Start-Up & UMKM

Perlindungan Data Pribadi dalam Penyelenggaraan Fintech

Bacaan 12 Menit
Perlindungan Data Pribadi dalam Penyelenggaraan Fintech

Pertanyaan

Sejauh mana pencegahan penyalahgunaan data pribadi yang dilakukan penyelenggara fintech perihal terjadi penyalahgunaan data pribadi untuk meminjam uang? (Contoh menggunakan data orang lain untuk meminjam uang di fintech). Adakah upaya yang bisa dilakukan jika penyelenggara fintech menyalahgunakan data pribadi tanpa izin?

Intisari Jawaban

circle with chevron up
?
Penggunaan data pribadi dalam fintech (financial technology) diperlukan untuk melakukan perjanjian pinjaman antara peminjam dengan pemberi pinjaman, dan antara penyelenggara dengan pemberi pinjaman. Data pribadi yang dimaksud adalah terkait identitas para pihak. Tentunya tidak boleh serta merta data itu diterima. Perlu ada verifikasi terlebih dahulu terhadap pihak yang bersangkutan. Verifikasi ini ditujukan untuk mencegah penyalahgunaan data pribadi.
?
Apabila penyelenggara fintech tidak melakukan kewajibannya dengan tidak melakukan verifikasi terhadap data pribadi sesuai ketentuan peraturan perundang-undangan, maka seseorang yang dirugikan atas perbuatan itu dapat mengajukan gugatan Perbuatan Melawan Hukum (PMH) ke penyelenggara fintech dan orang yang menyalahgunakan data tersebut dapat dikenakan sanksi.
?
Penjelasan lebih lanjut dapat Anda simak dalam ulasan di bawah ini.
?

Ulasan Lengkap

 
Penggunaan Data Pribadi di Fintech
Sebagaimana pernah dijelaskan dalam artikel Aturan dan Risiko Bisnis Inovasi Keuangan Digital, fintech (Financial Technology) secara umum dapat diartikan sebagai penggunaan teknologi pada sektor jasa keuangan yang digunakan untuk mengembangkan dan mengotomatisasikan penyerahan dan penggunaan jasa keuangan. Penekanan di sini diberikan pada pengembangan, atau dapat juga dengan inovasi, dari jasa keuangan itu sendiri, sehingga penggunaan teknologi yang tidak mengembangkan atau juga tidak bersifat inovasi tidak dapat dianggap sebagai Fintech (contoh: internet banking, digital banking, dll).
 
Aturan fintech yang memberikan layanan pinjam meminjam uang merujuk pada Peraturan Otoritas Jasa Keuangan Nomor 77/POJK.01/2016 Tahun 2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi (“POJK 77/2016”).
 
Sebagaimana dijelaskan dalam artikel Dasar Hukum Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi, layanan pinjam meminjam uang berbasis teknologi informasi adalah penyelenggaraan layanan jasa keuangan untuk mempertemukan pemberi pinjaman dengan penerima pinjaman dalam rangka melakukan perjanjian pinjam meminjam dalam mata uang rupiah secara langsung melalui sistem elektronik dengan menggunakan jaringan internet.[1]
 
Sementara menurut Pasal 3 ayat (1) huruf d Peraturan Bank Indonesia Nomor 19/12/PBI/2017 Tahun 2017 tentang Penyelenggaraan Teknologi Finansial (“PBI 19/2017”), salah satu kategori penyelenggaraan teknologi finansial adalah pinjaman, pembiayaan, dan penyediaan modal. Contoh penyelenggaraan teknologi finansial pada kategori pinjaman (lending), pembiayaan (financing atau funding), dan penyediaan modal (capital raising) antara lain layanan pinjam meminjam uang berbasis teknologi informasi (peer-to-peer lending) serta pembiayaan atau penggalangan dana berbasis teknologi informasi (crowd-funding).[2]
 
Sebagaimana telah dijelaskan dalam artikel Bisakah Membayar Tunggakan Utang di Aplikasi Online dengan Cara Mencicil?, pinjam meminjam uang tersebut diselenggarakan berdasarkan perjanjian pelaksanaan, yang bentuknya:[3]
  1. perjanjian antara penyelenggara dengan pemberi pinjaman; dan
  2. perjanjian antara pemberi pinjaman dengan penerima pinjaman.
 
