img

Penyalahgunaan Data Pribadi Pinjol hingga Doxing, 4 Catatan UU Perlindungan Data Pribadi

Ketua DPR Puan Maharani menyebutkan, "Pengesahan RUU PDP akan menjadi tonggak sejarah bagi Indonesia dalam melindungi data pribadi warga negaranya dari segala bentuk kejahatan di era digital sekarang ini".

Apalagi ruang lingkup pengaturan UU PDP termasuk kompleks, tidak hanya sebatas perorangan/korporasi, tapi juga melingkupi pengawasan terhadap badan publik dan juga organisasi internasional.

Harap dicatat! Hadirnya UU PDP ini sebagai pemenuhan salah satu hak asasi manusia berdasarkan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945, yakni menjamin hak warga negara atas pelindungan diri pribadi serta menumbuhkan kesadaran masyarakat dan menjamin pengakuan dan penghormatan atas pentingnya pelindungan data pribadi.

UU PDP yang baru disahkan DPR ini mengatur ketentuan dalam pelindungan data pribadi dalam 16 Bab. Meliputi ketentuan umum, jenis data pribadi, hak subjek data pribadi, pemrosesan data pribadi, kewajiban pengendali data pribadi dan prosesor data pribadi, transfer data pribadi, sanksi administratif, kelembagaan, kerja sama internasional, partisipasi masyarakat, penyelesaian sengketa dan hukum acara, larangan dalam penggunaan data pribadi, ketentuan pidana, ketentuan peralihan, dan ketentuan penutup.

Ruang lingkup UU PDP berlaku untuk pemrosesan data pribadi yang dilakukan oleh orang perseorangan, korporasi, badan publik, dan organisasi internasional.

Namun tidak berlaku untuk pemrosesan data pribadi oleh orang perseorangan dalam kegiatan pribadi atau rumah tangga.

Bagi masyarakat yang selama ini resah atas bocornya data pribadi seperti nomor seluler, hadirnya UU PDP tentu memberi hak konstitusional bagi setiap warga negara untuk memiliki kedaulatan terhadap data pribadi yang melekat pada setiap individu.

Dengan demikian, bentuk penyalahgunaan data pribadi yang kerap meresahkan masyarakat dapat/harus berkurang, seperti pemakaian data pribadi orang lain, yakni NIK ke platform pinjaman online (pinjol) ilegal atau penyebaran data pribadi seseorang untuk tujuan negatif (doxing).

Hal ini selaras dengan pernyataan Ketua DPR bahwa UU PDP akan memberi kepastian hukum agar setiap warga negara, tanpa terkecuali, memiliki kedaulatan atas data pribadi-nya.

"Dengan demikian, tidak ada lagi tangisan rakyat akibat pinjaman daring yang tidak mereka minta, atau doxing yang membuat meresahkan warga," katanya.

Angin segar warga negara

Kenapa UU PDP memberikan angin segar ke setiap warga negara? Karena UU PDP memberikan keseimbangan hak individu dalam upaya mitigasi terhadap kemungkinan penyalahgunaan data pribadi, mulai dari kebocoran data sampai praktik jual-beli data yang kerap terjadi dalam beberapa tahun belakangan.

Lalu, seperti apakah data pribadi itu? Menurut UU PDP, data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Dengan kata lain, pengidentifikasian suatu data yang menunjukkan (identitas) seseorang atau membedakan orang tersebut terhadap orang lain merupakan data pribadi yang melekat pada orang perseorangan.

Bagaimana dengan jenis data pribadi yang diatur dalam UU PDP ini? Menurut UU PDP, data pribadi terdiri atas data pribadi yang bersifat umum dan data pribadi yang bersifat spesifik.

Data pribadi yang bersifat umum meliputi: nama lengkap; jenis kelamin; kewarganegaraan; agama; status perkawinan; dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang antara lain nomor telepon seluler dan alamat protokol internet.

Sedangkan, data pribadi yang bersifat spesifik terdiri dari data dan informasi kesehatan; data biometrik; data genetika; catatan kejahatan; data anak; data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Dalam melakukan pemrosesan data pribadi, ada tiga pihak utama yang terlibat, yaitu pengendali data pribadi, prosesor data pribadi, dan subjek data pribadi.

