D. Tinjauan Umum Tentang Perlindungan Data Dan Informasi Konsumen Peer to Peer Lending oleh Otoritas Jasa Keuangan

3. Regulasi Perlindungan hukum data dan informasi konsumen Peer To Peer Lending

Dari penjelasan pengertian data dan informasi konsumen diatas dapat disimpulkan bahwa data dan informasi konsumen adalah data milik setiap orang maupun korporasi yang menempatkan dananya atau memanfaatkan Layanan suatu Jasa Keuangan, data tersebut harus dilindungi kerahasiaanya, data tersebut dapat berupa, identitas, simbol, kode, huruf atau angka yang merupakan penanda setiap orang yang pasti berbeda antara satu orang dengan orang lainnya, data ini bersifat sangat pribadi, sehingga harus dijaga agar tidak disalahgunkan oleh siapapun.⁶¹

3. Regulasi Perlindungan hukum data dan informasi konsumen Peer To Peer Lending.

60Lihat pasal 1 angka 1 Peraturan Kominfo No.20 Tahun 2016 tentang perlindungan data pribadi dalam sistem elektronik

61 Sofa ana,2018,Urgensi Perlindungan Data Pribadi dalam era bisnis Fintech, Jurnal Hukum & Pasar modal, Vol.VIII,No.16.Hal 6.

Dalam industri keuangan digital, semua proses transaksi melalui sistem elektronik, dan terdapat data-data yang diberikan untuk memenuhi persyaratan suatu transaksi, contoh umum dari data yang diberikan antara lain, identitas nama, alamat, nomor telepon, dan lain-lain yang sifatnya data pribadi. Data- data tersebut rawan untuk disalahgunakan dari berbagai pihak dalam industri keuangan digital. Maka dari itu OJK selaku instansi yang memiliki kewenangan untuk pengaturan dan pengawasan di seluruh sektor jasa keuangan, memiliki upaya untuk melindungi data pribadi konsumen dalam layanan peer to peer lending dengan mengeluarkan beberapa peraturan, antara lain :

a. Peraturan Otoritas Jasa Keuangan Nomor 77/POJK.01/2016 Tentang Layanan Pinjam Meminjam Uang Berbasis Tekhnologi Informasi.

Dalam upaya memberikan perlindungan konsumen terkait kerahasiaan data serta memberikan jaminan keamanan dan kenyamanan dalam pemanfaatan layanan pinjam meminjam uang berbasis tekhnologi informasi dalam peraturan OJK ini mengenai kerahasiaan data dalam pasal 26 POJK 77/POJK.01/2016 yang mewajibkan pihak Penyelenggara untuk⁶² :

a. menjaga kerahasiaan, keutuhan, dan ketersediaan data pribadi, data transaksi, dan data keuangan yang dikelolanya sejak data diperoleh hingga data tersebut dimusnahkan

b. memastikan tersedianya proses autentikasi, verifikasi, dan validasi yang mendukung kenirsangkalan dalam mengakses, memproses, dan mengeksekusi data pribadi, data transaksi, dan data keuangan yang dikelolanya;

62 Lihat pasal 26 Peraturan Otoritas Jasa Keuangan Nomor 77/POJK.01/2016 Tentang Layanan Pinjam Meminjam Uang Berbasis Tekhnologi Informasi.

c. menjamin bahwa perolehan, penggunaan, pemanfaatan, dan pengungkapan data pribadi, data transaksi, dan data keuangan yang diperoleh oleh Penyelenggara berdasarkan persetujuan pemilik data pribadi, data transaksi, dan data keuangan, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan;

d. menyediakan media komunikasi lain selain Sistem Elektronik Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi untuk memastikan kelangsungan layanan nasabah yang dapat berupa surat elektronik, call

center, atau media komunikasi lainnya; dan

e. memberitahukan secara tertulis kepada pemilik data pribadi, data transaksi, dan data keuangan tersebut jika terjadi kegagalan dalam perlindungan kerahasiaan data pribadi, data transaksi, dan data keuangan yang dikelolanya.