Kedua jenis perjanjian di atas dituangkan dalam dokumen elektronik, yang paling sedikit memuat:[4]
  1. Penyelenggara dengan pemberi pinjaman
  1. nomor perjanjian;
  2. tanggal perjanjian;
  3. identitas para pihak;
  4. ketentuan mengenai hak dan kewajiban para pihak;
  5. jumlah pinjaman;
  6. suku bunga pinjaman;
  7. besarnya komisi;
  8. jangka waktu;
  9. rincian biaya terkait;
  10. ketentuan mengenai denda (jika ada);
  11. mekanisme penyelesaian sengketa; dan
  12. mekanisme penyelesaian dalam hal Penyelenggara tidak dapat melanjutkan kegiatan operasionalnya.
  1. Pemberi pinjaman dengan penerima pinjaman
    1. nomor perjanjian;
    2. tanggal perjanjian;
    3. identitas para pihak;
    4. ketentuan mengenai hak dan kewajiban para pihak;
    5. jumlah pinjaman;
    6. suku bunga pinjaman;
    7. nilai angsuran;
    8. jangka waktu;
    9. objek jaminan (jika ada);
    10. rincian biaya terkait;
    11. ketentuan mengenai denda (jika ada); dan
    12. mekanisme penyelesaian sengketa.
 
Mengenai pencantuman identitas untuk melakukan perjanjian, tentunya harus dilakukan sesuai hukum, hal ini erat kaitannya dengan data pribadi yang diatur dalam Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (“Permenkominfo 20/2016”).
 
Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.[5] Data perseorangan tertentu adalah setiap keterangan yang benar dan nyata yang melekat dan dapat diidentifikasi, baik langsung maupun tidak langsung, pada masing-masing individu yang pemanfaatannya sesuai ketentuan peraturan perundang-undangan.[6]
 
Sehingga dapat dikatakan bahwa identitas dalam melakukan perjanjian pinjaman dalam fintech tersebut termasuk dalam data pribadi, yang dimiliki oleh pemilik data pribadi, yaitu individu yang padanya melekat data perseorangan tertentu.[7]
 
Pencegahan Penyalahgunaan Data Pribadi dalam Fintech
Perlindungan data pribadi dalam sistem elektronik mencakup perlindungan pada saat:[8]
  1. perolehan dan pengumpulan;
  2. pengolahan dan penganalisisan;
  3. penyimpanan;
  4. penampilan, pengumuman, pengiriman, penyebarluasan, dan/atau pembukaan akses; dan
  5. pemusnahan.
 
Data pribadi yang diperoleh dan dikumpulkan secara langsung harus diverifikasi ke pemilik data pribadi. Data pribadi yang diperoleh dan dikumpulkan secara tidak langsung harus diverifikasi berdasarkan hasil olahan berbagai sumber data.[9]
 
Sebagai penyelenggara, fintech tentunya wajib melakukan perlindungan data pribadi berdasarkan asas perlindungan data pribadi yang baik, meliputi:[10]
  1. penghormatan terhadap data pribadi sebagai privasi;
  2. data pribadi bersifat rahasia sesuai persetujuan dan/atau berdasarkan ketentuan peraturan perundang-undangan;
  3. berdasarkan persetujuan;
  4. relevansi dengan tujuan perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, dan penyebarluasan;
  5. kelaikan sistem elektronik yang digunakan;
  6. iktikad baik untuk segera memberitahukan secara tertulis kepada pemilik data pribadi atas setiap kegagalan perlindungan data pribadi;
  7. ketersediaan aturan internal pengelolaan perlindungan data pribadi;
  8. tanggung jawab atas data pribadi yang berada dalam penguasaan pengguna;
  9. kemudahan akses dan koreksi terhadap data pribadi oleh pemilik data pribadi; dan
  10. keutuhan, akurasi, dan keabsahan serta kemutakhiran data pribadi.
Persetujuan sebagaimana dimaksud pada huruf b di atas diberikan setelah pemilik data pribadi menyatakan konfirmasi terhadap kebenaran, status kerahasiaan dan tujuan pengelolaan data pribadi.[11] Kemudian keabsahan merupakan legalitas dalam perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan data pribadi.[12]
 
