Perlindungan Data Pribadi Terhadap Pengaksesan Data Pribadi Konsumen Pada Layanan Pinjaman Online

ALSA LEGAL AID #2

Pertanyaan:

Beberapa pekan lalu saya sempat menggunakan layanan pinjaman uang online, saya menggunakan karena sedang ada masalah finasial. Setelah melunasi seluruh hutang saya pada layanan pinjaman uang tersebut kemudian banyak nomor yang tidak saya ketahui menghubungi saya dan mengganggu kehidupan pribadi saya. Apakah Tindakan tersebut merupakan kejahatan serta apakah dalam suatu layanan pinjaman online terdapat standarisasi dalam pembentukannya.

Jawaban:

Terimakasih SA atas pertanyaannya!

Pelanggaran Hukum Terhadap Penyebaran Data Pribadi dalam Layanan Pinjaman Online

Mengenai penyebaran data pribadi, kami jelaskan bahwa data pribadi merupakan hak privasi setiap warga negara yang dijamin dan dilindungi oleh negara. Tindakan yang menyebarluaskan data pribadi/identitas warga negara merupakan perbuatan yang melanggar jaminan perlindungan hak privasi setiap warga negara sebagaimana dijelaskan dalam Pasal 28G ayat (1) UUD 1945, yaitu: “Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.”

Dalam pertanyaan yang ditanyakan saudara, data pribadi yang tersebar dapat dikatakan sebagai suatu kejahatan penyebaran data konsumen dalam layanan pinjaman online. Dalam pencantuman identitas atau data pribadi saat melakukan perjanjian harus sesuai dengan hukum yang berlaku, hal ini berhubungan dengan data pribadi yang diatur dalam Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (“Permenkominfo 20/2016”). Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.

Standarisasi Pembentukan dan Keamanan Data Konsumen dalam Layanan Pinjaman Online

Sesuai pada pasal 8 ayat 1 POJK 77/POJK.01/2016 Penyelenggara yang akan melakukan kegiatan Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi mengajukan permohonan pendaftaran kepada OJK. Dalam hal perusahaan yang tidak melakukan pendaftaran dan melakukan kegiatan usaha dimaksud tanpa izin maka akan masuk daftar fintech yang tidak terdaftar/berizin dari OJK (fintech ilegal) dan selanjutnya aplikasi dan sistem elektronik Saudara akan diblokir oleh instansi terkait.

Suatu perusahaan fintech lending yang didirikan berdasarkan POJK 77/POJK.01/2016 akan terdaftar dan berizin pada Otoritas Jasa Keuangan. Namun, dalam perkembangannya, terdapat perusahaan fintech lending yang tidak didirikan berdasarkan POJK 77/POJK.01/2016 sehingga fintech lending tersebut tidak terdaftar dan tidak berizin namun tetap memberikan layanan pinjaman atau sering dikenal dengan pinjaman online/pinjol ilegal. Mengenai keamanan data konsumen, dalam POJK sudah jelas mengatur bahwa penyelenggara layanan pinjaman online wajib dalam menjaga keamanan serta kerahasiaan data konsumen.

Merujuk pada Pasal 58 Peraturan Pemerintah Nomor 80 Tahun 2019, diberlakukan bahwa setiap data pribadi sebagai hak milik pribadi dari orang atau pelaku usaha yang bersangkutan, dan setiap pelaku usaha punya kewajiban untuk bertindak sebagai pengemban amanat untuk menguasai dan menyimpan data pribadi yang sudah diperoleh sesuai dengan ketentuan yang ada dalam peraturan perundang-undangan, dan dalam penjelasan Pasal 58 Peraturan Pemerintah Nomor 80 Tahun 2019, yang dimaksud dengan pengemban amanat adalah sebagai pengendali data pribadi sesuai dengan peruntukannya dan perlu diperhatikan kepatutan serta praktik bisnis yang berkembang agar sesuai dengan acuan standar perlindungan data pribadi. Sedangkan pada Pasal 59 Peraturan Pemerintah Nomor 80 Tahun 2019, juga diatur tentang kaidah perlindungan yang harus dipenuhi agar sesuai dengan kelaziman atau standar perlindungan data pribadi.