Selanjutnya juga telah diatur dalam pasal 29 POJK 77/POJK.01/2016 mengenai prinsip dasar perlindungan konsumen yang harus dilakukan oleh pihak penyelenggara antara lain⁶³ :

a. transparansi;

b. perlakuan yang adil; c. keandalan;

d. kerahasiaan dan keamanan data; dan

e. penyelesaian sengketa Pengguna secara sederhana, cepat, dan biaya terjangkau.

Kemudian OJK juga mengatur ketentuan mengenai larangan pihak penyelenggara untuk menyebarkan data dan informasi konsumen layanan Financial

Technology kepada pihak ketiga, hal tersebut diatur dalam pasal 39 Ayat (1)

Peraturan OJK No.77/POJK.01/2016 Tentang Layanan Pinjam Meminjam Uang Berbasis Tekhnologi Informarsi yang berbunyi :

(1) Penyelenggara dilarang dengan cara apapun, memberikan data dan/atau informasi mengenai Pengguna kepada pihak ketiga.

63 Lihat pasal 29 Peraturan Otoritas Jasa Keuangan Nomor 77/POJK.01/2016 Tentang Layanan Pinjam Meminjam Uang Berbasis Tekhnologi Informasi.

Mengenai pelanggaran yang dilakukan oleh pihak peyelenggara terhadap kewajiban dan larangan yang sudah ditentukan dalam peraturan OJK Nomor 77/POJK.01/2016, OJK berwenang menjatuhkan sanksi administrative yang diatur dalam pasal 47 POJK 77/2016 yaitu ⁶⁴:

a. peringatan tertulis;

b. denda, yaitu kewajiban untuk membayar sejumlah uang tertentu; c. pembatasan kegiatan usaha; dan

d. pencabutan izin.

b. Peraturan Otoritas Jasa Keuangan Nomor 13/POJK.02/2018 Tentang Inovasi Keuangan Digital di Sektor Jasa Keuangan.

Peraturan OJK ini dibuat mengingat inovasi keuangan digital perlu diarahkan dan dikelola dengan baik sehingga mampu menghasilkan inovasi keuangan digital di sektor jasa keuangan yang bertanggung jawab, bermanfaat bagi masyarakat, memiliki resiko terkelola dengan baik dan memberikan perlindungan konsumen dengan maksimal.

Terkait dengan perlindungan kerahasiaan data konsumen Financial technologi dalam Peraturan ini telah diatur di beberapa pasal, karena potensi pelanggaran penyebaran data pribadi dalam layanan Financial Tekhnologi ini cukup rawan, maka dari itu peraturan mengenai keamanan data pribadi harus diperketat, Dalam pasal 18 ayat 1 huruf (d) dijelaskan bahwa penyelenggara berkewajiban menerapkan prinsip pemantauan mandiri paling sedikit meliputi kerahasiaan data dan/atau informasi konsumen termasuk data dan/atau informasi transaksi. Kemudian dalam pasal 18

64 Lihat pasal 47 Peraturan Otoritas Jasa Keuangan Nomor 77/POJK.01/2016 Tentang Layanan Pinjam Meminjam Uang Berbasis Tekhnologi Informasi.

ayat 2 disebutkan penyelanggara wajib untuk menginventarisasi resiko utama salah satunya yaitu resiko mengenai perlindungan data konsumen.

Mengenai perlindungan dan kerahasiaan data dalam pasal 30 POJK ini diatur dengan jelas wewenang penyelenggara untuk mengelola data pribadi nasabah, pada pasal 30 ayat (1) dijelaskan bahwa Penyelenggara wajib menjaga kerahasiaan, keutuhan, dan ketersediaan data pribadi, data transaksi, dan data keuangan yang dikelolanya sejak data diperoleh hingga data tersebut dimusnahkan.

Kemudian dalam pasal 30 ayat (2) diatur mengenai ketentuan pemanfaatan data dan informasi pengguna yang diperoleh penyelenggara harus memenuhi syarat antara lain :

a. Memperoleh persetujuan dari pengguna,

b. Menyampaikan batasan pemanfaatan data dan informasi kepada pengguna. Mengenai edukasi perlindungan konsumen telah diatur pada bab XI POJK ini, tepatnya pada pasal 31 ayat (1) dimana penyelanggara wajib menerapkan prinsip dasar perlindungan konsumen yaitu : a. transparansi. b. Perlakuan yang adil. c. Keandalan. d. Kerahasiaan dan keamanan data/informasi konsumen, dan. e. Penanganan pengaduan serta penyelesaian sengketa konsumen secara cepat, dan biaya terjangkau.

