KlinikBerita
New
Hukumonline Stream
Data PribadiJurnal
Personalisasi
Halo,
Anda,

Segera Upgrade paket berlangganan Anda.
Dapatkan fitur lebih lengkap
Profil
Ada pertanyaan? Hubungi Kami
Bahasa
id-flag
en-flag

Pelindungan Data Pribadi dalam Penyelenggaraan Fintech

Share
Teknologi

Pelindungan Data Pribadi dalam Penyelenggaraan Fintech

Pelindungan Data Pribadi dalam Penyelenggaraan <i>Fintech</i>
Nafiatul Munawaroh, S.H., M.HSi Pokrol

Bacaan 10 Menit

Pelindungan Data Pribadi dalam Penyelenggaraan <i>Fintech</i>

PERTANYAAN

Sejauh mana pencegahan penyalahgunaan data pribadi yang dilakukan penyelenggara fintech perihal terjadi penyalahgunaan data pribadi dalam transaksi pinjam meminjam uang? Contoh menggunakan data orang lain untuk meminjam uang di fintech. Adakah upaya yang bisa dilakukan jika penyelenggara fintech menyalahgunakan data pribadi tanpa izin?

DAFTAR ISI

    INTISARI JAWABAN

    Penyelenggara fintech memiliki kewajiban dalam memproses data pribadi seperti adanya persetujuan menggunakan/memproses data pribadi serta tersedianya mekanisme autentifikasi, verifikasi, dan validasi untuk mengakses atau memproses data pribadi maupun transaksi keuangan.

    Lantas, bagaimana jika penyelenggara fintech melakukan pelanggaran atas pemrosesan data pribadi? Apa langkah hukum yang dapat ditempuh?

     

    Penjelasan lebih lanjut dapat Anda baca ulasan di bawah ini.

    ULASAN LENGKAP

    Terima kasih atas pertanyaan Anda.

     

    Artikel di bawah ini adalah pemutakhiran dari artikel dengan judul Perlindungan Data Pribadi dalam Penyelenggaraan Fintech yang dibuat oleh Dimas Hutomo, S.H. dan pertama kali dipublikasikan pada Kamis, 31 Januari 2019.

    KLINIK TERKAIT

    Tak Mampu Lunasi Kredit Online, Bisa Dipidana?

    Tak Mampu Lunasi Kredit <i>Online</i>, Bisa Dipidana?

     

    Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.

    Belajar Hukum Secara Online dari Pengajar Berkompeten Dengan Biaya TerjangkauMulai DariRp. 149.000

     

    Penggunaan Data Pribadi di Fintech

    Ketentuan mengenai penyelenggaraan financial technology atau fintech yang memberikan layanan pinjam meminjam uang saat ini diatur di dalam POJK 10/2022.

    Pendanaan berbasis fintech disebut sebagai layanan pendanaan bersama berbasis teknologi informasi (“LPBBTI”) yaitu penyelenggaraan layanan jasa keuangan untuk mempertemukan pemberi dana dengan penerima dana dalam melakukan pendanaan konvensional atau berdasarkan prinsip syariah secara langsung melalui sistem elektronik dengan menggunakan internet.[1]

    Dalam LPBBTI ini termasuk juga layanan pinjam meminjam uang atau dalam masyarakat juga dikenal sebagai pinjaman online (pinjol). Sebab, definisi pendanaan dalam POJK 10/2022 adalah penyaluran dana dari pemberi dana kepada penerima dana dengan suatu janji yang akan dibayarkan atau dikembalikan sesuai dengan jangka waktu tertentu.[2]

    Adapun penyelenggara LPBBTI adalah badan hukum Indonesia yang menyediakan, mengelola, dan mengoperasikan LPBBTI baik secara konvensional atau berdasarkan prinsip syariah.[3]

    Penyelenggaraan fintech atau LPBBTI tersebut tidak lepas dari penggunaan data pribadi pengguna jasanya. Salah satunya adalah dalam perjanjian pendanaan antara pemberi dana dan penerima dana yang dituangkan dalam suatu dokumen elektronik wajib memuat minimal 14 poin, yaitu:[4]

