Konsep portabilitas data pribadi perlu didorong agar masyarakat bisa memahami dan menikmati manfaatnya. Regulator perlu berinvestasi untuk membangun infrastruktur yang mendukung serta regulasi yang mendorong efisiensi
Oleh
RICO USTHAVIA FRANS
·5 menit baca
Undang Undang No 27 Tahun 2022 tentang Perlindungan Data Pribadi atau UU PDP yang disahkan 21 September lalu menjadi landasan hukum kuat kepada perlindungan data pribadi. UU PDP mendefinisikan tiga pihak utama dalam konteks perlindungan data pribadi.
Pertama, subyek data pribadi sebagai orang yang pada dirinya melekat data pribadi. Kedua, pengendali data pribadi sebagai pihak yang bertindak dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Ketiga, prosesor data pribadi sebagai pihak yang melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Sebagai gambaran, jika kita menjadi nasabah suatu bank, maka kita adalah subyek data pribadi, sedangkan bank tersebut menjadi pengendali data pribadi. Jika bank itu menunjuk pihak lain untuk membantu mengolah data pribadi, maka pihak tersebut menjadi prosesor data pribadi.
UU PDP ini mengatur hak-hak subyek data pribadi untuk mengakses, mengakhiri pemrosesan, menghapus, dan memusnahkan data pribadi yang disimpan oleh pengendali data pribadi. Di sisi lain, kewajiban pihak pengendali data pribadi dan prosesor data pribadi juga diatur dengan jelas termasuk sanksinya yang bisa mencapai 2 (dua) persen dari pendapatan tahunan mereka.
Jika kita menjadi nasabah suatu bank, maka kita adalah subyek data pribadi, sedangkan bank tersebut menjadi pengendali data pribadi. Jika bank itu menunjuk pihak lain untuk membantu mengolah data pribadi, maka pihak tersebut menjadi prosesor data pribadi.
Di luar aspek perlindungan dan keamanan data pribadi, kita juga harus melihat aspek pemanfaatannya. Salah satu aspek pemanfaatan yang penting adalah portabilitas data pribadi, yaitu hak bagi subyek data pribadi untuk mengakses dan memindahkan data dari satu pengendali data pribadi ke pengendali lainnya.
Konsep ini didukung Pasal 13 UU PDP yang menyatakan, subjek data pribadi berhak mendapatkan atau menggunakan data pribadinya dalam format yang lazim digunakan atau dapat dibaca oleh sistem elektronik. Selain itu, juga berhak menggunakan dan mengirimkan data pribadinya ke pengendali data pribadi lain sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman.
Pasal ini secara implisit menyatakan bahwa subjek data pribadi adalah pemilik data, sedangkan pengendali data pribadi pada dasarnya menjadi kustodian data saja.
Salah satu manfaat portabilitas data pribadi ini adalah untuk meningkatkan credit scoring. Jika kita memiliki rekam jejak bagus sebagai nasabah di suatu bank, kita bisa mendapatkan bunga kredit lebih baik, tidak hanya di bank itu, tetapi di mana pun kita mengajukan aplikasi kredit.
Caranya adalah dengan mengirimkan rekam jejak kredit kita di bank itu ke institusi lain yang akan memberikan kredit, sehingga mereka bisa melakukan analisis lebih akurat untuk mengurangi risiko kredit.
Agar hal itu bisa terjadi, bank atau fintech pinjaman, sebagai pengendali data pribadi, harus memiliki sistem yang memungkinkan nasabahnya mentransfer data pribadi mereka secara elektronik ke bank atau fintech lainnya.
Jika mekanisme ini menjadi standar industri atau diwajibkan oleh OJK, maka bank atau fintech tidak dapat lagi memonopoli kolam data pribadi dari nasabah mereka. Mereka wajib saling berbagi data jika nasabah meminta. Tentu, ini akan membantu meningkatkan inklusi keuangan.
