosedur operasional mengenai penggunaan Data dan/atau Informasi Pribadi Konsumen sebagai berikut:
a. pejabat dan/atau petugas PUJK menjelaskan secara tertulis dan/atau lisan mengenai tujuan dan konsekuensi dari persetujuan tertulis dari Konsumen terkait dengan pemberian dan/atau penyebarluasan Data dan/atau Informasi Pribadi Konsumen bahwa:
- hanya akan digunakan untuk kepentingan internal PUJK dan/atau sesuai dengan ketentuan peraturan perundang-undangan; dan/atau
- akan diberikan dan/atau disebarluaskan kepada pihak lain atas persetujuan tertulis Konsumen.
b. dalam hal akan memberikan dan menyebarluaskan kepada pihak lain, maka pejabat dan/atau petugas PUJK: - memberikan penjelasan kepada Konsumen mengenai tujuan dan konsekuensi dari pemberian dan/atau penyebarluasan Data dan/atau Informasi Pribadi Konsumen; dan
- menyampaikan pernyataan tertulis bahwa PUJK telah mendapatkan persetujuan tertulis dari Konsumen.
c. pejabat dan/atau petugas PUJK meminta persetujuan tertulis dari Konsumen sesuai ketentuan sebagaimana dimaksud pada angka 4.
Berhubungan dengan pertanyaan terkait Perlindungan Data Pribadi Nasabah dalam Perbankan Digital dapat disimpulkan sebagai berikut:
- Bahwa ketentuan dalam bank Berbadan Hukum Indonesia (BHI) secara mutatis mutandis berlaku pula pada bank digital baik pada operasional bank dengan pendirian Bank BHI baru sebagai Bank Digital atau dengan pendirian berupa transformasi dari Bank BHI menjadi Bank Digital.
- Bahwa ketentuan sanksi pidana maupun administrasi dalam ketentuan UU No. 7 tahun 1992, UU No. 10 tahun 1998, dan UU No. 4 Tahun 2023 yang mengatur tentang perbankan berlaku pula bagi bank digital.
- Bahwa ketentuan norma yang diatur UU No. 27 tahun 2022 terkait larangan mengungkapkan data pribadi yang bukan miliknya merupakan perbuatan pidana yang diancam dengan hukuman penjara dan/atau denda berlaku pula terhadap pelaku perbankan baik bank digital maupun konvensional.
- Bahwa ketentuan POJK No. 12/POJK.03/2021 telah mengatur entitas perbankan wajib sebelumnya memperoleh izin usaha sebagai Bank dari OJK, jika melanggar ketentuan tersebut maka akan dikenai sanksi administratif berupa penghentian dan penutupan kegiatan usaha, tanpa menghilangkan sanksi pidana jika terdapat perbuatan yang berkaitan dengan pelanggaran Pidana.
- Bahwa sebagaimana poin 4 diatas, Perlindungan terhadap data nasabah dalam perbankan digital ketentuan POJK No. 12/POJK.03/2021 telah mengatur pelaku usaha Bank Berbadan Hukum Indonesia (BHI) yang beroperasi sebagai Bank Digital harus memenuhi persyaratan salah satunya menjalankan perlindungan terhadap keamanan data nasabah.
Share this post