Dalam peraturan ini juga dijelaskan mengenai larangan yang dilakukan oleh pihak penyelenggara, dalam BAB XIV pasal 38 ayat (1) berbunyi “Penyelenggara

dilarang memberikan data dan/atau informasi mengenai konsumen kepada pihak ketiga”. Namun terdapat pengecualian dalam larangan tersebut, hal itu diatur dalam

pasal 38 ayat (2) yang menjelaskan larangan tersebut dapat dikecualilan dalam hal : a. Konsumen memberikan persetujuan secara elektronik dan/atau. b. Penyelenggara diwajibkan oleh ketentuan peraturan perundang-undangan untuk memberikan data dan/atau informasi mengenai konsumen kepada pihak ketiga.

c. Peraturan Kementrian Komunikasi dan Informatika Republik Indonesia nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik.

Data pribadi merupakan suatu hal yang penting untuk dijaga kerahasiaannya dan kebenarannya, karena menyangkut dengan informasi setiap individu, dan perkembangan transaksi dalam elektronik begitu pesat, sehingga memungkinkan terjadinya penyalahgunaan data pribadi dalam sistem elektronik, pada peraturan Kementrian Komunikasi dan Informatika ini terdapat dalam beberapa pasal yang mengatur tentang perlindungan data pribadi, antara lain :

a. Pasal 2 ayat (1) Peraturan KOMINFO nomor 20 Tahun 2016 :

“Perlindungan Data Pribadi dalam Sistem Elektronik mencakup perlindungan terhadap perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan Data Pribadi.”

b. Pasal 8 Peraturan KOMINFO nomor 20 Tahun 2016 :

(1) Dalam memperoleh dan mengumpulkan Data Pribadi, Penyelenggara Sistem Elektronik harus menghormati Pemilik Data Pribadi atas Data Pribadinya yang bersifat privasi.

(2) Penghormatan terhadap Pemilik Data Pribadi atas Data Pribadi yang bersifat privasi sebagaimana dimaksud pada ayat (1) dilakukan melalui penyediaan pilihan dalam Sistem Elektronik untuk Pemilik Data Pribadi terhadap:

b. perubahan, penambahan, atau pembaruan Data Pribadi.

c. Pasal 26 Peraturan KOMINFO nomor 20 Tahun 2016 :

Pemilik Data Pribadi berhak:

a. atas kerahasiaan Data Pribadinya;

b. mengajukan pengaduan dalam rangka penyelesaian sengketa Data Pribadi atas kegagalan perlindungan kerahasiaan Data Pribadinya oleh Penyelenggara Sistem Elektronik kepada Menteri;

c. mendapatkan akses atau kesempatan untuk mengubah atau memperbarui Data Pribadinya tanpa menganggu sistem pengelolaan Data Pribadi, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; d. mendapatkan akses atau kesempatan untuk memperoleh historis Data

Pribadinya yang pernah diserahkan kepada Penyelenggara Sistem Elektronik sepanjang masih sesuai dengan ketentuan peraturan perundang-undangan; dan

e. meminta pemusnahan Data Perseorangan Tertentu miliknya dalam Sistem Elektronik yang dikelola oleh Penyelenggara Sistem Elektronik, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan.

d. Undang –Undang Nomor 19 Tahun 2016 Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik.

Keamanan, kenyamanan dalam melakukan sebuah transaksi elektronik sangat diperlukan bagi setiap individu, salah satu bentuk keamanan yang diharapkan oleh setiap orang yaitu kerahasiaan data yang dijamin oleh penyelenggara transaksi elektronik. Di dalam pasal 1 ayat (1) Undang –Undang Nomor 19 Tahun 2016 menjelaskan tentang informasi elektronik yaitu⁶⁵ :

“Informasi Elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange (EDI), surat elektronik (electronic mail), telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, Kode Akses, simbol,

65

Lihat pasal 1 ayat (1) Undang –Undang Nomor 19 Tahun 2016 Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik.

atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya.”