Untuk melakukan perolehan dan pengumpulan data pribadi, pihak fintech wajib melakukannya berdasarkan persetujuan atau peraturan perundang-undangan, dengan cara menyediakan formulir persetujuan dalam Bahasa Indonesia untuk meminta persetujuan dari pemilik data pribadi yang dimaksud.[13]
 
Perolehan dan pengumpulan data pribadi dibagi menjadi dua, yakni secara langsung dan secara tidak langsung.
 
Data pribadi yang diperoleh dan dikumpulkan secara langsung harus diverifikasi ke pemilik data pribadi.[14] Sedangkan data pribadi yang diperoleh dan dikumpulkan secara tidak langsung harus diverifikasi berdasarkan hasil olahan berbagai sumber data dan memiliki dasar hukum yang sah.[15]
 
Perbuatan menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses data pribadi dalam sistem elektronik hanya dapat dilakukan:[16]
  1. atas persetujuan kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dan
  2. setelah diverifikasi keakuratan dan kesesuaian dengan tujuan perolehan dan pengumpulan data pribadi tersebut.
 
Terkait dengan pertanyaan Anda, data pribadi orang lain kami asumsikan menggunakan identitas orang lain sebagai dasar untuk melakukan pinjaman kepada fintech. Pihak fintech tentunya harus dengan cermat melakukan verifikasi bahwa data yang digunakan adalah data yang otentik. Sehingga di sini dapat mencegah penyalahgunaan data pribadi.
 
Hal ini sejalan dengan pendapat Hendri Sasmita Yuda, Pemerhati Kebijakan Telematika, bahwa dalam menentukan data pribadi tidaklah mudah, ada proses-proses yang harus dilalui. Termasuk identifikasi dan verifikasi, terkait hal itu dalam memberitahukan pihak yang bersangkutan harus dilakukan dengan jelas, dan untuk apa data pribadi itu digunakan. Dalam fintech tentunya penyelenggara harus melakukan apa yang diwajibkan oleh peraturan perundang-undangan dalam melakukan pencegahan penyalahgunaan data pribadi.
 
Langkah Hukum Jika Data Pribadi Disalahgunakan
 
Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.
 
Setiap orang yang dilanggar haknya sebagaimana dimaksud pada Pasal 26 ayat (1) UU 19/2016 dapat mengajukan gugatan atas kerugian yang ditimbulkan.[17]
 
Dijelaskan bahwa dalam pemanfaatan teknologi informasi, perlindungan data pribadi merupakan salah satu bagian dari hak pribadi (privacy rights). Hak pribadi mengandung pengertian sebagai berikut:[18]
  1. Hak pribadi merupakan hak untuk menikmati kehidupan pribadi dan bebas dari segala macam gangguan.
  2. Hak pribadi merupakan hak untuk dapat berkomunikasi dengan Orang lain tanpa tindakan memata-matai.
  3. Hak pribadi merupakan hak untuk mengawasi akses informasi tentang kehidupan pribadi dan data seseorang.
 
Berarti jika seseorang merasa dirugikan karena identitasnya digunakan dalam penyalahgunaan data pribadi, maka ia dapat mengajukan gugatan atas kerugian yang diperoleh, gugatan yang dimaksud adalah gugatan Perbuatan Melawan Hukum (“PMH”).
 
PMH diatur dalam Pasal 1365 Kitab Undang-Undang Hukum Perdata (KUH Perdata”) yang berbunyi:
 
Tiap perbuatan melanggar hukum, yang membawa kerugian kepada orang lain, mewajibkan orang yang karena salahnya menerbitkan kerugian itu, mengganti kerugian tersebut.
 