Pengendali data pribadi adalah setiap orang (orang perseorangan atau korporasi), badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.

Prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.

Sedangkan subjek data pribadi adalah orang perseorangan yang pada dirinya melekat data pribadi.

Saat ini banyak penggunaan data pribadi yang tidak memiliki dasar pemrosesan data pribadi, sehingga terjadi penyalahgunaan data pribadi.

UU PDP secara eksplisit menyebutkan bahwa pemrosesan data pribadi pada dasarnya tidak boleh dilakukan tanpa memiliki dasar pemrosesan data pribadi, yaitu persetujuan yang sah secara eksplisit dari subjek data pribadi, pemenuhan kewajiban perjanjian, pemenuhan kewajiban hukum dari pengendali data pribadi, pemenuhan pelindungan kepentingan vital subjek data pribadi, pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik dan pelaksanaan kewenangan pengendali data pribadi, dan pemenuhan kepentingan yang sah lainnya.

Hak asasi manusia

Di samping kewajiban untuk memiliki dasar pemrosesan data pribadi sebelum melakukan pemrosesan data pribadi seperti pemerolehan, pengumpulan, pengolahan, penganalisisan dan penyimpanan data pribadi, UU PDP hadir menjamin hak-hak subjek data pribadi sebagai bentuk pelindungan diri pribadi sebagai hak asasi manusia. Hak konstitusional tersebut terdiri dari sembilan hak sebagai berikut:

1. Hak mendapatkan informasi

Subjek data pribadi berhak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi.

Contohnya, si Fulan sebagai subjek data pribadi melakukan pendaftaran pada sistem elektronik penyedia layanan pinjaman online (pinjol).

Penyedia layanan pinjol sebagai pengendali data pribadi menyampaikan kepada subjek data pribadi, data apa saja yang mereka kumpulkan, mengapa mereka mengumpulkan data pribadi tersebut, bagaimana mereka memproses/menggunakan data pribadi dan berapa lama masa retensi pemrosesan khususnya penyimpanan data pribadi tersebut.

Ini merupakan salah satu bentuk transparansi terhadap seluruh informasi terkait kegiatan pemrosesan data pribadi

2. Hak memperbarui dan/atau mengkoreksi

Setiap individu sebagai subjek data pribadi berhak melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi tentang dirinya sesuai dengan tujuan pemrosesan data pribadi.

Hak ini dapat digunakan setiap individu untuk memperbaiki suatu data pribadi yang salah agar pemrosesan data pribadi dapat dilakukan dengan tepat oleh Pihak pengendali data sesegera mungkin.

Contohnya, Si Fulan sebagai pengguna aplikasi pinjol ingin memperbarui informasi terkait data pribadinya seperti kontak darurat dan alamat rumah.

Penyedia layanan aplikasi pinjol sebagai pengendali data pribadi harus segera memperbarui dan/atau mengkoreksi data pribadi yang sesuai dan terbarukan.

3. Hak mengakses

Subjek data pribadi berhak mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.

Hak ini dapat digunakan setiap individu untuk memiliki akses agar secara aktif mendapatkan informasi yang diinginkan terkait pemrosesan data pribadinya.

Contohnya, Si Fulan sebagai pengguna aplikasi pinjol mengetahui bahwa daftar surat elektronik masuk pada layanan pinjol periode paling lama tahun 2019 akan dihapus dalam waktu 2 minggu.

Penyedia layanan pinjol sebagai pengendali data pribadi menerima permintaan akses dan salinan data pribadi sebelum waktu tenggat dan merespons permintaan tersebut. Namun, setiap individu tidak memiliki hak akses terkait data pribadi milik orang lain.

4. Hak mengakhiri pemrosesan

Subjek data pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.

Hak ini memberikan ruang kepada subjek data pribadi untuk mengajukan pemberhentian pemrosesan data pribadinya baik dengan alasan kesalahan pada data, ketidakjelasan dasar hukum pemrosesan data pribadi, atau sekadar pembatalan akan pemrosesan dari pihak subjek data pribadi.

Contohnya, Si Fulan sebagai subjek data pribadi pada penggunaan aplikasi pinjol dalam telepon seluler pintar, maka Si Fulan dapat mencabut persetujuan penggunaan kamera, akses galeri dan akses kontak sebagai bentuk mengakhiri pemrosesan data pribadi dan meminta penghapusan segala gambar dan kontak yang telah diambil melalui aplikasi pinjol tersebut.

