Bisnis.com, JAKARTA -- Ronggo Astungkoro kaget saat melihat rentetan pesan singkat yang masuk ke telepon genggamnya, pertengahan Mei 2019. Rasa kaget muncul lantaran pesan yang diterimanya bernada aneh.
Dalam pesan yang diterima Ronggo, si pengirim menyebut bahwa dirinya memiliki utang sebesar Rp1,4 juta terhadap perusahaan bernama Pinjaman Plus. Tetapi, uang tersebut bukan dipinjam atas namanya melainkan seseorang berinisial LW.
Ronggo makin kaget lantaran dirinya tak mengenal sosok berinisial LW ini. Dia juga merasa kesal lantaran tak pernah sama sekali meminjam uang dan pesan singkat dengan isi yang sama selalu masuk ke gawainya setiap jam.
“Waktu itu sampai 20 SMS lebih masuk. Kesal lah, ganggu banget pas lagi kerja kan,” keluh Gogo, sapaan akrabnya, kepada Bisnis, Jumat (5/7/2019).
Pengunjung berada di gerai ponsel pintar di sebuah pusat perbelanjaan, di Jakarta, Rabu (20/6/2018)./JIBI-Dwi Prasetya
Nasib Ronggo juga pernah dialami Yoidohan. Pria berusia 28 tahun ini pernah mendapat SMS serupa, tapi berasal dari perusahaan berbeda.
Bedanya lagi, Yoidohan mengenal sosok peminjam uang yang disebutkan dalam SMS ke ponselnya. Tetapi, dia tetap kaget dan heran mengapa dirinya yang dihubungi penagih utang.
“Ini kenal juga cuma sekadar kenal sama yang minjem duit. Enggak ganggu sih karena SMS enggak banyak, tapi takut saja kalau-kalau ada penagih beneran datang ke rumah,” ujar Yoidohan.
Cerita Ronggo dan Yoidohan bukan tidak mungkin pernah dialami orang lain. Bisa dikatakan, Ronggo dan Yoidohan telah menjadi korban tidak langsung dari praktik pengambilan data pribadi secara ilegal.
Praktik pengambilan data pribadi oleh sejumlah perusahaan teknologi selama ini memang kerap terjadi. Namun, belum ada sanksi umum yang bisa digunakan untuk menindak para perusahaan pelanggar.
Aturan soal penindakan perusahaan-perusahaan teknologi yang memanfaatkan data pribadi konsumen tanpa izin selama ini masih berdiri sendiri-sendiri. Misalnya, regulasi untuk menindak perusahaan teknologi informasi (tekfin) yang nakal diatur oleh Otoritas Jasa Keuangan (OJK).
Regulasi yang bisa digunakan OJK adalah Peraturan OJK (POJK) Nomor 77 Tahun 2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi dan POJK 13 Tahun 2018 tentang Inovasi Keuangan Digital.
Dua aturan itu menyebutkan penyelenggara jasa keuangan digital wajib menjaga kerahasiaan, keutuhan, dan ketersediaan data pribadi, transaksi, serta data keuangan yang dikelolanya sejak data diperoleh hingga dimusnahkan.
Pemanfaatan data pribadi konsumen juga harus dilakukan atas persetujuan pengguna aplikasi. Batasan atas penggunaan data pribadi konsumen juga harus ada, sesuai kebutuhan perusahaan.
Jika aturan itu dilanggar, maka beragam sanksi bisa diberikan OJK, mulai dari peringatan tertulis hingga pencabutan izin operasi perusahaan terkait.
Tetapi, aturan yang dimiliki OJK itu terbatas mengatur penggunaan data pribadi oleh perusahaan tekfin. Selain itu, masih ada puluhan beleid lain yang juga memuat aturan-aturan soal perlindungan data pribadi.
Berdasarkan catatan ELSAM, sebuah yayasan studi dan advokasi masyarakat yang berbasis di Jakarta, setidaknya ada 32 aturan yang berlaku dan memuat pengaturan soal penggunaan data pribadi di Indonesia. Aturan-aturan itu terdiri dari sejumlah Undang-Undang (UU) serta peraturan yang dikeluarkan sendiri oleh berbagai kementerian dan lembaga.
Tekfin Nakal
Direktur Kebijakan Publik Asosiasi Fintech Indonesia (AFTECH) Ajisatria Suleiman menuturkan selama ini, masih banyak perusahaan tekfin nakal yang melanggar ketentuan pemanfaatan data pribadi konsumen.
Pelanggaran biasanya dilakukan tekfin Peer-to-Peer (P2P) lending dalam bentuk pemanfaatan data nomor kontak konsumen. Seringkali P2P lending yang nakal menggunakan data kontak nasabah untuk keperluan penagihan pinjaman.
Ilustrasi solusi teknologi finansial./flickr
Dia mengatakan pemanfaatan data kontak nasabah sebenarnya hanya bisa dilakukan perusahaan tekfin untuk keperluan penilaian (assessment). Perusahaan tekfin tak boleh memanfaatkan data nasabah konsumen untuk menagih pinjaman.
