Penyalahgunaan Data Pribadi oleh Penyelenggara Sistem Elektronik

Platform Peminjaman Uang Online bukanlah suatu hal yang baru lagi. Ia seketika menjadi unggul karena kemudahan proses pencairan uang yang tidak memerlukan syarat berkepanjangan serta tidak meminta agunan, Platform Peminjaman Online pun sudah banyak yang terdaftar secara resmi sehingga diawasi langsung oleh Otoritas Jasa Keuangan (OJK). Di antara banyaknya Platform Peminjaman Online, terdapat salah satu aplikasi/platform yang terkenal bernama RupiahPlus.

Untuk meminjam uang pada aplikasi ini, yang perlu dilakukan hanyalah mengunduh aplikasi, mengisi data, dan melakukan verifikasi yang dapat dilakukan di masing-masing. Begitu mudah, akan tetapi aplikasi ini menuai kontroversi ketika salah seorang pengguna, Ali Akbar, menuliskan pengalamannya ketika ia dihubungi oleh seseorang melalui. Seseorang tersebut, yang merupakan penagih dari RupiahPlus, mengirim pesan pada Ali untuk menghubungi teman semasa SMPnya, yang sudah lama tidak berhubungan dengan Ali, agar segera melunasi hutangnya. Tidak hanya berupa tulisan saja, dalam pesan tersebut pun dicantumkan pula foto teman lama Ali, serta pesan-pesan yang mengandung kata kasar dan kata ancaman.

Ditelaah, bahwasanya aplikasi ini ternyata dapat memiliki kontak-kontak penggunanya karena ketika akan diunduh, aplikasi ini meminta izin untuk membaca data SD Card, sehingga ia dapat membaca kontak yang ada dalam handphone, riwayat telepon, dan bahkan membaca SMS. Karena itulah, aplikasi ini dapat menghubungi kontak masing-masing penggunanya

Dalam beberapa peraturan perundang-undangan seperti Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah oleh Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE), Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 Tentang Perlindungan Data Pribadi Dalam Sistem Elektronik (Permen Kominfo), Peraturan Otoritas Jasa Keuangan Nomor 1 Tahun 2013 Tentang Perlindungan Konsumen Sektor Jasa Keuangan (POJK Tentang Perlindungan Konsumen), Platform Peminjaman Uang Online memang diizinkan untuk mengakses/membaca data-data Penggunanya, akan tetapi yang perlu diperhatikan adalah apakah aplikasi RupiahPlus juga berhak menggunakan kontak para penggunanya? Berdasarkan POJK Tentang Perlindungan Konsumen Pasal 3 ayat (3) yang berbunyi:

“Dalam hal Pelaku Usaha Jasa Keuangan memperoleh data dan/atau informasi pribadi seseorang dan/atau sekelompok orang dari pihak lain dan Pelaku Usaha Jasa Keuangan akan menggunakan data dan/atau informasi tersebut untuk melaksanakan kegiatannya, Pelaku Usaha Jasa Keuangan wajib memiliki pernyataan tertulis bahwa pihak lain dimaksud telah memperoleh persetujuan tertulis dari seseorang dan/atau sekelompok orang tersebut untuk memberikan data dan/atau informasi pribadi dimaksud kepada pihak manapun, termasuk Pelaku Usaha Jasa Keuangan.”

Dalam Pasal tersebut mengamanahkan bahwa, aplikasi RupiahPlus seharusnya mendapatkan persetujuan tertulis dari pengguna untuk memberikan data dan/atau informasi mengenai hutang dan/atau informasi yang lain kepada orang selain penggunanya. Lebih lanjut lagi, jaminan atas data pribadi diatur dalam legislasi dan regulasi, yaitu Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE 2008) dan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE 2016) Pasal 26 Ayat 1 yang berbunyi bahwa:

“Kecuali ditentukan lain oleh peraturan perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.”