    1. nomor perjanjian;
    2. tanggal perjanjian;
    3. identitas para pihak;
    4. hak dan kewajiban para pihak;
    5. jumlah pendanaan;
    6. manfaat ekonomi pendanaan;
    7. nilai angsuran;
    8. jangka waktu;
    9. objek jaminan, jika ada;
    10. biaya terkait;
    11. ketentuan mengenai denda, jika ada;
    12. penggunaan data pribadi;
    13. mekanisme penyelesaian sengketa; dan
    14. mekanisme penyelesaian hak dan kewajiban sesuai dengan ketentuan peraturan perundang-undangan jika penyelenggara tidak dapat melanjutkan kegiatan operasionalnya.

    Jika merujuk pada ketentuan data pribadi dalam UU PDP, dalam perjanjian pendanaan tersebut memuat data pribadi, baik yang bersifat spesifik maupun yang bersifat umum. Data pribadi yang bersifat umum yaitu terkait dengan identitas para pihak.[5]

    Sedangkan data pribadi yang bersifat spesifik yaitu mengenai data keuangan pribadi.[6] Menurut hemat kami, perjanjian pendanaan tersebut berisi informasi mengenai data keuangan, baik data keuangan pemberi maupun penerima dana, yang wajib dilindungi oleh penyelenggara fintech.

    Selain itu, penyelenggara fintech juga dapat melakukan kerja sama pertukaran data dalam perjanjian kerahasiaan data yang wajib dilaksanakan sesuai dengan ketentuan perundang-undangan mengenai data pribadi.[7] Analisis perihal pertukaran data pribadi antar perusahaan, dapat Anda simak dalam artikel Sharing Data Pribadi antar Perusahaan, Bolehkah?

     

    Kewajiban Pelindungan Data Pribadi oleh Penyelenggara Fintech

    Penyelenggara fintech dalam UU PDP dapat dikategorikan sebagai pengendali data pribadi karena tergolong sebagai korporasi.[8] Yang dimaksud dengan korporasi adalah kumpulang orang dan/atau kekayaan yang terorganisasi baik berbadan hukum maupun tidak berbadan hukum.[9] Sebagaimana dijelaskan sebelumnya, penyelenggara fintech LPBBTI adalah badan hukum Indonesia, yang juga digolongkan sebagai pengendali data pribadi berbentuk korporasi dalam UU PDP.

    Pada prinsipnya, bentuk pelindungan data pribadi pinjaman online yaitu penyelenggara selaku pengendali data pribadi wajib mendapatkan persetujuan dari pemilik data pribadi/subjek data pribadi yang sah secara eksplisit dari subjek data pribadi/pemilik identitas ketika melakukan pemrosesan data pribadi.[10]

    Persetujuan pemrosesan data pribadi pun harus dilakukan melalui persetujuan tertulis atau terekam baik secara elektronik atau nonelektronik yang mempunyai kekuatan hukum yang sama. Jika tidak, persetujuan dinyatakan batal demi hukum.[11]

    Pemrosesan data pribadi yang dilakukan oleh penyelenggara fintech juga wajib dilakukan sesuai dengan prinsip-prinsip sebagai berikut.[12]

    1. Pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
    2. Pemrosesan data pribadi dilakukan sesuai dengan tujuannya;
    3. Pemrosesan data pribadi dilakukan dengan menjamin hak subjek data pribadi;
    4. Pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
    5. Pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan dan pengungkapan yang tidak sah, pengubahan, penyalahgunaan, perusakan, dan/atau penghilangan data pribadi;
    6. Pemrosesan data pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan pelindungan data pribadi;
    7. Data pribadi dimusnahkan/dihapus setelah masa retensi berakhir berdasarkan permintaan subjek data pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
    8. Pemrosesan data pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.