“[Jika digunakan untuk keperluan penagihan] Kan berarti sudah mengambil data di luar tujuan dia di awal. Nah, itu yang sebenarnya melanggar, dan saya rasa sudah sepakat kok asosiasi industri dan sebagainya bahwa itu adalah sesuatu yang salah dan harus ditindak,” ujar Ajisatria di kawasan Kuningan, Jakarta Selatan, Jumat (5/7).
Pernyataannya senada dengan fakta banyaknya aduan soal pemanfaatan data kontak konsumen P2P lending yang tak sesuai aturan. Berdasarkan data Yayasan Lembaga Konsumen Indonesia (YLKI), sepanjang 2018, ada 81 aduan terkait praktik peminjaman daring melalui P2P lending yang mereka terima.
Dari jumlah itu, 26 pengadu mempermasalahkan cara penagihan pinjaman. Ada masing-masing 23 aduan terkait pemanfaatan kontak dan suku bunga yang tinggi, serta 9 aduan karena masalah lain.
Anggota Bidang Pengaduan dan Hukum YLKI Rio Priambodo menerangkan banyaknya pelanggaran terjadi karena aturan soal keamanan data konsumen P2P lending yang dibuat OJK belum efektif. Menurutnya, aturan yang ideal harus memuat batasan soal cara memperoleh data secara legal, pembedaan data privasi dan umum, serta memuat hak informasi penggunaan data dan hak meminta penghapusan data serta pertanggungjawaban perusahaan kepada konsumen.
“Ini mendesak pemerintah untuk segera membuat UU Perlindungan Data Pribadi (PDP) yang diharapkan dapat meng-cover permasalahan di masyarakat khususnya terkait peminjaman online,” tutur Rio.
Sementara itu, Ketua Harian Asosiasi Fintech Pendanaan Bersama Indonesia (AFPI) Kuseryansyah mengklaim saat ini, sudah tidak ada lagi P2P lending legal yang mengambil data kontak konsumen.
Klaim itu dikeluarkan sebab larangan meminta akses kontak dan penyimpanan nasabah bagi P2P lending tercantum dalam pedoman perilaku AFPI. Kode etik itu harus dipatuhi jika tak mau diberi sanksi.
Dia menjamin P2P lending yang masih mengambil data kontak nasabah adalah perusahaan ilegal. Oleh karena itu, masyarakat diminta berhati-hati jika hendak meminjam uang melalui P2P lending.
“Itu pasti ilegal, pasti ilegal karena kalau sudah terdaftar melakukan itu [pengambilan data nomor kontak] masuknya kategori pelanggaran berat karena di kode etik disebutkan enggak boleh,” tutur Kuseryansyah kepada Bisnis, Kamis (4/7).
Petugas Dinas Kependudukan dan Catatan Sipil (Disdukcapil) mencetak KTP-el di Kantor Disdukcapil Kota Tasikmalaya, Jawa Barat, Selasa (24/10)./ANTARA-Adeng Bustomi
Know Your Customer
Tak hanya di P2P lending, kasus penggunaan identitas orang lain juga tak jarang terjadi di ranah kartu kredit. Masih segar di ingatan bagaimana Suci Lestari bercerita di Twitter pada Maret 2019, mengenai bagaimana suaminya tiba-tiba mendapat tagihan puluhan juta rupiah dari bank karena pemakaian kartu kredit.
Padahal, Bram--suami Suci--tidak pernah mengajukan pembuatan kartu kredit. Bahkan, pengecekan riwayat kredit di Sistem Layanan Informasi Keuangan (SLIK) OJK menunjukkan ada enam bank yang mengeluarkan kartu kredit atas nama Bram.
Saat itu, Deputi Komisioner Manajemen Strategis dan Logistik OJK Anto Prabowo menyebutkan ada dua celah utama yang bisa menyebabkan terjadinya tindakan fraud kartu kredit.
Pertama, celah muncul dari nasabah yang tak menjaga kerahasiaan identitasnya dengan baik. Kebiasaan sejumlah orang yang tak khawatir menyebarkan secara sembarangan nama, nomor e-KTP, telepon, dan data-data pribadi miliknya bisa mengundang terjadinya praktik penipuan.
Kedua, penipu bisa mengambil celah memanfaatkan praktik ilegal jual beli data nasabah. Dia menyatakan kemungkinan ini ada lantaran kebiasaan agen pemasaran kartu kredit yang gemar melakukan hal tersebut.
“Dalam pemasaran kartu kredit, sering bank menggunakan jasa pemasaran yang sifatnya freelance. Nah, di antara mereka sering terjadi jual beli data nasabah. Seharusnya bank dilarang memanfaatkan data yang sumbernya tidak jelas,” kata Aldo kepada Bisnis, Selasa (12/3/2019).
Dia menyebut lembaganya sudah mengeluarkan larangan bagi bank memanfaatkan data yang sumbernya tidak bisa dipertanggungjawabkan. Bank juga tidak diperkenankan memberi data konsumen ke pihak lain.