Dalam kasus ini, RupiahPlus memang meminta izin untuk mengakses data pada HP penggunanya, tetapi bukan untuk menggunakan data yang ada pada HP pengguna apalagi memberikan informasi kepada orang selain pengguna. Kemudian berdasarkan Permen Kominfo Pasal 21 ayat (1) yang berbunyi:

“Menampilkan, mengumumkan, mengirimkan, menyebarluaskan, dan/atau membuka akses Data Pribadi dalam Sistem Elektronik hanya dapat dilakukan:

a. atas kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dan

b. setelah diverifikasi keakuratan dan kesesuaian dengan dan pengumpulan Data Pribadi tersebut”

Pasal tersebut menegaskan bahwa penyelenggara sistem elektronik atau dalam hal ini, RupiahPlus dalam mengakses data-data penggunanya harus mendapatkan persetujuan baik secara tertulis dan/atau secara manual maupun elektronik. Akan tetapi, tidak berhenti sampai permintaan persetujuan untuk mengakses data-data penggunanya. RupiahPlus juga seharusnya menjelaskan tujuan pengaksesan data-data yang ada pada HP para penggunanya secara tertulis dan lalu mendapatkan persetujuan dari penggunanya. Lebih lanjut lagi, penyelenggara sistem elektronik seharusnya memberikan opsi kepada pemilik data pribadi mengenai data pribadi yang dikelolanya dapat/atau tidak dapat digunakan dan/atau ditampilkan oleh/pada pihak ketiga atas persetujuan sepanjang masih terkait dengan tujuan dan pengumpulan data pribadi. Sehingga pengguna juga mengetahui tindakan pengaksesan dan penggunaan data secara utuh. Dalam hal ini RupiahPlus sudah menggunakan data yang diminta dari penggunanya tanpa pengetahuan ataupun persetujuan dari penggunanya. Selain itu RupiahPlus selaku penyelenggara sistem elektronik juga berkewajiban berupa menjaga kerahasiaan data pribadi yang diperoleh, dikumpulkan, diolah, dan dianalisa; wajib menggunakan data pribadi sesuai kebutuhan pengguna saja; melindungi data pribadi beserta dokumen yang memuat data pribadi; dan bertanggun jawab atas data pribadi yang terdapat dalam penguasaannya.

Menurut Ade Bagus Riadi dari Prihatwono Law Research, potensi pelanggaran yang telah dilakukan oleh RupiahPlus salah satunya adalah dengan mengakses seluruh kontak debitur dan menyalahgunakannya tanpa seijin atau sepengetahuan pemilik kontak aslinya. Hal tersebut terindikasi melanggar ketentuan Pasal 27 ayat (4) UU ITE bahwa “Setiap Orang dengan sengaja dan tanpa hak mendistribusikan dan/atau mentransmisikan dan/atau membuat dapat diaksesnya Informasi Elektronik dan/atau Dokumen Elektronik yang memiliki muatan pemerasan dan/atau pengancaman.”

Berkaca dari kasus ini, bagi pemilik data pribadi ketika memberikan persetujuan kepada penyelenggara sistem elektronik terkait data pribadinya, sebaiknya lebih berhati-hati lagi dengan cara membaca atau menanyakan lebih lanjut mengenai tujuan pengaksesan data dirinya. Ditambah mayoritas masyarakat Indonesia belum menyadari bahwa informasi pribadi adalah hal yang wajib dilindungi. Berangkat dari hal ini penyelenggara sistem elektronik seharusnya bisa menjelaskan lebih rinci mengenai pengaksesan data penggunanya terutama tujuan dari perolehan data tersebut.

Sources:

[1] Pratama Persadha, “ Pentingnya Perlindungan Privasi Masyarakat”, https://www.cissrec.org/publications/detail/51/Pentingnya-Perlindungan-Privasi-Masyarakat.html, diakses pada 28 Agustus 2018.

[2] Rifki M Firdaus, “ Pelanggaran Hukum RupiahPlus”, https://www.islampos.com/pelanggaran-hukum-rupiah-plus-94445/, diakses pada 26 Agustus 2018.

[3] “Ini Poin Penting dalam Permen Kominfo Perlindungan Data Pribadi”, http://www.hukumonline.com/berita/baca/lt584cc775d00a4/ini-poin-penting-dalam-permen-kominfo-perlindungan-data-pribadi diakses pada 28 Agustus 2018.

[4] Siaran Pers No.85/HM/KOMINFO/04/2018, “ Jaminan Perlindungan Data Pribadi, Kominfo Beri Sanksi Terhadap Penyalahgunaan oleh Pihak Ketiga”, https://kominfo.go.id/index.php/content/detail/12865/siaran-pers-no-85hmkominfo042018-tentang-jamin-perlindungan-data-pribadi-kominfo-beri-sanksi-terhadap-penyalahgunaan-oleh-pihak-ketiga/0/siaran_pers, diakses pada 28 Agustus 2018.