Secara regulasi, kerahasiaan data pribadi digital nasabah telah diatur dalam berbagai perundang-undangan. Indonesia belum memiliki regulasi mengenai perlindungan data pribadi dalam satu peraturan khusus. Peraturan perlindungan data pribadi termuat terpisah dalam sejumlah peraturan perundang-undangan. Kemudian, aspek perlindungan data pribadi juga masih terdefenisikan secara umum.
(Baca: Fintech Ilegal, Diblokir Satu Tumbuh Seribu)
Salah satu peraturan yang dapat menjadi acuan dalam perlindungan data pribadi digital yaitu UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE) sebagaimana diubah dengan UU No. 19 Tahun 2016. Aturan tersebut hanya mengatur perlindungan data pribadi dalam satu pasal. Ada juga diatur UU No. 24 Tahun 2013 tentang Administrasi Kependudukan (Adminduk).
Sehubungan perlindungan data pribadi dari penggunaan tanpa izin, Pasal 26 UU ITE mensyaratkan bahwa penggunaan setiap data pribadi dalam sebuah media elektronik harus mendapat persetujuan pemilik data bersangkutan. Setiap orang yang melanggar ketentuan ini dapat digugat atas kerugian yang ditimbulkan.
Pasal 26 UU ITE: 1)Penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. 2)Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ini |
Menurut Yosea, pemerintah bersama DPR RI perlu segera mengesahkan UU Perlindungan Data Pribadi yang saat ini sedang dibahas. Menurutnya, UU tersebut dapat menjadi acuan dalam mengklasifikasikan data berdasarkan tingkat kerahasiaannya. “Saat ini memang sudah ada aturan data pribadi, tetapi regulasinya masih tersebar,” jelas Yosea.
Sebelumnya, Deputi Direktur Riset Elsam, Wahyudi Djafar menyebut banyak penyimpangan terjadi karena belum ada perangkat undang-undang yang komprehensif dan memadai untuk melindungi data pribadi. Khususnya terkait dengan hak dari subjek data, dan kewajiban data controller serta data processor di Indonesia.
“Termasuk belum adanya kejelasan kewajiban dan tanggung-jawab dari perusahaan penyedia layanan yang mengumpulkan data pribadi konsumennya,” jelas Wahyudi pada Desember lalu.