Menjawab Tantangan Pelindungan Data Pribadi di Dunia Usaha

Pada kenyataannya, persetujuan konsumen yang wajib diperoleh pelaku usaha tidak serta-merta melindungi kepentingan konsumen sepenuhnya. Di antaranya karena konsumen belum tentu menyadari luasnya cakupan persetujuan yang diberikannya. Seberapa banyak, misalnya, jumlah dan jenis data yang diberikan; apa tujuan pemanfaatannya; dan bagaimana dampaknya di kemudian hari.

Baca Juga: UU PDP Jadi Langkah Awal Melindungi Data Pribadi

Terdapat sejumlah faktor yang membuat kewajiban pelaku usaha memperoleh persetujuan konsumen dapat gagal mencapai maksud dan tujuannya dalam melindungi kepentingan konsumen. Salah satu di antaranya adalah tingkat kesulitan dalam memahami dokumen buatan pelaku usaha yang memuat persetujuan konsumen. Penggunaan bahasa yang sederhana mungkin dapat menjadi solusi, tetapi belum menjawab tantangan sesungguhnya. Ketika tingkat pengetahuan dan latar pendidikan konsumen bisa amat berbeda, pemahaman atas persetujuan yang diberikan juga dapat berbeda dari satu ke yang lainnya.

Selain itu, ada berbagai faktor lainnya yang tergantung situasi yang dihadapi setiap konsumen. Kebijakan privasi data dari berbagai aplikasi media sosial, misalnya. Dorongan berupa kebutuhan untuk tetap eksis di dunia maya membuat konsumen cenderung tidak mempertanyakan kebijakan sepihak yang ditetapkan penyedia aplikasi. Demikian halnya dengan syarat dan ketentuan yang diberikan produsen ketika konsumen perlu melakukan pembaruan sistem operasi telepon seluler.

Memberi persetujuan adalah satu-satunya cara agar telepon seluler tetap berfungsi dengan baik. Contoh lainnya adalah pemberian persetujuan kepada aplikasi navigasi untuk mengolah data perjalanan. Jika ingin mendapat bantuan untuk sampai di tempat tujuan, konsumen harus merelakan berbagai informasinya dikumpulkan, seperti moda transportasi yang digunakan, rute perjalanan dan tempat yang dikunjungi.

Dalam berbagai situasi tersebut terjadinya pertukaran memang tidak terelakkan, yaitu antara pemenuhan kebutuhan dan pemberian persetujuan. Namun, sekalipun konsumen menyadari sepenuhnya mengenai pertukaran ini, tetap ada hal yang tidak mudah diketahui konsumen pada saat memberikan persetujuan, yaitu sampai seberapa jauh data dan informasi yang diberikan dapat dimanfaatkan oleh pelaku usaha. Dalam kasus terkait cara penagihan pinjaman online (pinjol) ilegal, misalnya, yang banyak diberitakan selama ini. Konsumen tidak menyangka bahwa pemberian akses kontak telepon kepada pinjol ilegal dapat dimanfaatkan untuk mempermalukannya dengan menelepon keluarga dan rekannya.

Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) memberikan pemahaman baru mengenai konsep pelindungan data pribadi. Selain mengatur mengenai persetujuan yang harus diperoleh, undang-undang juga memberikan batasan tegas mengenai kewajiban dan tanggung jawab pelaku usaha dalam memanfaatkan data pribadi konsumen.

Ada beberapa hal yang oleh undang-undang ditentukan dapat menjadi dasar bagi pelaku usaha untuk melakukan pemrosesan data pribadi. Salah satunya adalah persetujuan yang sah secara eksplisit dari subyek data untuk satu atau beberapa tujuan tertentu. Untuk itu, pelaku usaha wajib menyampaikan berbagai informasi seperti legalitas dan tujuan pemrosesan, jenis dan relevansi data, rincian informasi yang dikumpulkan dan hak subyek data.

Persetujuan adalah mandat konsumen bagi pelaku usaha untuk memproses data pribadi tersebut bagi kepentingan konsumen.

Sementara jika ada tujuan lain dari permintaan persetujuan, ada berbagai syarat yang harus dipenuhi dalam pemberian persetujuan. Di antaranya adalah pembedaan secara jelas, pemakaian format yang dapat dipahami, serta penggunaan bahasa yang sederhana. Jika persyaratan tidak terpenuhi, persetujuan tersebut dinyatakan batal demi hukum.