5. Hak menarik kembali persetujuan

Subjek data pribadi berhak menarik kembali persetujuan pemrosesan data pribadi tentang dirinya yang telah diberikan kepada pengendali data pribadi.

Hak ini menjelaskan bahwa pemrosesan data pribadi dengan persetujuan sebagai dasar pemrosesan data pribadi dapat ditarik kembali oleh subjek data pribadi dan pengendali data pribadi harus mematuhi dan memenuhi hak ini.

Contohnya, Si Fulan sebagai subjek data pribadi melakukan pendaftaran pada aplikasi pinjol. Setelah beberapa waktu, Si Fulan tidak berniat untuk menggunakan aplikasi pinjol tersebut.

Dalam hal ini, penyedia pinjol sebagai pengendali data pribadi wajib menghentikan pemrosesan data pribadi dalam hal subjek data pribadi menarik kembali persetujuan pemrosesan data pribadi.

6. Hak keberatan atas pemrosesan secara otomatis

Subjek data pribadi berhak mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, yang menimbulkan akibat hukum atau berdampak signifikan pada subjek data pribadi.

Hak ini berkaitan dengan tindakan pemrosesan data pribadi yang dilakukan oleh mesin tanpa campur tangan manusia.

Contohnya, Si Fulan sebagai pengguna aplikasi pinjol mengetahui bahwa data pribadi yang dikumpulkan oleh penyedia layanan pinjol diolah secara otomatis dengan suatu algoritma komputer untuk mengklasifikasi, menarik kesimpulan, mempelajari pola, dan lain-lain.

Tindakan automasi ini salah satunya dilakukan untuk tujuan pemrofilan subjek data pribadi yang berguna untuk tujuan komersial.

Dalam hal ini, Si Fulan dapat melakukan pengajuan keberatan atas pemrosesan data pribadinya secara otomatis.

7. Hak menunda atau membatasi pemrosesan data pribadi

Subjek data pribadi berhak menunda atau membatasi pemrosesan data pribadi secara proporsional sesuai dengan tujuan pemrosesan data pribadi.

Dalam hal ini, subjek data pribadi dapat meminta agar pemrosesan data pribadi miliknya diberhentikan sementara.

Pihak pengendali data tidak perlu menghapus data pribadi tersebut sebab pembatasan ini hanya berlangsung sementara.

Contohnya, Si Fulan sebagai pengguna aplikasi pinjol berhak meminta kepada penyedia layanan pinjol sebagai pengendali data untuk hanya memproses data pribadi miliknya sesuai tujuan pemrosesan data pribadi atau berhak untuk menunda aplikasi pinjol untuk memproses data pribadi yang dikombinasikan untuk mengidentifikasi seseorang seperti nomor telepon, alamat surat elektronik dan alamat protokol Internet.

Layanan pinjol juga harus menyediakan opsi untuk bisa berhenti sementara terhadap layanan tersebut.

8. Hak menggugat dan menerima ganti rugi

Subjek data pribadi berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.

Hak ini membuka peluang bagi setiap individu yang mengalami kerugian akibat atas pelanggaran pemrosesan data pribadi yang melekat pada dirinya.

Contohnya, Si Fulan sebagai pengguna aplikasi pinjol dapat melakukan gugatan ganti rugi akibat kerugian yang ditimbulkan kepada penyedia layanan pinjol terhadap pemrosesan data pribadi yang tidak sesuai dengan tujuan awal atau penggunaan data pribadi yang ilegal.

Namun ketentuan terkait implementasi hak menggugat dan menerima ganti rugi dilaksanakan berdasarkan peraturan perundang-undangan yang berlaku.

9. Hak portabilitas data untuk sendiri

Subjek data pribadi berhak mendapatkan dan/atau menggunakan data pribadi tentang dirinya dari pengendali data pribadi dalam bentuk yang sesuai dengan struktur dan/atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.

Subjek data pribadi juga berhak menggunakan dan mengirimkan data pribadi tentang dirinya ke pengendali data pribadi lainnya, sepanjang sistem elektronik yang digunakan dapat saling berkomunikasi secara aman sesuai dengan prinsip pelindungan data pribadi berdasarkan UU PDP.