Sayangnya, selain secara natural ada keengganan bagi bank atau fintech untuk berbagi data, secara industri pun, infrastrukturnya belum sepenuhnya mendukung. Sejumlah kawan dari kalangan bank maupun fintech pinjaman sama-sama mengeluhkan sulitnya mengakses data kredit lintas industri.
Di perbankan, data kredit dikumpulkan dan dikendalikan oleh OJK dalam sistem bernama Sistem Layanan Informasi Keuangan (SLIK). Adapun, di industri fintech pinjaman, ada Pusat Data Fintech Lending (Pusdafil) yang dikelola oleh Asosiasi Fintech Pendanaan Bersama Indonesia (AFPI). Kedua sistem tersebut saat ini merupakan dua kolam data yang terpisah.
Sayangnya, selain secara natural ada keengganan bagi bank atau fintech untuk berbagi data, secara industri pun, infrastrukturnya belum sepenuhnya mendukung.
Dengan UU PDP dan konsep portabilitas data pribadi, seharusnya debitur perbankan bisa memberikan izin kepada OJK agar data pinjaman yang tersimpan di SLIK diberikan kepada fintech di mana dia mengajukan pinjaman. Sebaliknya, seseorang yang sudah memiliki rekam jejak di fintech pinjaman, dapat memberikan izin kepada AFPI, selaku pengendali data Pusdafil, untuk memberikan data pribadi mereka kepada pihak perbankan yang ditunjuk.
Hal itu membutuhkan kemauan politik, kerendahan ego, juga kemauan berinvestasi dari OJK dan AFPI sebagai pengendali data.
Konsep portabilitas data pribadi ini juga bermanfaat untuk mengurangi redundansi proses dan biaya KYC (Know Your Customer). Seseorang yang sudah melalui proses KYC di suatu bank atau fintech, semestinya dapat memindahkan data KYC itu dari suatu institusi ke institusi lain. Selain membuat proses KYC lebih cepat, bank dan fintech pun bisa mengurangi biaya.
Konsep ini tidak hanya bermanfaat untuk industri keuangan, tetapi bisa juga bagi sektor riil. Misalnya jika kita hendak mengajukan visa ke luar negeri, umumnya kedutaan yang bersangkutan meminta data rekening kita.
Dengan infrastruktur yang mendukung, kita tidak perlu lagi datang ke bank untuk mencetak rekening, cukup memberikan instruksi online untuk memindahkan data rekening kita dari bank ke kedutaan yang bersangkutan. Tentu saja keamanan data selama proses pemberian instruksi dan pemindahan data harus selalu dijaga dengan baik.
Portabilitas data pribadi ini berpotensi menjadi bisnis yang menggiurkan.
Dari perspektif lain, portabilitas data pribadi ini berpotensi menjadi bisnis yang menggiurkan. Untuk menutup biaya investasi dan operasional, pihak pengendali data pribadi, seperti OJK dan AFPI, bisa saja mengenakan biaya akses dan transfer data pribadi yang wajar.
Selama ini, dinas kependudukan dan pencatatan sipil (dukcapil) pun melalui berbagai cara telah melakukan hal serupa. Bank dan fintech diminta untuk menghibahkan bantuan server kepada dukcapil untuk bisa mengakses data dengan volume yang diperlukan.
Mereka juga menggunakan beberapa agregator yang memberikan layanan pengecekan data ke dukcapil dengan biaya berkisar antara Rp 1.000 sampai Rp 3.000 untuk setiap kali pengecekan. Selama tarif ini masih wajar, dilakukan secara transparan, dan prosesnya aman, implementasi portabilitas data pribadi ini akan bermanfaat bagi industri.
Konsep portabilitas data pribadi perlu didorong agar masyarakat umum bisa memahami dan menikmati manfaatnya. Regulator perlu berinvestasi untuk membangun infrastruktur yang mendukung portabilitas data pribadi serta mengeluarkan aturan yang mendorong pelaku industri untuk mengimplementasikan portabilitas data pribadi ini dengan baik, aman, efisien, wajar, dan transparan.
*Rico Usthavia Frans, Anggota Steering Committee Indonesia Fintech Society