Setiap pemrosesan Data Pribadi harus terlebih dahulu mendapatkan persetujuan yang nyata (expressed consent) baik lisan maupun tertulis dari pemilik Data Pribadi. Ditinjau lebih dalam terkait Pasal 3 Permen Kominfo Nomor 20 Tahun 2016,

Lebih lanjut dapat dilihat dalam Pasal 26 No. 77/POJK.1/2016, Penyelenggara wajib:

1. Menjaga kerahasiaan, keutuhan, dan ketersediaan data pribadi, data transaksi, dan data keuangan yang dikelolanya sejak data diperoleh hingga data tersebut dimusnahkan;

2. Memastikan tersedianya proses autentikasi, verifikasi, dan validasi yang mendukung kenirsangkalan dalam mengakses, memproses, dan mengeksekusi data pribadi, data transaksi, dan data keuangan yang dikelolanya;

3. Menjamin bahwa perolehan, penggunaan, pemanfaatan, dan pengungkapan data pribadi, data transaksi, dan data keuangan yang diperoleh oleh Penyelenggara berdasarkan persetujuan pemilik data pribadi, data transaksi, dan data keuangan, kecuali ditentukan lain oleh ketentuan peraturan perundang undangan;

4. Menyediakan media komunikasi lain selain Sistem Elektronik Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi untuk memastikan kelangsungan layanan nasabah yang dapat berupa surat elektronik, call center, atau media komunikasi lainnya; dan

5. Memberitahukan secara tertulis kepada pemilik data pribadi, data transaksi, dan data keuangan tersebut jika terjadi kegagalan dalam perlindungan kerahasiaan data pribadi, data transaksi, dan data keuangan yang dikelolanya.

Perlindungan Hukum dan Tindakan Yang Dapat Dilakukan Oleh Konsumen

Menurut UU No. 8 Tahun 1999 tentang Perlindungan Konsumen, yang dimaksud dengan perlindungan konsumen adalah ‘segala upaya yang menjamin adanya kepastian hukum untuk memberi perlindungan kepada konsumen’. Perlindungan ini perlu diberikan karena selama ini konsumen dirasa selalu berada dalam posisi yang lemah jika berhadapan dengan para pelaku usaha sehingga perlu dilindungi.

Ketentuan mengenai perlindungan data pribadi melalui media elektronik terdapat dalam Pasal 26 ayat (1) dan (2) UU 19/2016, Pasal 26 huruf a POJK menyatakan bahwa penyelenggara wajib “menjaga kerahasiaan, keutuhan, dan ketersediaan data pribadi, data transaksi, dan data keuangan yang dikelolanya sejak data diperoleh hingga data tersebut dimusnahkan.” Hal ini berarti pihak pemberi pinjaman memiliki kewajiban untuk merahasiakan data pribadi peminjam dimulai dari proses perjanjian pinjam-meminjam dibuat hingga selesainya perjanjian tersebut. Kewajiban tersebut harus dilakukan guna tercapainya perlindungan terhadap data pribadi peminjam. Selanjutnya, pasal 26 huruf c POJK menyatakan bahwa penyelenggara wajib “menjamin bahwa perolehan, penggunaan, pemanfaatan, dan pengungkapan data pribadi yang diperoleh oleh Penyelenggara berdasarkan persetujuan pemilik data pribadi, data transaksi, dan data keuangan, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.” Berdasarkan pasal tersebut jelas bahwa, tanpa persetujuan dari pemilik data pribadi (peminjam), maka pihak pemberi pinjaman tidak dapat menggunakan data pribadi tersebut untuk kegiatan apapun, kecuali dengan persetujuan pemilik atau ditentukan lain dalam ketentuan peraturan perundang undangan. Penyelenggara pinjaman online juga dilarang untuk memberikan atau menyebarluaskan data atau informasi mengenai pengguna kepada pihak ketiga tanpa persetujuan dari pengguna atau diwajibkan oleh peraturan perundang-undangan.

Berdasarkan Pasal 29 Undang-Undang Nomor 21 Tahun 2011 tentang Otoritas Jasa Keuangan, yang berbunyi: OJK melakukan pelayanan pengaduan Konsumen yang meliputi: menyiapkan perangkat yang memadai untuk pelayanan pengaduan Konsumen yang dirugikan oleh pelaku di Lembaga Jasa Keuangan; membuat mekanisme pengaduan Konsumen yang dirugikan oleh pelaku di Lembaga Jasa Keuangan; dan memfasilitasi penyelesaian pengaduan Konsumen yang dirugikan oleh pelaku di Lembaga Jasa Keuangan sesuai dengan peraturan perundang-undangan di sektor jasa keuangan. Berdasarkan pengaduan konsumen, nantinya OJK dapat melakukan pemblokiran dan pemberhentian usaha bagi penyelenggara yang tidak terdaftar dan tanpa izin (ilegal).