    Adapun menurut POJK 10/2022, penyelenggara fintech ketika memperoleh dan menggunakan data pribadi juga wajib mendapatkan persetujuan dari pemilik data pribadi.[13] Menurut Pasal 44 ayat (1) POJK 10/2022, penyelenggara fintech dalam melindungi data pribadi wajib:

    1. menjaga kerahasiaan, keutuhan, dan ketersediaan data pribadi, data transaksi, dan data keuangan yang dikelolanya sejak data diperoleh hingga data tersebut dimusnahkan;
    2. memastikan tersedia proses autentifikasi, verifikasi, dan validasi yang mendukung kenirsangkalan dalam mengakses, memproses, dan mengeksekusi data pribadi, pada transaksi dan data keuangan yang dikelolanya;
    3. menjamin perolehan, penggunaan, pemanfaatan dan pengungkapan data pribadi, pada transaksi dan data keuangan yang diperoleh penyelenggara berdasarkan persetujuan pemilik data, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
    4. memberitahukan secara tertulis kepada pemilik data pribadi, data transaksi, dan data keuangan jika terjadi kegagalan pelindungan kerahasiaan data pribadi pada transaksi dan data keuangan yang dikelolanya.

    Dengan demikian, menjawab pertanyaan Anda perihal pelindungan data pribadi fintech utamanya terkait pencegahan penyalahgunaan data pribadi dapat kami sampaikan bahwa penyelenggara fintech wajib mendapat persetujuan dari pemilik data pribadi terlebih dahulu ketika akan melakukan pemrosesan data. Selain itu, penyelenggara wajib memastikan adanya proses autentifikasi, verifikasi, dan validasi saat memproses data.

     

    Langkah Hukum Jika Data Pribadi Disalahgunakan

    1. Melaporkan ke Lembaga Terkait

    Penyelenggara fintech yang menggunakan atau memproses data pribadi tanpa persetujuan pemiliknya dapat dikenai sanksi administratif berdasarkan UU PDP dan POJK 10/2022.

    Anda dapat melaporkan kepada Otoritas Jasa Keuangan (“OJK”) jika tidak ada persetujuan pemrosesan data pribadi atau penyelenggara fintech tidak mematuhi prinsip-prinsip sebagaimana diatur di dalam Pasal 44 ayat (1) POJK 10/2022.

    Adapun sanksi administratif bagi penyelenggara fintech tersebut dapat berupa peringatan tertulis yang dapat disertai dengan pemblokiran sistem elektronik penyelenggara, pembatasan kegiatan usaha dan/atau pencabutan izin yang akan dilakukan oleh OJK.[14]

    Sedangkan dalam UU PDP, Anda dapat melaporkan ke lembaga penyelenggaraan pelindungan data pribadi yang akan ditetapkan oleh presiden.[15] Adapun sanksi administratif yang ditetapkan UU PDP adalah:[16]

    1. peringatan tertulis;
    2. penghentian sementara semua kegiatan pemrosesan data pribadi;
    3. penghapusan atau pemusnahan data pribadi; dan/atau
    4. denda administratif dikenakan paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[17]
    1. Menggugat Secara Perdata

    Salah satu hak subjek data pribadi dalam UU PDP adalah menggugat pengendali data pribadi dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi berdasarkan ketentuan peraturan perundang-undangan.[18]

    Mengatur hal serupa, berdasarkan Pasal 26 ayat (1) UU 19/2016 berbunyi:

    Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.

    Maka, setiap orang yang dilanggar haknya tersebut dapat mengajukan gugatan atas kerugian yang ditimbulkan.[19]

    Untuk mengajukan gugatan atas penyalahgunaan data pribadi, maka pihak yang dirugikan dapat mengajukan gugatan perbuatan melawan hukum dalam Pasal 1365 KUH Perdata.

    1. Melaporkan Secara Pidana

    Berkaitan dengan contoh penyalahgunaan data pribadi berupa menggunakan data orang lain untuk meminjam uang di fintech sebagaimana Anda tanyakan, Anda dapat membaca ulasan selengkapnya dalam artikel Jerat Pidana Menyalahgunakan KTP Orang Lain untuk Pinjol.

    Adapun, berdasarkan UU PDP, apabila penyelenggara fintech melakukan penyalahgunaan data pribadi, maka dapat pula dilaporkan secara pidana.

