Data Nasabah BSI Bocor, Ini Hak Nasabah dalam UU PDP

Oleh
SS
-
Data Nasabah BSI Bocor, Ini Hak Nasabah dalam UU PDP
Image Source: economy.okezone.com

Data Nasabah BSI Bocor, Ini Hak Nasabah dalam UU PDP

Setelah Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) disahkan, hak nasabah atau konsumen tersebut diperjelas.”

Buntut dari serangan ransomware yang menyebabkan layanan perbankan PT Bank Syariah Indonesia Tbk (BSI) lumpuh, kini masyarakat dihebohkan dengan isu kebocoran data.

Baca Juga: Dugaan Serangan Siber BSI, Bagaimana Tanggung Jawab Perusahaan?

Sekelompok peretas yang mengidentifikasikan dirinya dengan nama Lockbit mengklaim telah berhasil mencuri sebesar 1,5 terabyte (TB) data nasabah dari sistem BSI.

Dilansir dari tempo.co (17/5/2023), selain data nasabah, dokumen lain yang diklaim telah dicuri meliputi dokumen finansial, dokumen legal, perjanjian kerahasiaan, password akses internal serta layanan perusahaan.

Adapun, data nasabah yang diduga bocor terdiri dari nama, nomor HP, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, dan tanggal pembukaan rekening.

Terkait hal ini, melansir dari katadata.co.id (16/5/2023), Konsultan Keamanan Siber, Teguh Aprianto memastikan bahwa data tersebut benar telah bocor dan terpublikasi secara masif di situs ilegal atau dark web.

“Data BSI saat ini sudah resmi dibocorkan secara bertahap oleh LockBit. Dengan estimasi total 8.133 file yang akan dibocorkan secara keseluruhan,” kata Teguh, sebagaimana dikutip dari cuitan akun Twitternya @secgron, Selasa (15/5/2023).

Nasabah Diimbau Berhati-Hati

Dilansir dari  katadata.co.id, menanggapi isu yang beredar, Sekretaris Perusahaan BSI, Gunawan A. Hartoyo, kembali memastikan bahwa data serta dana nasabah dalam kondisi aman, sehingga nasabah dapat bertransaksi secara normal dan aman.

Gunawan juga mengatakan bahwa BSI akan bekerja sama dengan otoritas terkait dengan isu kebocoran data. 

Pihak BSI mengajak masyarakat dan para pemangku kepentingan untuk semakin sadar akan hadirnya potensi serangan siber yang dapat menimpa siapa saja. 

Sementara itu, Ahli Keamanan Siber, Ardi Sutedja, mengimbau nasabah BSI untuk lebih berhati-hati dalam menjaga data pribadinya. Sebab, apabila data internal yang terpublikasi tersebut benar merupakan data nasabah, maka terdapat potensi data nasabah terkena phishing.

“Setelah data bocor, nanti akan diikuti kampanye phishing terhadap basis data yang bocor tersebut,” ujar Ardi, sebagaimana dikutip dari katadata.co.id, Selasa (16/5/2023).

Ardi memberikan saran untuk mencegah data pribadi terkena phishing, yakni dengan lebih teliti dalam membaca email dan hanya membuka email dari alamat yang sudah dikenal. Selain itu, nasabah disarankan agar selalu waspada dan tidak berasumsi.

Pelindungan Data Pribadi untuk Sektor Perbankan

Sebelum diberlakukannya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), pengaturan data pribadi nasabah lembaga perbankan telah diatur dalam undang-undang mengenai perbankan. 

Undang-undang yang dimaksud ialah Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan (UU Perbankan) sebagaimana telah diubah terakhir dengan Undang-Undang Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan.

UU Perbankan mengatur kewajiban bank untuk merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya. Sejalan dengan hal tersebut, Otoritas Jasa Keuangan (OJK) mengeluarkan Surat Edaran Nomor 14/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data dan/atau Informasi Pribadi Konsumen. 

Dalam surat edaran diatur bahwa pelaku usaha jasa keuangan (PUJK), termasuk dalam hal ini bank, diwajibkan untuk melindungi data dan/atau informasi pribadi konsumen dan melarang dengan cara apapun untuk memberikan data dan/atau informasi pribadi konsumen kepada pihak ketiga.

Praktisi Hukum sekaligus Direktur Eksekutif Bank DBS Indonesia, Yosea Iskandar, mengatakan persetujuan konsumen terhadap dokumen persetujuan data, khususnya di sektor perbankan, menjadi kewenangan pemilik data, sehingga konsumen sebagai subjek data berhak untuk memberikan data atau tidak. 

Adapun, setelah UU PDP disahkan, hak nasabah atau konsumen tersebut diperjelas.

Hak Nasabah dalam UU PDP

UU PDP mengenalkan konsep baru mengenai persetujuan konsumen dan melibatkan beberapa aspek terkait. Berikut adalah pemahaman baru yang diberikan oleh UU PDP:

  1. Hak atas informasi pihak yang memberikan data: UU PDP memberikan hak kepada individu untuk memperoleh informasi tentang bagaimana data pribadi mereka dikumpulkan, diproses, dan digunakan oleh pengendali data.
  2. Kewajiban pengendali data dalam dasar pemrosesan data pribadi: UU PDP mewajibkan pengendali data untuk memiliki dasar yang sah dalam memproses data pribadi, seperti persetujuan, pemenuhan kewajiban hukum, kepentingan vital, atau kepentingan publik.
  3. Informasi yang harus disampaikan oleh pengendali data: Pengendali data harus memberikan informasi yang jelas dan transparan kepada individu terkait tujuan pengolahan data, jenis data yang dikumpulkan, pihak yang menerima data, serta hak-hak individu terkait data pribadi mereka.
  4. Persetujuan legalitasnya jika pemberi data setuju: UU PDP mengatur bahwa persetujuan harus didasarkan pada penjelasan yang jelas mengenai tujuan pengolahan data.
  5. Bentuk dan syarat persetujuan: Persetujuan dapat diberikan secara tertulis atau terekam. Persyaratan persetujuan harus jelas dan mudah dipahami oleh individu.
  6. Tidak semua persetujuan dianggap sebagai persetujuan: UU PDP menegaskan bahwa tidak semua persetujuan yang diberikan oleh individu dianggap sebagai persetujuan yang sah.
  7. Pembatalan persetujuan jika tidak disetujui: Jika persetujuan tidak diberikan atau ditarik oleh individu, pengolahan data yang bergantung pada persetujuan tersebut akan  batal demi hukum.
  8. Adanya sanksi: UU PDP mengatur sanksi berupa sanksi administratif atas pelanggaran pelindungan data pribadi yang dilakukan oleh pengendali data dan/atau prosesor data pribadi.

Di samping itu, apabila terjadi kebocoran data, maka bank mempunyai kewajiban memberitahukan kebocoran data nasabah tersebut. Sebab apabila perusahaan tidak memberitahukan hal tersebut, maka akan berdampak negatif kepada nasabah.

Adapun, UU PDP turut mengatur dalam Pasal 12 ayat (1) yakni apabila terjadi kegagalan dalam pelindungan data pribadi, subjek data pribadi, termasuk nasabah, berhak menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tersebut.

 

SS

Dipromosikan

ARTIKEL TERKAITTULISAN LAINNYA