Senin, Februari 22, 2010

Lemahnya Perlindungan terhadap Data Pribadi

Dering ponsel menyela acara makan siang Hery Artono. Wirausahawan di bidang alat mesin pertanian ini buru-buru meraih ponsel di hadapan. “Halo,” katanya, dengan nada berat. Lama ia terdiam, sambil mendengarkan suara di seberang. “Oh, tidak Mbak. Lain kali saja. Terima kasih ya,” katanya, sambil buru-buru menutup panggilan.

Kepada para relasinya, pria asal Semarang, Jawa Tengah ini lantas bercerita mengenai asal-usul panggilan tadi. Rupanya, tawaran berbagai pihak yang mengatasnamakan bank penerbit kartu kredit yang dimilikinya telah mengusik ketenangannya. Mulai dari Kredit Tanpa Agunan (KTA), asuransi, paket wisata, hingga produk komersial lainnya. “Bukan sekali ini saja, tapi berkali-kali. Ini sangat mengganggu,” ujarnya lagi.

Herry Artono tak sendirian. Nasib yang lebih tragis menimpa Beatrice Pangestu, karyawan swasta di Surabaya, Jawa Timur. Sebulan setelah aplikasi kartu kreditnya disetujui sebuah bank asing, ia mendapat telepon yang mengaku dari bank penerbit kartu kredit untuk melakukan konfirmasi atas kartu kredit yang ia terima. Tanpa curiga, Beatrice pun memberikan nomor kartu berikut expiry date-nya. “Karena saya yakin orang tersebut dari bank penerbit kartu kredit karena mengetahui identitas pribadi saya,” katanya.

Kemudian, orang tersebut mengatakan bahwa dirinya mendapatkan free 3 voucher dari Grand Hyatt Hotel. Rasa senang menyelinap bilik hati Beatrice. Namun, belum hilang rasa senang ini, ternyata di akhir pembicaraan orang tersebut menyebutkan jumlah yang harus ia bayar dan langsung didebet otomatis dari kartu kredit Beatrice, sebesar Rp 3.687.900.

“Saya sangat terkejut dan langsung menelepon card center untuk melakukan pemblokiran terhadap kartu kredit saya,” katanya. Nasi sudah menjadi bubur. Ternyata kartu kredit yang ia miliki sudah melakukan transaksi berupa debit sejumlah nominal di atas oleh pihak penelpon. Pihak penerbit pun tak dapat melakukan pembatalan transaksi tersebut. Yang lebih menyesakkan, pihak penerbit mengakui tak tahu menahu dan tak pernah melakukan kerja sama apapun dengan penelpon.

Pengalaman seperti ini boleh jadi menimpa Anda atau siapapun yang pernah melakukan transaksi atau memberikan data pribadi kepada perusahaan yang membutuhkan. Peristiwa ini menunjukkan, posisi individu di hadapan entitas bisnis seringkali tidak kuat. Sebagai contoh, seseorang yang mengajukan aplikasi kartu kredit diharuskan untuk mengisi formulir yang disediakan oleh lembaga keuangan yang mengeluarkan kartu tersebut. Nyaris seluruh data penting yang berkaitan dengan orang tersebut wajib diberikan, atau ia kehilangan kesempatan untuk memperoleh kartu kredit.

Kewajiban menyerahkan data pribadi, yang menyangkut banyak aspek kehidupan dan perjalanan hidup seseorang dan bahkan keluarganya, telah menjadikan individu tawanan sistem. Data pribadi harus diserahkan untuk kebutuhan apapun, mulai dari mengajukan kredit rumah, melamar pekerjaan, mengambil hasil undian, dan sebagainya.

Sebaliknya, seakan tidak ada kewajiban dari pihak yang menghimpun data pribadi tersebut untuk menjaga kerahasiaannya, dalam pengertian hanya menggunakannya untuk kepentingan seperti yang telah disepakati. Sering terjadi, data pribadi itu diteruskan kepada pihak lain tanpa seizin pribadi yang bersangkutan. Misalnya, bagaimana sebuah perusahaan bisa menawarkan produk atau jasanya kepada seseorang dengan mengirim surat ke alamat rumah padahal nama dan alamat yang bersangkutan tidak tercantum di buku telepon.

Menurut catatan Yayasan Lembaga Konsumen Indonesia (YLKI), belakangan ini pengaduan soal adanya telepon yang menawarkan beragam produk mulai marak. “Maraknya kejahatan melalui SMS (short message service), undian berhadiah, hingga melalui surat atau dokumen yang seolah-olah resmi, karena pelaku usaha tidak bisa mem-protect atau melindungi data-data milik konsumen,” kata Anggota Pengurus Harian YLKI, Sudaryatmo.

Secara kelembagaan, YLKI juga mengeluhkan masih lemahnya perlindungan terhadap data pribadi yang diterapkan instansi pemerintah maupun badan usaha. Kondisi ini rawan menimbulkan tindak kejahatan, di mana yang menanggung akibatnya konsumen atau masyarakat luas. Apalagi, lanjut Sudaryatmo, kasus-kasus ini akan terus terjadi selama pemerintah belum bisa memberikan perlindungan data pribadi secara optimal serta menyediakan perangkat hukum yang bisa menimbulkan efek jera terhadap pelaku maupun instansi yang ceroboh.

Merespon adanya keluhan masyarakat ini, pemerintah dalam hal ini Kementerian Pendayagunaan Aparatur Negara (PAN) bekerja sama dengan Departemen Komunikasi dan Informatika (Depkominfo) tengah menyiapkan RUU Perlindungan Data dan Informasi Pribadi (RUU PDIP). Kendati hanya pengatur pejabat publik, RUU ini dimaksudkan agar perusahaan peminta data pribadi bertanggung jawab menyimpan kerahasiaan data pribadi masyarakat atau konsumennya.

Namun, pengamat telematika Onno W. Purbo menjelaskan, kerahasiaan data pribadi ini sudah diproteksi oleh UU Informasi dan Transaksi Elektronik (ITE) Pasal 26. Pasal ini menjelaskan antara lain, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.

Pasal ini juga mengatur, orang yang dilanggar haknya pun dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan UU ini. “Jadi, perusahaan yang meminta data kita hanya bisa menyerahkan ke pihak lain jika ada ijin tertulis dari kita yang memiliki data. Secara etik,, perusahaan tersebut harus bertanggung jawab untuk melindungi data kita,” kata Onno, menjelaskan.

Telaah mengenai kasus ini tidak dimaksudkan untuk memperkeruh persoalan, termasuk mencari-cari kesalahan pihak manapun. Diskusi lebih diarahkan pada apa dan bagaimana seharusnya perusahaan maupun konsumen maupun masyarakat luas memperlakukan data-data pribadinya secara cermat dan tahu data apa yang bisa dipublikasikan atau tidak.

***

Onno W. Purbo

Pakar Telematika

“Manajemen Indonesia Harus Belajar Banyak”

Secara etis, data dan informasi yang diberikan oleh nasabah atau masyarakat kepada perusahaan yang meminta data pribadi hanya untuk keperluan perusahaan yang bersangkutan dan hanya untuk kepentingan tertentu seperti yang diinginkan pemberi data. Biasanya untuk authentikasi atau billing. Dan, perusahaan penerima data tidak boleh mempublikasikan atau menjual data pribadi nasabah atau konsumen ke pihak ketiga.

Kalau memakai media elektronik, ada sedikit proteksi dari UU ITE. Pasal 26 menjelaskan, (1) Kecuali ditentukan lain oleh Peraturan Perundang-undangan, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan Orang yang bersangkutan. (2) Setiap Orang yang dilanggar haknya sebagaimana dimaksud pada ayat (1) dapat mengajukan gugatan atas kerugian yang ditimbulkan berdasarkan Undang-Undang ini.

Saya bukan orang hukum, jadi saya mungkin saja salah. Namun, kalau transaksi memakai media elektonik, maka UU ITE Pasal 26, seperti saya sebut di atas bisa dipakai. Memang data diambil oleh bank atau perusahaan telekomunikasi dan bisa saja dijual kepada siapapun atau merchant manapun. Misalnya yang sering kejadian untuk dikirimi katalog setiap bulan biar kita tertarik untuk belanja.

secara etika, kita berhak untuk meng-update data, berhak supaya data tersebut tidak dipublikasikan. Perusahaan juga tidak boleh meng-copy-kan atau menjual ke pihak ketiga tanpa seizin pemilik data. Kalau merasa terganggu kita bisa menggugat pakai UU ITE Pasal 26. Sebab, tindakan menyerahkan data kepada pihak lain itu tidak dapat ditoleransi.

Kalau mengacu ke UU ITE Pasal 26, perusahaan yang meminta data kita hanya bisa menyerahkan ke pihak lain jika ada ijin tertulis dari kita yang memiliki data. Perusahaan harus bertanggung jawab untuk tidak menyerbarluaskan data tersebut.

Tindakan maupun langkah legal yang dapat dilakukan seorang konsumen yang datanya diserahkan kepada pihak lain juga sudah diatur dalam UU ITE Pasal 38 dan 39. Apabila pemilik data merasa dirugikan dan dapat membuktikan kerugian yang dialaminya, maka ia dapat mengajukan gugatan kepada pihak yang menyelenggarakan Sistem Elektronik dan/atau menggunakan Teknologi Informasi yang menimbulkan kerugian.

Pasal ini juga mengatur, masyarakat dapat mengajukan gugatan secara perwakilan terhadap pihak yang menyelenggarakan Sistem Elektronik dan/atau menggunakan Teknologi Informasi yang berakibat merugikan masyarakat, sesuai dengan ketentuan Peraturan Perundang-undangan.

Dari sisi perlindungan data individu, semua data pelanggan atau individu adalah amanat. Jangan sampai perusahaan menyepelekan amanat yang diberikan masyarakat. Sebab, sering kali manajemen menganggap sepele keamanan data. Contoh yang paling sederhana, banyak orang (manajer) memberikan password ke anak buahnya supaya memudahkan pekerjaan dia. Padahal otoritas seorang manajer dengan anak buahnya berbeda, sehingga akibatnya bisa fatal sekali.

Secara prosedural, harus dibuat prosedur pengumpulan data minimal yang tidak melanggar privacy seseorang, tapi tidak melanggar hukum jangan sampai sembarangan orang data mengakses database. Kalau pun ada yang mengakses database data tersebut sebaiknya di-log atau dicatat siapa, kapan, serta apa yang diakses supaya sewaktu-waktu terjadi masalah kita dapat dengan mudah melacak

Yang mungkin juga penting, proteksi sistem pengiriman data maupun server sebaiknya mengikuti standar atau konsensus network security yang berlaku supaya tidak sembarangan orang dapat melihat data yang ada. Karena itu, manajemen di Indonesia masih harus banyak belajar prosedur proteksi data dan informasi berkaitan dengan komputer, karena ini menjadi fatal di dunia yang serba maya.

***

Sudaryatmo

Anggota Pengurus Harian YLKI

“Masuk Ranah Legal”

Banyak yang mulai terganggu dan mengeluh dengan adanya pembocoran data pribadi ini. Ada beberapa konsumen yang merasa tidak memberikan data, namun tiba-tiba ditawari produk yang sebetulnya tidak dibutuhkan mereka. Padahal, konsumen tak pernah memberi mandat pada perusahaan untuk menyebarkan data pribadi dia kepada pihak lain.

Yang jadi masalah, bank atau perusahaan penerima data pribadi menggaransi tidak akan membocorkan data. Tapi, perusahaan mengaku tidak bisa mengontrol perusahaan kurir untuk meng-copy data, walaupun hanya alamat. Dulu, data kelompok masyarakat pengguna kartu kredit itu bisa diperjualbelikan. Artinya, dari sisi nama dan alamat saja jadi ladang bisnis. Apalagi kalau sampai ke soal kinerja, track record, performance pembayaran, sehingga layak ditawari berbagai macam produk.

Dalam konteks industri, perbankan dibangun berdasarkan trust. Bank menjamin data tidak dibocorkan. Kalau nasabah tidak lagi percaya pada bank, sebetulnya bank itu sudah habis. Namun, saya yakin bahwa kalangan industri perbankan tidak akan menyalahgunakan trust konsumennya.

Kaitannya dengan rejim kerahasiaan bank, dulu memang masih ada perdebatan, sampai batas mana rahasia bank. Dengan UU baru, menjadi jelas apa yang harus di-cover bank serta mana yang data yang boleh dipublikasikan. Kalau seperti tabungan, bank tak boleh mempublikasikan. Beda kalau kewajiban, seperti hutang, boleh diumumkan, dalam rangka supaya nasabah mau menunaikan kewajibannya.

Walaupun demikian, hak sebagai pribadi setelah memberikan data untuk mendapatkan jaminan atas perlindungan kerahasiaan data. Kalau kita bisa membuktikan bahwa perusahaan yang meminta data membocorkan atau bahkan menjualbelikan data pribadi dan berdampak pada kerugian pada pemilik data, pemilik data berhak menuntut.

Tindakan menyerahkan data ke pihak ketiga sudah masuk ranah legal. Ketika kita mengisi formulir kredit pemilikan rumah, bank tak punya kewajiban untuk mengembalikan data yang diminta, tapi bukan berarti konsumen memberikan hak pada perusahaan untuk menyebarluaskan datanya.

Tuntutan ke arah legal action juga bisa dilakukan apabila terbukti pembocoran data ini merugikan nasabah. Memang kalau kita bicara dalam konteks legal, kita menggunakan acuan UU yang sifatnya umum, pidana atau perdata. Ada yang menggunakan yang sifatnya khusus, seperti UU perlindungan data pribadi. Konsumen bisa menuntut perusahaan secara perdata maupun pidana kepada pihak yang membocorkan data pribadi kepada pihak ketiga.

Mestinya perlindungan terhadap data diberikan perusahaan, sehingga bisa meyakinkan konsumen bahwa sistem yang diterapkan berlapis sehingga tak mungkin data dicuri atau dimanfaatkan untuk kepentingan lain. Tapi, sistem apapun, di belakangnya kan ada orang, sehingga tak bisa dipegang. Kasus yang terungkap, seperti kloning kartu kredit, selalu melibatkan orang dalam, karena dia tahu sistemnya.

Sanksi yang dapat diberikan pada perusahaan yang memberikan data pribadi ke pihak ketiga, bisa beragam. Dalam konteks administrasi, kalau perusahaan bisa dibuktikan telah membocorkan data nasabah, otoritas bank sentral yang bisa menjatuhkan sanksi, bahwa perusahaan itu telah melanggar prinsip good corporate governance.

Dari aspek perdata, perilaku ini dapat menimbulkan kerugian karena pihak bank melakukan pelanggaran terhadap hak subyektif pemilik data. Dia telah menggunakan data, menyebarluaskan, atau menjual data tanpa ijin pemilik data. Gugatan ini bisa disampaikan ke peradilan umum dan nasabah berhak mendapatkan ganti rugi.

Kasus ini menyangkut relasi, interaksi, hubungan antara pribadi dengan lembaga bisnis, memang harus ada aturan yang spesifik. Di sini kita mendesak adanya UU Perlindungan Data Pribadi, untuk melindungi para pemilik data. Bagi pemilik data, harus ada kejelasan mengenai apa yang boleh dan tak boleh dilakukan. Sampai berapa jauh dia membuka data pribadi.

Muhamad Ismail Thalib
Direktur PT Zahir Accounting

“Posisi Konsumen Lemah”

Pihak perusahaan sebagai peminta data konsumen hendaknya hanya menggunakan data tersebut untuk keperluan kelengkapan data transaksi yang terhubung antara perusahaan tersebut dengan konsumen. Data yang dimintapun hendaknya hanya data-data yang benar-benar diperlukan dan terkait dengan transaksi.

Di samping itu, konsumen yang dimintai data mempunyai hak untuk mendapatkan jaminan bahwa data-data yang diberikan hanya dipergunakan untuk keperluan pelayanan dengan perusahaan yang bersangkutan. Dengan kata lain, seharusnya pemilik data mendapatkan perlindungan bahwa data-data yang diberikan tidak dipergunakan oleh perusahaan lain, ataupun bagian lain meski satu grup usaha.

Apalagi data tersebut diperlakukan sebagai data calon target pemasaran dari perusahaan lain yang terhubung baik secara langsung atau tidak langsung dengan perusahaan pertama di mana konsumen menyerahkan datanya. Sebab, dari sisi etis, tindakan menyerahkan data kepada pihak lain sama sekali tidak dibenarkan.

Sejauh pemahaman kami, tidak ada Undang-Undang yang memperbolehkan perusahaan yang meminta data kita menyerahkan ke pihak lain. Lebih spesifik lagi, Indonesia belum memiliki Undang-Undang yang secara khusus menjamin kerahasiaan data konsumen. Undang-Undang yang di negara lain lazim disebut UU PDP (Personal Data Protection) semestinya menjadi perhatian khusus dari pemerintah.

Karena belum ada UU yang secara khusus mengatur PDP tersebut, maka perusahaan yang menyebarkan data konsumen itu bisa lepas dari tanggungjawab. Mereka bisa saya dengan sesuka hati menyebarluaskan data pribadi, termasuk data yang sifatnya privacy sekalipun.

Padahal, dari sisi perlindungan data individu, yang seharusnya dilakukan oleh perusahaan yang meminta data adalah memastikan dan menjamin bahwa data tersebut tidak disalahgunakan selian kepentingan transaksi yang berkaitan. Bahkan tidak dipergunakan untuk kepentingan marketing produk lain dari perusahaan yang sama. Perusahaan mesti punya itikad baik dalam keamanan data konsumen.

Jika penyebarluasan data pribadi ini sudah terjadi, tindakan yang dapat dilakukan seorang konsumen yang datanya diserahkan kepada pihak lain adalah meminta bantuan Yayasan Lembaga Konsumen Indonesia (YLKI). Upaya hukum pastinya bisa dilakukan. Namun, posisi konsumen akan sangat lemah karena tidak adanya sanksi hukum yang jelas dan tegas yang mengikat perusahaan yang menyebarkan data tersebut.

Berkaitan dengan sistem penyimpanan data, proteksi dan keamanan data, suatu sistem yang mengatur jaminan keamanan data konsumen mesti diciptakan agar kepercayaan konsumen kepada perusahaan bisa meningkat. Dalam hal kasus pertukaran data konsumen di kalangan perusahaan kartu kredit membuat kepercayaan konsumen kepada perusahaan penyedia kartu
kredit di Indonesia akhir-akhir ini menjadi menurun.


1 komentar:

Unknown mengatakan...

Saya mau bertanya pak, siapa yang berhak untuk mengetahui data2 transaksi nasabah atau calon nasabah (misal pengajuan kredit) di dalam Bank? Seberapa jauh wewenang mereka dan apakah dilindungi hukum seperti Sumpah Dokter yg akan melindungi data2 pasiennya? Terimakasih, salam.
(Komunitas Mahasiswa e-Business di UGM)