Aturan itu tercantum pada POJK Nomor 1 Tahun 2013 tentang Perlindungan Konsumen Sektor Jasa Keuangan. Pasal 31 POJK 1/2013 melarang Pelaku Usaha Jasa Keuangan memberi atau menerima data konsumen kepada pihak ketiga tanpa izin orang terkait.
Jika ada pelanggaran atas POJK 1/2013 yang dilakukan bank, maka OJK akan menindak bank terkait. Jika kesalahan terletak pada konsumen, maka lembaganya akan melakukan edukasi agar data pribadi konsumen dijaga dengan baik ke depannya.
Adapun Bank Indonesia (BI) menganggap fraud kartu kredit bisa terjadi akibat minimnya perlindungan data nasabah, baik oleh pihak bank maupun konsumen. Berdasarkan catatan Bisnis, Kepala Departemen Komunikasi BI Onny Widjanarko menyatakan perlindungan data nasabah penting dilakukan pihak bank serta konsumen.
Ilustrasi kartu kredit./Istimewa
Selaku penerbit kartu kredit, bank juga disebutnya perlu menjunjung tinggi prinsip Know Your Customer (KYC), atau kenali konsumen lebih dekat guna menghindari tindakan penipuan.
Bank juga seharusnya memeriksa ulang kebenaran identitas penerima kartu kredit yang diterbitkan. Pengecekan bisa dilakukan saat kartu dikirim ke alamat nasabah dan bank menghubungi orang terkait untuk mengaktivasi kartu kreditnya.
Urgensi UU PDP
Sementara itu, pandangan YLKI bahwa UU PDP dapat mengisi kekosongan aturan soal perlindungan data pribadi, terutama bagi hubungan antara konsumen dan perusahaan tekfin, tidak sama dengan pendapat AFTECH.
Ajisatria menilai pengaturan eksisting terkait pemanfaatan data pribadi konsumen oleh tekfin, terutama P2P lending, sebenarnya sudah cukup. Penindakan atas perusahaan-perusahaan yang nakal pun kerap dilakukan OJK serta asosiasi selama ini.
Keberadaan UU PDP dianggapnya tidak akan banyak mengubah aturan soal data pribadi. Tetapi, beleid itu dipercaya bisa menegaskan sanksi yang bisa diberikan kepada semua pihak pelanggar perlindungan data pribadi.
“Sebenarnya lebih kepada enforcement. Nah, enforcement-nya apa? Misal, ada suatu lembaga independen yang bisa lakukan pengawasan. Karena pada praktiknya yang melakukan pelanggaran data pribadi itu bukan hanya swasta. Kadang-kadang pemerintah bisa lalai melindungi data pribadi warga negara,” ujarnya.
RUU PDP yang saat ini masih dibahas pemerintah telah diakui berkiblat pada regulasi perlindungan data pribadi milik Uni Eropa (UE) (European Union General Data Protection Regulation/EU GDPR). Pengakuan itu disampaikan Direktur Pengendalian Informasi Aplikasi Kementerian Komunikasi dan Informatika (Kemkominfo) Riki Arif Gunawan.
Dalam EU GDPR, ada dasar hukum pembentukan badan independen untuk menindak pelanggar. Badan independen yang dibentuk UE sesuai GDPR disebut Data Protection Authority (DPA).
Riki menjelaskan pembentukan UU PDP akan berdampak pada lahirnya lembaga baru seperti DPA di UE. Badan baru ini bisa memeriksa apakah semua pihak telah mengelola data milik konsumen dengan baik atau tidak.
Stiker dengan logo Facebook terlihat dalam konferensi F8 yang digelar Facebook di San Jose, California, AS, Selasa (30/4/2019). Penyalahgunaan data pengguna Facebook mendorong percepatan penerapan European Union General Data Protection Regulation (EU GDPR)./Reuters-Stephen Lam
Lembaga independen yang akan dibentuk juga disebutnya bisa menindak pemerintah jika terbukti melanggar aturan-aturan soal perlindungan data pribadi. Sanksi yang bisa diberikan lembaga ini berupa denda kepada perusahaan atau kementerian/lembaga yang melakukan pelanggaran.
“Di Eropa juga sama, denda sangat mahal. Jadi pengusaha harus perhatikan prinsip ini agar tidak bangkrut karena denda bisa 4 persen dari pendapatannya, atau 40 juta euro,” sebutnya.
Kemkominfo mengungkapkan UU PDP yang akan dibentuk nantinya memuat aturan soal syarat-syarat agar transfer data antar perusahaan bisa dilakukan. Beleid itu juga akan mengintegrasikan berbagai aturan terkait perlindungan data pribadi yang selama ini terpisah-pisah.
UU PDP dijanjikan memuat aturan soal batasan bagi perusahaan untuk mengambil data pribadi konsumen. Namun, Riki belum bisa memastikan apakah keberadaan UU PDP nanti berdampak pada keberadaan regulasi-regulasi lain soal perlindungan data pribadi atau tidak.
“Nanti akan diketahui dalam pembahasan di DPR, apakah [UU PDP] akan menganulir aturan yang sudah ada atau tetap memperhatikan regulasi-regulasi itu,” ucapnya.