Selanjutnya tindakan yang dapat konsumen lakukan terkait dengan adanya perbuatan fintech lending yang merugikan yaitu dengan menyampaikan pengaduan, berdasarkan Peraturan Otoritas Jasa Keuangan, Undang-Undang Perlindungan Konsumen, dan Undang-Undang Informasi dan Transaksi Elektronik. Dengan cara:

1. Melaporkan fintech lending yang terdaftar ke kontak Otoritas Jasa Keuangan 157 atau melalui https://Kontak 157.ojk.go.id;

2. Melaporkan ke Asosiasi Fintech Pendanaan Bersama Indonesia (AFPI) melalui https://afpi.or.id;

3. Melaporkan fintech lending/pinjol ilegal ke Satgas Waspada Investasi agar diblokir melalui email waspada investasi@ojk.go.id sekaligus terlebih dahulu memeriksa apakah fintech lending melalui telepon 157, WhatsApp 081-157-157-157, email konsumen@ojk.go.id atau website www.ojk.go.id;

4. Melaporkan ke pihak yang berwajib, yaitu kepolisian terdekat, atau melaporkan melalui https://patrolisiber.id atau email info @cyber.polri.go.id

Akibat Hukum Terhadap Pelanggaran Penyebaran Data Konsumen oleh Penyelenggara Pinjaman Online

Kemudian terkait dengan pelanggaran yang dilakukan oleh penyelenggara teknologi finansial, tentu terdapat sanksi yang harus diterima. Sanksi akan diterima bila penyelenggara teknologi finansial tidak mendaftar dan telah melanggar berbagai ketentuan yang telah ditentukan dalam peraturan ini. Adapun pengaturan mengenai sanksi dapat dilihat pada Pasal 20 ayat (1), Pasal 20 ayat (2) dan Pasal 20 ayat(3) Peraturan Bank Indonesia Nomor 19/12/17. Dalam Pasal-Pasal tersebut, ada beragam sanksi yang sudah diatur dan semuanya termasuk dalam sanksi administratif. Terkait soal perlindungan data pribadi, salah satu ketentuannya diatur dalam Pasal 8 ayat (1) yang berisi kewajibannya sebagai penyelenggara teknologi finansial yang sudah terdaftar dan salah satu kewajibannya adalah menjaga kerahasiaan data dan/atau informasi konsumen, termasuk di dalamnya data dan/atau informasi transaksi. Dengan demikian, apabila kerahasiaan data dan/atau informasi milik konsumen dilanggar, maka sanksi yang dapat diberikan kepada penyelenggara teknologi finansial adalah berupa teguran tertulis dan/atau dihapusnya penyelenggara teknologi finansial tersebut dari daftar penyelenggara teknologi yang ada di Bank Indonesia.

Pasal 47 ayat (1) No. 77/POJK.1/2016 “Atas pelanggaran kewajiban dan larangan dalam peraturan OJK ini, OJK berwenang mengenakan sanksi administratif terhadap Penyelenggara berupa:

1. Peringatan tertulis;

2. Denda, yaitu kewajiban untuk membayar sejumlah uang tertentu;

3. Pembatasan kegiatan usaha; dan

4. Pencabutan izin-izin

Dijelaskan dalam Pasal 32 ayat (2) UU ITE : “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak.”. Selanjutnyasanksinya diatur dalam Pasal 48 ayat (2) UU ITE : “Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (2) dipidana dengan pidana penjara paling lama 9 (sembilan) tahun dan/ atau denda paling banyak Rp3.000.000.000,00 (tiga miliar rupiah).” Pengancaman perusahaan pinjaman online terhadap konsumen melalui media elektronik dapat dijerat dengan Pasal 29 jo Pasal 45B UU No.19 tahun 2016 Tentang Informasi dan Transaksi Elektronik (ITE) berkaitan dengan gangguan yang konsumen hadapi, konsumen dapat melakukan pengaduan kepada Otoritas Jasa Keuangan (OJK).