Hak ini menjamin subjek data pribadi untuk dapat memperoleh data pribadi yang dipegang pihak pengendali data tertentu agar data tersebut dapat dipindahkan untuk diolah oleh dirinya atau pihak pengendali lainnya.

Hak ini menjamin bahwa setiap pengendali tidak merepresentasikan data pribadi yang melekat pada setiap individu dalam struktur dan/atau format data yang sangat sulit atau kompleks untuk dibaca sehingga pihak lain tidak dapat membacanya untuk keperluan mereka.

Data harus disimpan dalam format yang lazim digunakan oleh mesin pada saat itu.

Contohnya, Si Fulan sebagai pengguna aplikasi pinjol ingin meminta seluruh riwayat transaksi keuangan selama 5 tahun ke belakang dari penyedia layanan pinjol.

File yang diterima berbentuk .csv di mana data direpresentasikan dalam kolom-kolom. Data pribadi ini dapat dibuka dengan text-reader umum yang terdapat di sistem elektronik Si Fulan.

Namun perlu menjadi catatan bahwa hak subjek data pribadi dalam ruang lingkup pelindungan data pribadi tidak bersifat absolut.

Hal ini karena hak subjek data pribadi akan tergantung dari jenis dasar pemrosesan data pribadi yang digunakan. Seperti contoh, subjek data pribadi berhak meminta pengendali data pribadi untuk melakukan penghapusan data pribadi jika dasar pemrosesan data pribadi yang digunakan adalah persetujuan atau pemenuhan kewajiban perjanjian.

Namun, data subjek tidak dapat meminta pengendali data pribadi untuk melakukan penghapusan data pribadi jika dasar pemrosesan data pribadi yang digunakan adalah pemenuhan kewajiban hukum dari pengendali data pribadi atau pelaksanaan kewenangan pengendali data pribadi seperti data dan informasi pajak perorangan yang dikelola Ditjen Pajak atau data kependudukan yang dikelola oleh Ditjen Dukcapil yang berperan sebagai pengendali data pribadi.

Empat catatan UU PDP 

Merujuk hal ini, Pertama, perlu dilakukan sosialisasi dan pembentukan budaya dan mindset pelindungan data pribadi bahwa pemrosesan data pribadi tidak boleh dilakukan jika tidak memiliki dasar pemrosesan data pribadi. 

Pelanggaran terhadap ketentuan ini dapat dikenai sanksi administratif, salah satunya berupa denda administratif yang besarannya sangat tergantung dari variabel pelanggaran. 

Kedua, data pribadi wajib dimusnahkan jika diperoleh dan/atau diproses dengan cara melawan hukum atau terdapat permintaan dari subjek data pribadi. 

Penggunaan data pribadi yang bertentangan dengan hukum dapat dikenakan sanksi pidana penjara dan/atau sanksi pidana denda. 

Ketiga, perlu ketentuan lebih lanjut mengenai aturan teknis dari implementasi pelindungan data pribadi dalam peraturan perundangan turunannya sebagai amanat UU PDP khususnya terkait hak-hak subjek data karena akan menimbulkan kebingungan bagi setiap individu pada saat menggunakan hak konstitusionalnya dalam pelindungan data pribadi. 

Terakhir, perlu segera dibentuk otoritas lembaga penyelenggaraan pelindungan data pribadi khususnya dalam hal pengawasan, penegakan hukum administratif terhadap pelanggaran serta fasilitasi sengketa. 

Kunci efektivitas implementasi UU PDP berada pada otoritas lembaga penyelenggaraan pelindungan data, tentunya memiliki independensi sebagai lembaga pengawas, penegakan hukum administratif dan fasilitasi sengketa yang akan memastikan kepatuhan dalam pemrosesan data pribadi serta menjamin pemenuhan hak-hak subjek data priadi. 

Apalagi UU PDP berlaku mengikat tidak hanya bagi korporasi atau sektor privat, tetapi juga badan publik (kementerian/lembaga) dan organisasi internasional. 

Nah BNI Hi-Movers, itulah penjelasan mengenai Doxing dan Undang-Undang yang akan melindungi kita dari kebocoran data. Semoga setelah ini tidak ada lagi data yang bocor ya!

SHARE: