Hukumnya Perusahaan Asuransi Transfer Data Pribadi Tanpa Izin

Artikel di bawah ini adalah pemutakhiran dari artikel dengan judul Hukumnya Jika Perusahaan Asuransi Memberikan Data Pribadi Konsumen Tanpa Izin yang dibuat oleh Sovia Hasanah, S.H. dan pertama kali dipublikasikan pada Rabu, 1 Agustus 2018.

Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.

Perusahaan Asuransi

Adapun yang dimaksud dengan asuransi adalah perjanjian antara dua pihak, yaitu perusahaan asuransi dan pemegang polis, yang menjadi dasar bagi penerimaan premi oleh perusahaan asuransi sebagai imbalan untuk:[1]

1. memberikan penggantian kepada tertanggung atau pemegang polis karena kerugian, kerusakan, biaya yang timbul, kehilangan keuntungan, atau tanggung jawab hukum kepada pihak ketiga yang mungkin diderita tertanggung atau pemegang polis karena terjadinya suatu peristiwa yang tidak pasti; atau
2. memberikan pembayaran yang didasarkan pada meninggalnya tertanggung atau pembayaran yang didasarkan pada hidupnya tertanggung dengan manfaat yang besarnya telah ditetapkan dan/atau didasarkan pada hasil pengelolaan dana.

Kami asumsikan bahwa konsumen yang Anda maksud merupakan pemegang polis yang merupakan pihak yang mengikatkan diri berdasarkan perjanjian dengan perusahaan asuransi, perusahaan asuransi syariah, perusahaan reasuransi, atau perusahaan reasuransi syariah untuk mendapatkan pelindungan atau pengelolaan atas risiko bagi dirinya, tertanggung, atau peserta lain.[2]

Perusahaan asuransi adalah perusahaan asuransi umum dan perusahaan asuransi jiwa.[3] Perusahaan asuransi berbentuk badan hukum yang berupa:[4]

1. perseroan terbatas (PT);
2. koperasi; atau
3. usaha bersama yang telah ada pada saat UU 40/2014 ini diundangkan dan dinyatakan sebagai badan hukum.

Sedangkan usaha asuransi umum adalah usaha jasa pertanggungan risiko yang memberikan penggantian kepada tertanggung atau pemegang polis karena kerugian, kerusakan, biaya yang timbul, kehilangan keuntungan, atau tanggung jawab hukum kepada pihak ketiga yang mungkin diderita tertanggung atau pemegang polis karena terjadinya suatu peristiwa yang tidak pasti.[5]

Pelindungan Data Pribadi

Disarikan melalui artikel UU PDP: Landasan Hukum Pelindungan Data Pribadi, yang dimaksud dengan pelindungan data pribadi adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.[6]

Kemudian yang dimaksud dengan data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.[7]

Data pribadi tersebut terdiri atas:[8]

1. Data pribadi yang bersifat spesifik, meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
2. Data pribadi yang bersifat umum, meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Perusahaan Asuransi Sebagai Pengendali Data Pribadi

Ditinjau berdasarkan ketentuan UU PDP, perusahaan asuransi dapat diinterpretasikan sebagai pengendali data pribadi yaitu setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.[9]

Merujuk pada bunyi Pasal 55 ayat (1) UU PDP mengatur bahwa pengendali data pribadi dapat melakukan transfer data pribadi kepada pengendali data pribadi lainnya dalam wilayah hukum negara Republik Indonesia. Adapun transfer termasuk bagian pemrosesan data pribadi.[10]

Pentransferan data pribadi diberitahukan kepada subjek data pribadi.[11] Selain itu, pengendali data pribadi juga harus memperhatikan:

1. Pengendali data wajib memiliki persetujuan yang sah secara eksplisit dari subjek data pribadi melalui persetujuan tertulis atau terekam secara elektronik atau nonelektronik untuk 1 atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi.[12]
2. Klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan data pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari subjek data pribadi dinyatakan batal demi hukum.[13]
3. Dalam melakukan pemrosesan data pribadi, pengendali data pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data pribadi.[14]

Sehingga berdasarkan ketentuan di atas, perusahaan asuransi yang melakukan transfer dan/atau penyebarluasan data pribadi konsumen wajib mendapatkan dan menunjukan bukti persetujuan dari konsumen yang bersangkutan.[15]

Mengapa demikian? Karena konsumen yang merupakan subjek data pribadi berhak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi.[16]

Sanksi Administratif dan Pidana Korporasi

Pengendali data pribadi yang melanggar ketentuan di atas dapat dikenai sanksi administrative yang dijatuhkan lembaga berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif.[17]

Menyambung pertanyaan Anda, mengenai besaran denda yang diberikan adalah paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[18]

Baca juga: Kewajiban-Kewajiban Penting dalam UU PDP dan Sanksinya Jika Melanggar

Selain itu terdapat pula sanksi pidana bagi setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama 4 tahun dan/atau pidana denda paling banyak Rp4 miliar.[19]

Patut Anda perhatikan, dalam hal tindak pidana dilakukan oleh korporasi, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.[20] Pidana yang dijatuhkan terhadap korporasi hanya pidana denda yaitu paling banyak 10 kali dari maksimal pidana denda yang diancamkan.[21]

Selain dijatuhi pidana denda, korporasi dapat dijatuhi pidana tambahan berupa:[22]

1. perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana;
2. pembekuan seluruh atau sebagian usaha korporasi;
3. pelarangan permanen melakukan perbuatan tertentu;
4. penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan Korporasi;
5. melaksanakan kewajiban yang telah dilalaikan;
6. pembayaran ganti kerugian;
7. pencabutan izin; dan/atau
8. pembubaran korporasi.

Selain sanksi administratif dan pidana, disarikan dari Terjadi Pencurian Data Pribadi (Identity Theft)? Tempuh Langkah Ini, konsumen selaku subjek data pribadi juga berhak untuk menggugat dan menerima ganti rugi melalui perbuatan melawan hukum berdasarkan Pasal 1365 KUH Perdata.

Dengan demikian, menjawab pertanyaan Anda, besaran denda yang bisa dikenakan perusahaan asuransi adalah harus memperhatikan ketentuan sebagai berikut.

1. Besaran denda administratif yang diberikan adalah paling tinggi 2 persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.
2. Pidana yang dijatuhkan bagi korporasi hanya pidana denda yaitu paling banyak 10 kali dari maksimal pidana denda yang diancamkan.
3. Konsumen bisa menuntut ganti kerugian dengan mengajukan gugatan perbuatan melawan hukum.

Demikian jawaban dari kami tentang perusahaan asuransi yang memberikan data pribadi konsumen tanpa izin, semoga bermanfaat.

Dasar Hukum:

1. Kitab Undang-Undang Hukum Perdata;
2. Undang-Undang Nomor 40 Tahun 2014 tentang Perasuransian;

3. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.