Oleh: F.X. Joniono Rahardjo, S.H., Pengacara dan Penasehat IDXCOOP Ecosystem

Dulu, kepedulian terhadap hal-hal yang bersifat pribadi tidak menjadi isu penting dalam masyarakat Indonesia. Mungkin karena masyarakat kita adalah masyarakat komunal yang lebih mementingkan komunitas dari pada kepentingan pribadi orang perorangan. Berbeda dengan masyarakat Barat yang individualis, yang menjadikan kehidupan pribadi sebagai isu penting dan serius yang wajib dihormati secara khusus.

Beberapa tahun belakangan ini, dengan berkembang pesatnya teknologi digital, kepedulian terhadap hal-hal yang bersifat pribadi semakin menjadi isu penting. Hal itu karena pemrosesan informasi, dengan mengumpulkan sejumlah besar data, yang sebagian dari data tersebut terkait dengan data pribadi. Proses pengolahan data secara digital tersebut dilakukan dengan begitu masif, cepat dan mudah untuk kepentingan ekonomi, politik, dan lain-lainnya.

Pemrosesan data, khususnya yang terkait dengan data pribadi, berpotensi disalahgunakan untuk tujuan-tujuan tertentu tanpa kewenangan dari subyek data pribadi (unauthorized use) sehingga timbul kekhawatiran akan terjadinya penyalahgunaan. Kekhawatiran akan penyalahgunaan ini menjadi kepedulian utama (main concern) bagi banyak negara utuk membuat aturan yang mengatur mengenai perlindungan data pribadi.

Di Indonesia pengaturan mengenai perlindungan data pribadi sebenarnya sudah ada, namun masih tersebar di beberapa peraturan dan itupun masih bersifat parsial. Oleh karna itu pemerintah merasa perlu membuat suatu peraturan khusus mengenai perlindungan data pribadi yang mengatur secara lebih komprehensif hal tersebut, yaitu UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi ⊕.

Apa yang dimaksud dengan data pribadi? Data Pribadi adalah “data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik” seperti yang dinyatakan Pasal 1 angka 1 UU No. 27 Tahun 2022.

Pasal 4 UU itu menyebutkan data pribadi terdiri atas: Data Pribadi yang bersifat spesifik dan Data Pribadi yang bersifat umum. Data Pribadi yang bersifat spesifik adalah: data dan informasi kesehatan, data biometrik, data genetika, data kejahatan, data anak, data keuangan pribadi, dan/atau data lain sesuai dengan ketentuan perundang-undangan. Sedangkan Data Pribadi yang bersifat umum adalah: nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data lain sesuai dengan ketentuan perundang-undangan.

Dengan berkembangpesatnya penggunaan teknologi informasi sebagai operating system pada koperasi-koperasi, khususnya koperasi keuangan (KSP), maka penting sekali bagi pengelola KSP untuk memahami aspek hukum perlindungan data pribadi. Penggunaan IT yang semakin canggih riskan terhadap pelanggaran atas pelindungan data pribadi baik pelanggaran yang dilakukan dengan sengaja maupun dengan tidak sengaja. Kecepatan mengetik pada keyboard computer dapat dengan tidak sengaja menjadi sebab tersebarnya data pribadi seseorang secara cepat tanpa persetujuan subyek data pribadi.

Sebenarnya, lembaga keuangan, termasuk KSP, telah lama concern betapa pentingnya perlindungan data pribadi, khususnya data yang terkait dengan nasabah penyimpan/ penabung. Perlindungan data penyimpan/penabung menjadi salah satu prinsip penting, yang dalam dunia lembaga keuangan dikenal dengan istilah “Secrecy Principle”.  UU perbankan dan Peraturan tentang KSP/USP telah mengatur prinsip tersebut secara khusus sebagai “Rahasia Bank” atau “Rahasia Koperasi” yang tidak boleh dilanggar. Pelanggaran terhadap prinsip ini dapat dikenakan sanksi dan menjadi dasar bagi pihak yang dirugikan untuk melakukan gugatan terhadap bank atau KSP.

Penggunaan IT oleh KSP, tentu melibatkan proses pengolahan informasi data secara digital untuk kepentingan nasabah dengan memberikan kemudahan dan efisiensi kepada mereka agar dapat melakukan transaksi dengan nyaman. Proses pengolahan data melalui IT tidak terlepas dari proses pengolahan informasi yang melibatkan data pribadi yang terkoneksi antar perangkat, baik antar perangkat di dalam KSP itu sendiri maupun antar perangkat di luar KSP dan bahkan tidak menutup kemungkinan masuk ke dalam jaringan lintas wilayah. Dalam konteks ini, perlindungan data pribadi menjadi penting dan wajib dilakukan. Selain pengamanan secara teknologis, KSP juga perlu melindungi diri secara hukum.