Pasal 45 Ayat (3) ‘Setiap orang yang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan penghinaan dan/atau pencemaran nama baik sebagaimana dimaksud dalam Pasal 27 Ayat (3) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau denda paling banyak Rp750.000.000,00 (tujuh ratus lima puluh juta rupiah). Dengan peraturan tersebut, maka dapat dilakukan penyelesaian hukum melalui sanksi berkenaan dengan pelanggaran hak pengguna layanan yang hanya memberikan keuntungan sepihak bagi perusahaan pinjaman online. Akan tetapi memang berkaitan penggunaan data pribadi seseorang masih memerlukan peraturan lebih lanjut yang sampai saat ini belum ada peraturan yang secara khusus mengatur hal tersebut.

Kesimpulan

Data pribadi merupakan hak privasi setiap warga negara yang dijamin dan dilindungi oleh negara. Tindakan yang menyebarluaskan data pribadi/identitas warga negara merupakan perbuatan yang melanggar jaminan perlindungan hak privasi setiap warga negara sebagaimana dijelaskan dalam Pasal 28G ayat (1) UUD 1945. Oleh karena itu hasil analisis diatas, terkait kejahatan dalam penyebaran data pribadi dalam layanan pinjaman online yaitu melanggar hak privasi dan aturan Permenkominfo 20/2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik. Sedangkan, dalam hal standarisasi pembentukan dan keamanan data konsumen dalam layanan pinjaman online dapat dilihat pada 8 ayat 1 POJK 77/POJK.01/2016, Pasal 58 Peraturan Pemerintah Nomor 80 Tahun 2019, Pasal 59 Peraturan Pemerintah Nomor 80 Tahun 2019 dan pasal 26 No. 77/POJK.1/2016. Penulis menyarankan kepada yang bersangkutan untuk mengecek kembali status penyeranggara fintech lending atau layanaan pinjaman online terdaftar atau tidak di OJK.

Referensi:

1. Undang-Undang Dasar 1945

2. Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen

3. Undang-Undang Nomor 21 Tahun 2011 tentang Otoritas Jasa Keuangan

4. Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik (ITE)

5. Peraturan Pemerintah Nomor 80 Tahun 2019 tentang Perdagangan Melalui Sistem Elektronik

6. Peraturan Otoritas Jasa Keuangan Nomor 77/POJK.01/2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi

7. Peraturan Bank Indonesia Nomor 19/12/PBI/2017 tentang Penyelenggaraan Teknologi Finansial

8. Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi Dalam Sistem Elektronik

9. Surat Edaran OJK Nomor 18/SEOJK.02/17 tentang Tata Kelola dan Risiko Teknologi Informasi pada Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi

10. Noviana, Lisa, ‘Ancaman Penyebaran Data Oleh Pinjaman Online’ (lsc.bphn.go.id) https://lsc.bphn.go.id/konsultasiView?id=1754, accessed 28 October 2021.

11. Admin, ‘FAQ: Kategori Perusahaan Penyelenggara’ (Otoritas Jasa Keuangan, 2021) https://www.ojk.go.id/id/berita-dan-kegiatan/publikasi/Documents/Pages/FAQ-Terkait-Layanan-Pinjam-Meminjam-Uang-Berbasis-Teknologi-Informasi---Kategori-Perusahaan-Penyelenggara/FAQ%20LPMUBTI%20-%20KATEGORI%20PERUSAHAAN%20PENYELENGGARA.pdf, accessed 28 October 2021.

12. Wahyudi Djafar, Perlindungan Data Pribadi di Indonesia: Usulan Pelembagaan Kebijakan dari Perspektif Hak Asasi Manusia, Lembaga Studi dan Advokasi Masyarakat (ELSAM), 2016, hlm,.63.

13. Triasih, D., Muryati, D. T., & Nuswanto, A. H. (2021, August). Perlindungan Hukum Bagi Konsumen dalam Perjanjian Pinjaman Online. In Seminar Nasional Hukum Universitas Negeri Semarang (Vol. 7, No. 2, pp. 591-608)

14. Abidatul, Khusnul, ‘Perlindungan Hukum Atas Data Nasabah Pengguna Layanan Financial Technology’, Journal of Islamic Business Law, Vol 4, Issue 4, 2020, hlm., 5.