Selain itu, atas pelanggaran ketentuan perlindungan data pribadi menurut Pasal 36 ayat (1) Permenkominfo 20/2016 dapat diberikan sanksi sanksi peringatan lisan maupun tertulis, penghentian sementara kegiatan usaha dan/atau diumumkan melalui situs dalam jaringan (website online), berikut bunyi pasal selengkapnya:
 
Setiap Orang yang memperoleh, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarluaskan Data Pribadi tanpa hak atau tidak sesuai dengan ketentuan dalam Peraturan Menteri ini atau peraturan perundang-undangan lainnya dikenai sanksi administratif sesuai dengan ketentuan peraturan perundang-undangan berupa:
  1. peringatan lisan;
  2. peringatan tertulis;
  3. penghentian sementara kegiatan; dan/atau
  4. pengumuman di situs dalam jaringan (website online)
 
Hal senada juga disampaikan dalam artikel Kenali Batasan Pemanfaatan Data Pribadi Konsumen Agar Terhindar dari Jerat Hukum, bila terjadi penyalahgunaan data pribadi atau bahkan perusahaan penyedia sistem ‘gagal’ dalam melindungi data pribadi pengguna, ada dua langkah hukum yang bisa dilakukan pengguna. Pertamapengguna dapat mengajukan complain ke Kementerian Komunikasi dan Informatika Republik Indonesia (“Kominfo”) dengan dasar bahwa penyedia sistem informasi elektronik telah gagal melindungi data pribadi pengguna. Dalam konteks upaya hukum yang ditempuh adalah complain, maka unsur kerugian yang dihasilkan dalam kasus pelanggaran data pribadi yang terjadi tak perlu dibuktikan. Adapun sanksi atas pelanggaran ketentuan perlindungan data pribadi, diatur dalam Pasal 36 Permenkominfo 20/2016, yakni berupa sanksi peringatan lisan maupun tertulis, penghentian sementara kegiatan usaha dan/atau diumumkan melalui situs dalam jaringan (website online). Hanya saja jika pengguna menghendaki adanya ganti kerugian, lebih tepatnya bisa menempuh langkah kedua, yaitu mengajukan gugatan ke pengadilan.
 
Demikian jawaban dari kami, semoga bermanfaat.
 
Dasar Hukum:
 
Catatan:
Pendapat Hendri Sasmita Yuda, S.H., M.H, CLA dikutip dalam Pelatihan Hukumonline 2019, Memahami Cyber Law, Cyber Crime, dan Digital Forensic Dalam Sistem Hukum Indonesia (Angkatan Keenam), Rabu 23 Januari 2019.
 

[1] Pasal 1 angka 3 POJK 77/2016
[2] Penjelasan Pasal 3 ayat (1) huruf d PBI 19/2017
[3] Pasal 18 POJK 77/2016
[4] Pasal 19 ayat (1) dan (2) jo. Pasal 20 ayat (1) dan (2) POJK 77/2016
[5] Pasal 1 angka 1 Permenkominfo 20/2016
[6] Pasal 1 angka 2 Permenkominfo 20/2016
[7] Pasal 1 angka 3 Permenkominfo 20/2016
[8] Pasal 2 ayat (1) jo. Pasal 3 Permenkominfo 20/2016
[9] Pasal 10 ayat (1) dan (2) Permenkominfo 20/2016
[10] Pasal 2 ayat (2) Permenkominfo 20/2016
[11] Pasal 2 ayat (4) Permenkominfo 20/2016
[12] Pasal 2 ayat (5) Permenkominfo 20/2016
[13] Pasal 9 ayat (1) jo. Pasal 6 Permenkominfo 20/2016
[14] Pasal 10 ayat (1) Permenkominfo 20/2016
[15] Pasal 10 ayat (2) dan ayat (3) Permenkominfo 20/2016
[16] Pasal 21 ayat (1) Permenkominfo 20/2016
[17] Pasal 26 ayat (2) UU 19/2016
[18] Penjelasan Pasal 26 ayat (1) UU 19/2016
 
Tags: