IMPLEMENTASI UU PDP PADA BANK DIGITAL

Updated: 3 days ago

Oleh: Wahyuni Bahar dan Cintya Shifwah S[1]


Penting bagi Bank Digital memiliki kebijakan pemrosesan data beserta penghapusan dan/atau pemusnahan data pribadi, terlebih apabila terdapat banyak ekosistem dalam Bank Digital yang memproses Data Pribadi dengan tujuan yang berbeda-beda

Indonesia kini telah memiliki peraturan perundangan yang khusus mengatur terkait perlindungan data pribadi melalui Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) yang telah disahkan pada 17 Oktober 2022. Menteri Komunikasi dan Informatika, Johnny G. Plate, menyampaikan bahwa UU PDP merupakan landasan hukum yang memberikan kepastian bahwa Indonesia menjamin dan memastikan perlindungan data pribadi bagi warga negaranya.[2]


Lahirnya UU PDP tentu sejalan dengan perkembangan teknologi informasi yang saat ini telah membawa masyarakat dunia ke dalam era revolusi industri 4.0. Pemanfaatan teknologi telah merambah berbagai industri, termasuk industri perbankan. Perubahan pola konsumsi masyarakat ke arah digital mendorong perbankan mengakselerasi proses transformasi menuju perbankan digital.[3]  Di samping membawa peluang yang dapat dimanfaatkan oleh industri perbankan, transformasi digital memunculkan tantangan yang perlu diwaspadai dimana beberapa diantaranya mencakup perlindungan data pribadi dan risiko kebocoran data.[4]


Sebagai upaya kepatuhan atas ketentuan perlindungan data pribadi dan meminimalisir terjadinya kebocoran data, beberapa hal penting perlu diperhatikan sehubungan dengan UU PDP dalam digitalisasi perbankan antara lain terkait dengan dasar pemrosesan Data Pribadi dan kebijakan Masa Retensi.

Dasar Pemrosesan Data Pribadi

UU PDP mewajibkan Pengendali Data Pribadi untuk memiliki dasar pemrosesan Data Pribadi ketika melakukan pemrosesan Data Pribadi.[5]


Dasar pemrosesan merupakan hal yang cukup krusial mengingat dalam program digitalisasi, mayoritas Bank mengintegrasikan layanannya dengan sejumlah layanan lain yang bergerak di bidang usaha di luar kegiatan perbankan, seperti e-commerce, food and beverage, maupun layanan transportasi. Saat ini juga telah beroperasi beberapa Bank Digital.


Penyelenggara Bank Digital perlu memperhatikan (i) sejauh apa dasar pemrosesan Data Pribadi yang telah disetujui oleh penggunanya dalam ekosistem bank digital tersebut;[6] (ii) bagaimana alur pemrosesan data pribadi dalam hal pengguna menggunakan lebih dari 1 layanan yang terintegrasi dalam ekosistem bank digital; dan (iii) transparansi dalam pemrosesan Data Pribadi.


UU PDP memang menyebutkan bahwa Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi merupakan salah satu dasar pemrosesan Data Pribadi. Namun perlu digarisbawahi bahwa pemrosesan Data Pribadi tersebut pun harus dilakukan secara terbatas dan spesifik sesuai dengan persetujuan yang telah diberikan sebelumnya.[7]


Pengendali Data Pribadi harus memberitahukan kepada Subjek Data Pribadi perihal dasar dari pengumpulan data tersebut, data apa saja yang dikumpulkan, alasan atau tujuan pengumpulannya, berapa lama data tersebut akan disimpan, dan hak-hak Subjek Data Pribadi lainnya.[8]


Pemberitahuan kepada Subjek Data Pribadi di atas mungkin tidak terdengar rumit, namun ketika seorang pengguna menggunakan lebih dari 1 layanan yang terintegrasi dalam suatu ekosistem bank digital tersebut, tidak menutup kemungkinan bahwa Subjek Data Pribadi tidak menyadari sejauh apa persetujuan yang telah diberikan kepada Pengendali Data Pribadi. Selain itu tidak menutup kemungkinan pula bahwa pengguna ‘terpaksa’ memberikan persetujuannya agar ia dapat mengakses layanan Bank Digital tersebut. Ketika kondisi seperti ini terjadi, maka sudah seharusnya persetujuan yang diberikan tersebut dianggap tidak sah.


Memang untuk saat ini belum dapat ditemukan kasus terkait pemrosesan data pribadi yang dilakukan oleh Bank Digital di Indonesia. Namun terdapat kasus yang terjadi di Hungaria yang dapat dijadikan acuan, yakni kasus Budapest Bank Zrt (“Budapest Bank”).[9]


Dalam kasus tersebut Budapest Bank melakukan analisis otomatis pada panggilan telepon layanan pelanggan namun Budapest Bank tidak memberikan informasi secara jelas kepada Subjek Data Pribadi mengenai pemrosesan data yang dilakukan. Atas praktik tersebut kemudian Supervisory Authority Hungaria memulai penyelidikan ex officio terhadap Budapest Bank pada tahun 2021 untuk meninjau praktik pemrosesan data umum pengontrol data mengenai analisis otomatis. Dari investigasi tersebut, ditemukan bahwa Budapest Bank Zrt mencatat semua panggilan telepon layanan pelanggan yang dianalisis oleh sebuah perangkat lunak secara otomatis setiap malam. Ditemukan pula fakta bahwa Budapest Bank Zrt tidak menginformasikan dengan jelas tentang pemrosesan data tersebut dalam informasi pemrosesan data yang diberikan kepada Subjek Data Pribadi. Atas pelanggaran ini Supervisory Authority Hungaria memerintahkan Budapest Bank Zrt untuk memberhentikan pemrosesan yang tidak diberitahukan kepada Subjek Data Pribadi dan hanya melanjutkan pemrosesan data yang telah disetujui oleh Subjek Data Pribadi sesuai dengan ketentuan EU-GDPR. Selain itu, Supervisory Authority Hungaria menjatuhkan denda administratif sebesar EUR 650.000 kepada Budapest Bank Zrt.


Dari kasus di atas dapat dijadikan pembelajaran bahwa dalam hal suatu layanan melibatkan beberapa pemrosesan untuk lebih dari satu tujuan, maka setiap tujuan harus dijabarkan secara rinci dan individu yang bersangkutan diberi pilihan atas tujuan mana yang mereka setujui. Selain itu Bank selaku Pengendali Data Pribadi pun wajib untuk melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan.[10]


Masa Retensi

Retensi data merupakan sebuah protokol yang ditetapkan organisasi untuk menyimpan data tertentu demi kebutuhan kepatuhan operasional[11] dan merupakan komponen utama dari manajemen arsip dan tata kelola informasi perusahaan.[12]


Mengacu pada Pasal 5 EU-GDPR, retensi data diatur masanya, dimanadata tidak lebih lama dari yang diperlukan untuk tujuan pemrosesan data pribadi.UU PDP tidak mengatur secara jelas mengenai masa retensi Data Pribadi, baik definisinya maupun jangka waktunya. UU PDP hanya menjelaskan bahwa Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan.[13] Dari ketentuan tersebut dapat diketahui bahwa, jika diatur oleh peraturan terkait maka masa retensi dokumen yang memuat Data Pribadi akan mengacu pada peraturan masing-masing sektor yang mengatur hal tersebut.


UU PDP juga menjelaskan bahwa Data Pribadi milik subjek akan disimpan selama tujuannya masih berlangsung. Merujuk pada ketentuan tersebut pada umumnya, ketentuan terkait masa retensi masing-masing perusahaan akan berbeda karena disesuaikan dengan tujuannya. Prosedur pemusnahan dan/atau penghapusan Data Pribadi yang dilakukan setelah berakhirnya masa retensi diatur dalam sebuah protokol yang ditetapkan oleh organisasi, yang biasanya disebut sebagai Data Retention Policy. Dalam Data Retention Policy, masa retensi dapat dituangkan dalam sebuah jadwal atau scheduler yang mengatur periode retensi penghapusan dari jenis-jenis Data Pribadi yang dikumpulkan oleh perusahaan untuk tujuan yang berbeda-beda.


Bank Digital yang mengumpulkan beragam jenis Data Pribadi, khususnya yang berjenis spesifik berdasarkan Pasal 4 ayat (2) UU PDP, berkewajiban sebagai Pengendali Data Pribadi untuk memiliki sebuah protokol penghapusan dan/atau pemusnahan Data Pribadi. Namun, perlu diperhatikan juga ekosistem layanan dari Bank Digital tersebut, jenis Data Pribadi yang mana yang masih memenuhi tujuan pengumpulan dan pemrosesannya sehingga masih belum dapat dihapus atau dimusnahkan dan mana jenis Data Pribadi yang sudah dipenuhi tujuannya serta sudah habis masa retensinya sehingga wajib dihapus atau dimusnahkan.


Sebuah kasus terkait dengan pelanggaran pemenuhan ketentuan masa retensi pernah dialami sebuah bank asal Denmark, Danske Bank.[14] Danske Bank merupakan merupakan sebuah bank konvensional yang juga menawarkan produk-produk digital, sehingga terdapat lebih dari 400 sistem pemrosesan pada ekosistemnya. Pada akhir tahun 2021, ditemukan oleh Danish Data Protection Agency, sebuah lembaga pemerintahan independen asal Denmark yang bertugas untuk menegakkan EU-GDPR, bahwa Danske Bank tidak dapat menunjukan bukti apakah (i) mereka memiliki kebijakan terkait penghapusan dan/atau pemusnahan data pribadi yang mereka kumpulkan; atau (ii) penghapusan data pribadi secara manual telah dilakukan.[15] Danish Data Protection Agency telah melaporkan Danske Bank kepada kepolisian Denmark dan mengusulkan denda sebesar DKK 10 juta (sekitar 1,3 juta EUR) untuk pelanggaran Pasal 5 (2) GDPR.


Dari kasus di atas dapat dipelajari pentingnya sebuah Bank Digital memiliki kebijakan penghapusan dan/atau pemusnahan data pribadi berdasarkan masa retensi Data Pribadi terkait, terlebih apabila terdapat banyak ekosistem dalam Bank Digital tersebut yang memproses Data Pribadi dengan tujuan yang berbeda-beda. Hal ini perlu dituangkan dengan rinci dalam Data Retention Policy sebagaimana dijelaskan di atas. Selain itu, subjek Data Pribadi yang Data Pribadinya dikumpulkan juga perlu diinformasikan atas jangka waktu masa retensi Data Pribadi mereka.


Walaupun implementasi dari UU PDP masih berada dalam masa transisi dimana organisasi diberikan waktu 2 (dua) tahun hingga 2024 untuk menyesuaikan ketentuan pemrosesan Data Pribadinya, bukan berarti organisasi dapat menunda-nunda pengimplementasian ketentuan UU PDP. Perencanaan yang matang dan implementasi yang dilakukan secara bertahap perlu dilakukan organisasi sedini mungkin untuk meminimalisir terjadi kebocoran data dan sebagai bentuk upaya kepatuhan terhadap UU PDP.

Artikel ini tidak ditujukan sebagai nasihat atau opini hukum untuk tindakan tertentu serta tidak dimaksudkan untuk menciptakan hubungan yang mengikat secara hukum bagi siapapun. Jika anda ingin menindaklanjuti topik pembahasan terkait, silahkan menghubungi Kantor Bahar melalui busdev@bahar.co.id.




_____________________________

[1] Partner dan Associate pada Kantor Bahar. Tulisan ini disiapkan bersama Tim Data Protection dan Cyber Kantor Bahar: Jinan Raidangi, Nikkita Levana, dan Naura Nabila.

[2] Direktorat Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika RI, “Pengesahan RUU PDP Dorong Tumbuhnya Ekosistem Digital”, https://aptika.kominfo.go.id/2022/09/pengesahan-ruu-pdp-dorong-tumbuhnya-ekosistem-digital/, diakses pada 15 November 2022.

[3] Sikapiuangmu OJK, “Transformasi Digital Perbankan: Wujudkan Bank Digital”, https://sikapiuangmu.ojk.go.id/FrontEnd/CMS/Article/40774, diakses pada 17 November 2022.

[4] Ibid.

[5] Pasal 20 ayat (1) UU PDP.

[6] Pasal 20 UU PDP.

[7] Pasal 27 UU PDP.

[8] Pasal 21 ayat (1) UU PDP.

[9] https://edpb.europa.eu/news/national-news/2022/data-protection-issues-arising-connection-use-artificial-intelligence_en, diakses pada 18 November 2022.

[10] Pasal 27 UU PDP.

[11] Andre Oliver, “Atur Sistem Pengelolaan Data Perusahaan Dengan Data Retention”, https://glints.com/id/lowongan/data-retention-adalah/#.YsuHKHZByrw, diakses 11 Juli 2022.

[12] Ibid.

[13] Pasal 16 ayat (2) huruf g UU PDP.

[14] European Data Protection Board, “Danish SA: fine proposed for Danske Bank”, https://edpb.europa.eu/news/national-news/2022/danish-sa-fine-proposed-danske-bank_en, diakses 18/11/2022.

[15] Ibid.





74 views