Dengan demikian, maka tidak sembarang persetujuan yang diberikan konsumen dapat menjadi dasar pemrosesan, melainkan hanya persetujuan yang memenuhi ketentuan. Selain itu persetujuan yang diberikan bukanlah cek kosong bagi pelaku usaha untuk boleh memperlakukan data pribadi konsumen sesuai keinginannya. Persetujuan adalah mandat konsumen bagi pelaku usaha untuk memproses data pribadi tersebut bagi kepentingan konsumen.

Oleh karena itu, agar dapat melaksanakan tanggung jawabnya ada beberapa hal mendesak yang pelaku usaha perlu pahami dengan baik. Di antaranya adalah kewajibannya menyediakan informasi yang sesuai dengan ketentuan dalam undang-undang di saat meminta persetujuan dari konsumen mereka.

Agar informasi yang disampaikan dapat dipahami oleh konsumen, amat penting bagi pelaku usaha untuk mengenali pasarnya dan menawarkan produk yang sesuai dengan target pasarnya tersebut. Seperti di sektor jasa keuangan, memperhatikan kesesuaian antara tingkat risiko produk yang ditawarkan dan profil risiko konsumennya adalah salah satu tanggung jawab pelaku usaha.

Agar informasi yang disampaikan dapat dipahami oleh konsumen, amat penting bagi pelaku usaha untuk mengenali pasarnya dan menawarkan produk yang sesuai dengan target pasarnya tersebut.

Pelaku usaha juga harus dapat menentukan apakah sistem operasi yang dipakai mampu memenuhi permintaan konsumen, misalnya untuk membatalkan persetujuan pemberian data, atau mengubah dan menghapus data yang diberikan. Selain itu juga memastikan apakah sistem yang digunakan mampu mendeteksi kegagalan pelindungan data, agar pelaku usaha dapat melakukan pemberitahuan, baik kepada konsumen ataupun instansi berwenang, secara tepat waktu.

Selain perlunya pemanfaatan teknologi yang tepat dalam sistem operasinya, pelaku usaha harus memiliki kebijakan internal yang mengatur penerapan pelindungan data pribadi dalam menjalankan kegiatan usahanya. Pertama adalah standar kepatuhan yang mengatur mengenai pentingnya kepatuhan perusahaan dan seluruh karyawannya pada ketentuan mengenai pelindungan data pribadi.

Kedua adalah standar mengenai pengelolaan, akses dan kebocoran data. Selain mengenai tata cara pemrosesan data pribadi nasabah, standar ini juga harus mengatur mengenai siapa saja yang dapat memiliki akses data dan pertanggungjawabannya. Sementara mengenai kebocoran data, pelaku usaha wajib menetapkan langkah yang harus dilakukan, misalnya mitigasi risikonya, pemberitahuan yang harus dilakukan dan upaya pencegahannya supaya tidak terulang.

Ketiga adalah standar mengenai upaya yang harus dilakukan pelaku usaha dalam melayani permintaan konsumen ketika mereka ingin menggunakan haknya, misalnya hak memperoleh akses atas data dan hak memperbaiki atau menghapus data pribadi yang telah konsumen berikan.

Keempat adalah standar pelatihan dan audit yang mengatur mengenai pemberian latihan kepada karyawan pelaku usaha dan audit kepatuhan yang harus dilakukan dari waktu ke waktu untuk memastikan kesadaran dan kepatuhan karyawan dan perusahaan.

Baca Juga: Perlindungan Privasi Konsumen dalam Bisnis Digital

Bagaimana pelaku usaha berinteraksi dengan data di era digital telah menciptakan peluang, sekaligus risiko yang harus sungguh-sungguh dikelola dengan baik. Meningkatkan kesadaran konsumen mengenai hak-haknya, tanpa memperhatikan pemahaman dan kesiapan pelaku usaha melaksanakan tanggung jawabnya, hanya menjawab sebagian dari masalah yang ada.

Kesadaran akan pentingnya pelindungan data pribadi seyogianya ditingkatkan bukan hanya bagi masyarakat selaku subyek data, melainkan juga pelaku usaha yang memproses dan memperoleh keuntungan dengan memanfaatkannya. Pemahaman yang setara antara konsumen dan pelaku usaha adalah kunci utama menjawab tantangan dalam penerapan pelindungan data pribadi di dunia usaha.

(Yosea Iskandar, Head of Legal and Corporate Secretariat PT Bank DBS Indonesia)