UU PDP dan layanan bank digital

Indonesia kini telah memiliki peraturan perundangan yang khusus mengatur terkait perlindungan data pribadi melalui Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang telah disahkan pada 17 Oktober 2022. 

Beleid gress ini merupakan landasan hukum yang memberikan kepastian bahwa Indonesia menjamin dan memastikan perlindungan data pribadi bagi warga negaranya.

Lahirnya UU PDP tentu sejalan dengan perkembangan teknologi informasi yang saat ini telah membawa masyarakat dunia ke dalam era revolusi industri 4.0. Pemanfaatan teknologi telah merambah berbagai industri, termasuk industri perbankan. Perubahan pola konsumsi masyarakat ke arah digital mendorong perbankan mengakselerasi proses transformasi menuju perbankan digital.

Di samping membawa peluang yang dapat dimanfaatkan oleh industri perbankan, transformasi digital memunculkan tantangan yang perlu diwaspadai dimana beberapa diantaranya mencakup perlindungan data pribadi dan risiko kebocoran data.

Beberapa hal penting perlu diperhatikan sehubungan dengan UU PDP dalam digitalisasi perbankan antara lain terkait dengan dasar pemrosesan Data Pribadi dan kebijakan Masa Retensi. 

UU PDP mewajibkan Pengendali Data Pribadi untuk memiliki dasar pemrosesan Data Pribadi ketika melakukan pemrosesan Data Pribadi.

Dasar pemrosesan merupakan hal yang cukup krusial mengingat dalam program digitalisasi, mayoritas Bank mengintegrasikan layanannya dengan sejumlah layanan lain yang bergerak di bidang usaha di luar kegiatan perbankan, seperti e-commerce, food and beverage, maupun layanan transportasi. Saat ini juga telah beroperasi beberapa Bank Digital.

Penyelenggara Bank Digital perlu memperhatikan sejauh apa dasar pemrosesan Data Pribadi yang telah disetujui oleh penggunanya dalam ekosistem bank digital tersebut; bagaimana alur pemrosesan data pribadi dalam hal pengguna menggunakan lebih dari 1 layanan yang terintegrasi dalam ekosistem bank digital; dan (iii) transparansi dalam pemrosesan Data Pribadi.

UU PDP memang menyebutkan bahwa Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi merupakan salah satu dasar pemrosesan Data Pribadi. Namun perlu digarisbawahi bahwa pemrosesan Data Pribadi tersebut pun harus dilakukan secara terbatas dan spesifik sesuai dengan persetujuan yang telah diberikan sebelumnya.

Pengendali Data Pribadi harus memberitahukan kepada Subjek Data Pribadi perihal dasar dari pengumpulan data tersebut, data apa saja yang dikumpulkan, alasan atau tujuan pengumpulannya, berapa lama data tersebut akan disimpan, dan hak-hak Subjek Data Pribadi lainnya.

Pemberitahuan kepada Subjek Data Pribadi di atas mungkin tidak terdengar rumit, namun ketika seorang pengguna menggunakan lebih dari 1 layanan yang terintegrasi dalam suatu ekosistem bank digital tersebut, tidak menutup kemungkinan bahwa Subjek Data Pribadi tidak menyadari sejauh apa persetujuan yang telah diberikan kepada Pengendali Data Pribadi.

Selain itu tidak menutup kemungkinan pula bahwa pengguna ‘terpaksa’ memberikan persetujuannya agar ia dapat mengakses layanan Bank Digital tersebut. Ketika kondisi seperti ini terjadi, maka sudah seharusnya persetujuan yang diberikan tersebut dianggap tidak sah.

Selain itu Bank selaku Pengendali Data Pribadi pun wajib untuk melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan

Masa Retensi

Retensi data merupakan sebuah protokol yang ditetapkan organisasi untuk menyimpan data tertentu demi kebutuhan kepatuhan operasional[10] dan merupakan komponen utama dari manajemen arsip dan tata kelola informasi perusahaan.

Mengacu pada Pasal 5 EU-GDPR, retensi data diatur masanya, dimana data tidak lebih lama dari yang diperlukan untuk tujuan pemrosesan data pribadi. UU PDP tidak mengatur secara jelas mengenai masa retensi Data Pribadi, baik definisinya maupun jangka waktunya. 

UU PDP hanya menjelaskan bahwa Data Pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan.[12] Dari ketentuan tersebut dapat diketahui bahwa, jika diatur oleh peraturan terkait maka masa retensi dokumen yang memuat Data Pribadi akan mengacu pada peraturan masing-masing sektor yang mengatur hal tersebut.

UU PDP juga menjelaskan bahwa Data Pribadi milik subjek akan disimpan selama tujuannya masih berlangsung. Merujuk pada ketentuan tersebut pada umumnya, ketentuan terkait masa retensi masing-masing perusahaan akan berbeda karena disesuaikan dengan tujuannya. Prosedur pemusnahan dan/atau penghapusan Data Pribadi yang dilakukan setelah berakhirnya masa retensi diatur dalam sebuah protokol yang ditetapkan oleh organisasi, yang biasanya disebut sebagai Data Retention Policy.  

Dalam Data Retention Policy, masa retensi dapat dituangkan dalam sebuah jadwal atau scheduler yang mengatur periode retensi penghapusan dari jenis-jenis Data Pribadi yang dikumpulkan oleh perusahaan untuk tujuan yang berbeda-beda.

Bank Digital yang mengumpulkan beragam jenis Data Pribadi, khususnya yang berjenis spesifik berdasarkan Pasal 4 ayat (2) UU PDP, berkewajiban sebagai Pengendali Data Pribadi untuk memiliki sebuah protokol penghapusan dan/atau pemusnahan Data Pribadi. Namun, perlu diperhatikan juga ekosistem layanan dari Bank Digital tersebut, jenis Data Pribadi yang mana yang masih memenuhi tujuan pengumpulan dan pemrosesannya sehingga masih belum dapat dihapus atau dimusnahkan dan mana jenis Data Pribadi yang sudah dipenuhi tujuannya serta sudah habis masa retensinya sehingga wajib dihapus atau dimusnahkan.

Dari kasus di atas dapat dipelajari pentingnya sebuah Bank Digital memiliki kebijakan penghapusan dan/atau pemusnahan data pribadi berdasarkan masa retensi Data Pribadi terkait, terlebih apabila terdapat banyak ekosistem dalam Bank Digital tersebut yang memproses Data Pribadi dengan tujuan yang berbeda-beda. Hal ini perlu dituangkan dengan rinci dalam Data Retention Policy sebagaimana dijelaskan di atas. Selain itu, subjek Data Pribadi yang Data Pribadinya dikumpulkan juga perlu diinformasikan atas jangka waktu masa retensi Data Pribadi mereka.

Walaupun implementasi dari UU PDP masih berada dalam masa transisi dimana organisasi diberikan waktu 2 tahun hingga 2024 untuk menyesuaikan ketentuan pemrosesan Data Pribadinya, bukan berarti organisasi dapat menunda-nunda pengimplementasian ketentuan UU PDP. 

Perencanaan yang matang dan implementasi yang dilakukan secara bertahap perlu dilakukan organisasi sedini mungkin untuk meminimalisir terjadi kebocoran data dan sebagai bentuk upaya kepatuhan terhadap UU PDP.

@IndoTelko