Dalam konteks perlindungan hukum dan mitigasi risiko hukum, KSP, selaku Pengendali Data Pribadi, wajib memahami ketentuan-ketentuan yang diatur dalam UU Nomor 27 Tahun 2022 khususnya:

1. ketentuan-ketentuan yang terkait dengan hak Subyek Data Pribadi, sebagaimana dimaksud dalam Pasal 5 sampai dengan pasal 13;
2. ketentuan-ketentuan yang terkait dengan kewajiban-kewjiban KSP, selaku Pengendali Data Pribadi, sebagaimana dimaksud dalam Pasal 20 sampai dengan Pasal 56; dan
3. ketentuan-ketentuan yang terkait dengan larangan-larangan, sebagaimana dimaksud dalam Pasal 65.

Khusus terhadap pelanggaran akan kewajiban-kewajiban, sebagaimana dimaksud pada huruf b, KSP hanya akan dikenakan sanksi administratif berupa sanksi sanksi teguran, sanksi penghentian kegiatan, sanksi penghapusan, dan pemusnahan data dan/atau sanksi denda sebesar paling banyak 2% dari pendapatan atau penerimaan per tahun terhadap variable pelanggaran.

Sanksi yang berat yang dapat menimpa KSP adalah sanksi yang terkait dengan pelanggaran terhadap larangan, sebagaimana dimaksud pada huruf c. Adapun larangan tersebut adalah larangan untuk: memperoleh atau mengumpulkan secara melawan hukum data pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian subjek data pribadi; mengungkapkan secara melawan hukum data pribadi yang bukan miliknya; menggunakan secara melawan hukum data pribadi yang bukan miliknya. Secara melawan hukum artinya melakukan tanpa kewenangan dari subyek data pribadi (unauthorized use).

Pelanggaran atas larangan yang dilakukan oleh perorangan dapat dipidana dengan pidana penjara paling lama 5 tahun dan/atau pidana denda paling banyak Rp. 5.000.000.000,- (Pasal 67 dan 68). Apabila pelanggaran tersebut  dilakukan oleh KSP sebagai korporasi, maka KSP hanya dikenakan pidana denda paling banyak 10 kali pidana denda perorangan, namun tidak menutup kemungkinan KSP dijatuhi pidana tambahan berupa perampasan keuntungan, pembekuan usaha, pelarangan permanen melakukan Tindakan tertentu, penutupan usaha, pembayaran gati kerugian, pencabutan izin usaha, dan/atau pembubaran korporasi (Pasal 70).

Tulisan ini tidak akan membahas UU tersebut secara detail karena penulis  hanya ingin mengingatkan KSP-KSP bahwa sebagai Pengendali Data Pribadi, dalam mengelola data melalui teknologi informasi, KSP-KSP harus benar-benar aware dengan ketentuan yang terkait dengan perlindungan data pribadi agar KSP-KSP terhindar dari tuntutan hukum oleh Subyek Data Pribadi atas kerugian yang dialami. Oleh karena itu, semua dokumen yang terkait dengan pemrosesan data pribadi wajib mendapat persetujuan dari subyek data pribadi yang dapat diverifikasi secara jelas melalui daring dan/atau luring.

Potensi pelanggaran terhadap perlindungan data pribadi tidak hanya  terjadi pada KSP sendiri, tetapi juga bisa terjadi dan dilakukan oleh  lembaga lain yang melakukan kerjasama dengan KSP. Oleh karena itu, dalam kontrak-kontrak atau dokumen lain yang terkait dengan lembaga lain, harus dimasukkan klausul tersendiri yang melarang dilakukannya pengungkapan data pribadi secara tidak sah. Klausul tersebut dikenal dengan istilah Non-disclosure Agreement (NDA). NDA dapat dibuat secara terpisah atau dimasukkan ke dalam perjanjian pokok dengan klausul tersendiri.

Berdasarkan uraian tersebut di atas, menurut penulis, sudah saatnya KSP atau koperasi keuangan mempekerjakan sekurang-kurangnya seorang yang paham hukum yang mampu selalu melakukan update atas perkembangan hukum, khususnya yang terkait dengan pengelolaan KSP atau koperasi keuangan, semacam direktur kepatuhan dalam dunia perbankan. Hukum harus selalu disiapkan di awal ketika melakukan dokumentasi atas segala peristiwa, walaupun penggunaannya di akhir, the last resort, apabila timbul masalah hukum. []