Selanjutnya mengenai penggunaan data pribadi seseorang, harus mendapatkan dari pemilik informasi elektronik tersebut, hal ini diatur dalam pasal 26 Undang-Undang Nomor 19 Tahun 2016 Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik, dalam pasal tersebut berbunyi⁶⁶ :

“Kecuali ditentukan lain oleh peraturan perundangundangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan.”

Kemudian terkait dengan perbuatan larangan yang dilakukan kepada data pribadi setiap individu/ informasi eletronik telah diatur dalam pasal 27 Undang-Undang Nomor 19 Tahun 2016 Perubahan Atas Undang-Undang-Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik, dalam pasal tersebut berbunyi 67

:

(1) Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan yang melanggar kesusilaan.

(2) Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan perjudian.

(3) Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan penghinaan dan/atau pencemaran nama baik.

66 Lihat pasal 26 Undang-Undang Nomor 19 Tahun 2016 Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik

67 Lihat pasal 27 Undang-Undang Nomor 19 Tahun 2016 Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik

(4) Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan pemerasan dan/atau pengancaman.

Terkait dengan sanksi bagi setiap individu yang melakukan pelanggaran yang telah diatur dalam pasal 27 Undang-Undang Nomor 19 Tahun 2016 Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik dapat dijatuhi dengan hukuman pidana yang telah diatur dalam pasal 45 Undang-Undang ini, sanksi yang dapat diberikan antara lain⁶⁸ :

(1) Setiap Orang yang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan yang melanggar kesusilaan sebagaimana dimaksud dalam Pasal 27 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp1.000.000.000,00 (satu miliar rupiah).

(2) Setiap Orang yang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan perjudian sebagaimana dimaksud dalam Pasal 27 ayat (2) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp1.000.000.000,00 (satu miliar rupiah).

(3) Setiap Orang yang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan penghinaan dan/atau pencemaran nama baik sebagaimana dimaksud dalam Pasal 27 ayat (3) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau denda paling banyak Rp750.000.000,00 (tujuh ratus lima puluh juta rupiah). (4) Setiap Orang yang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan pemerasan dan/atau pengancaman sebagaimana dimaksud dalam Pasal 27 ayat (4) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp1.000.000.000,00 (satu miliar rupiah).

68 Lihat pasal 45 Undang-Undang Nomor 19 Tahun 2016 Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik.

e. Surat Edaran Otoritas Jasa Keuangan Nomor 14/ SEOJK.07/2014 Tentang Kerahasiaan dan Keamanan Data dan/atau Informasi Pribadi Konsumen.

Mengenai perlindungan mengenai kerahasiaan data dan informasi konsumen telah diatur dalam bab II yang berbunyi :

1. PUJK dilarang dengan cara apapun, memberikan data dan/atau informasi pribadi mengenai Konsumennya kepada pihak ketiga.

2. Larangan sebagaimana dimaksud pada angka 1 dikecualikan dalam hal: a. Konsumen memberikan persetujuan tertulis; dan/atau b. diwajibkan oleh peraturan perundang-undangan.

3. Dalam hal Konsumen memberikan persetujuan tertulis sebagaimana dimaksud pada angka 2 huruf a, PUJK dapat memberikan Data dan/atau Informasi Pribadi Konsumen dengan kewajiban memastikan pihak ketiga dimaksud tidak memberikan dan/atau menggunakan Data dan/atau Informasi Pribadi Konsumen untuk tujuan selain yang disepakati antara PUJK dengan pihak ketiga.

4. Tata cara persetujuan tertulis dari Konsumen dapat dinyatakan dalam bentuk antara lain: a. pilihan setuju atau tidak setuju; atau b. memberikan tanda persetujuan. dalam dokumen dan/atau perjanjian produk dan/atau layanan.

5. Dalam hal PUJK yang memperoleh data dan/atau informasi pribadi seseorang dan/atau sekelompok orang dari pihak lain dan PUJK akan menggunakan data dan/atau informasi tersebut untuk melaksanakan kegiatannya, PUJK wajib memiliki pernyataan tertulis bahwa pihak lain dimaksud telah memperoleh persetujuan tertulis dari seseorang dan/atau sekelompok orang tersebut untuk memberikan data dan/atau informasi pribadi dimaksud kepada pihak manapun termasuk PUJK.