    Korporasi pada dasarnya dilarang memperoleh/mengumpulkan, mengungkapkan dan/atau menggunakan data pribadi yang bukan miliknya secara melawan hukum.[20]

    Jika hal tersebut dilanggar, maka akan dijerat pidana berdasarkan Pasal 67 UU PDP berupa pidana penjara dan/atau pidana denda. Selain itu, dapat pula dijatuhi pidana tambahan berupa perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil dari tindak pidana dan pembayaran ganti kerugian.[21]

    Terhadap tindak pidana yang dilakukan korporasi, maka pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat dan/atau korporasi. Adapun untuk pidana denda yang dijatuhkan kepada korporasi maksimal 10 kali maksimal denda yang diancamkan.[22]

    Korporasi juga dapat dijatuhi pidana tambahan berupa:[23]

    1. perampasan keuntungan dan/atau harta kekayaan yang diperoleh atau hasil tindak pidana;
    2. pembekuan seluruh atau sebagian usaha korporasi;
    3. pelarangan permanen melakukan perbuatan tertentu;
    4. penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi;
    5. melaksanakan kewajiban yang telah dilalaikan;
    6. pembayaran ganti kerugian;
    7. pencabutan izin; dan/atau
    8. pembubaran korporasi.

    Mengenai prosedur melaporkan tindak pidana ke polisi, dapat disimak dalam artikel Mau Melaporkan Tindak Pidana ke Polisi? Begini Prosedurnya.

    Perkaya riset hukum Anda dengan analisis hukum terbaru dwi bahasa, serta koleksi terjemahan peraturan yang terintegrasi dalam Hukumonline Pro, pelajari lebih lanjut di sini.

    Demikian jawaban dari kami, semoga bermanfaat.

     

    Dasar Hukum:

    1. Kitab Undang-Undang Hukum Perdata;
    2. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik;
    3. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi;
    4. Peraturan Otoritas Jasa Keuangan Nomor 10/POJK.05/2022 Tahun 2022 tentang Layanan Pendanaan Bersama Berbasis Teknologi Informasi.

    [1] Pasal 1 angka 1 Peraturan Otoritas Jasa Keuangan Nomor 10/POJK.05/2022 Tahun 2022 tentang Layanan Pendanaan Bersama Berbasis Teknologi Informasi (“POJK 10/2022”)

    [2] Pasal 1 angka 3 POJK 10/2022

    [3] Pasal 1 angka 8 POJK 10/2022

    [4] Pasal 32 ayat (1) dan (2) POJK 10/2022

    [5] Pasal 4 ayat (3) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”)

    [6] Pasal 4 ayat (2) huruf f UU PDP

    [7] Pasal 40 ayat (1), (2) dan (6) POJK 10/2022

    [8] Pasal 1 angka 4 dan 7 UU PDP

    [9] Pasal 1 angka 8 UU PDP

    [10] Pasal 20 ayat (1) dan (2) huruf a, Pasal 16 ayat (1) dan penjelasannya UU PDP

    [11] Pasal 22 UU PDP

    [12] Pasal 16 ayat (2) UU PDP

    [13] Pasal 47 ayat (1) POJK 10/2022

    [14] Pasal 41 ayat (1), (2), (4), (7), (8) dan (9) POJK 10/2022

    [15] Pasal 58 ayat (1), (2) dan (3) UU PDP

    [16] Pasal 57 ayat (1) dan (2) UU PDP

    [17] Pasal 57 ayat (2) dan (3) UU PDP

    [18] Pasal 12 UU PDP

    [19]  Pasal 26 ayat (2) UU 19/2016

    [20] Pasal 66 UU PDP

    [21] Pasal 69 UU PDP

    [22] Pasal 70 ayat (1) UU PDP

    [23] Pasal 70 ayat (4) UU PDP

    Tags

    data pribadi
    financial technology

    Punya Masalah Hukum yang sedang dihadapi?

    atauMulai dari Rp 30.000
    Powered byempty result

    KLINIK TERBARU

    Lihat Selengkapnya

    TIPS HUKUM

    Cara Mengurus Akta Cerai yang Hilang

    19 Mei 2023
    logo channelbox

    Dapatkan info berbagai lowongan kerja hukum terbaru di Indonesia!

    Kunjungi

    Butuh lebih banyak artikel?

    dot
    Pantau Kewajiban Hukum
    Perusahaan Anda di sini!