Heboh Isu Data Nasabah BSI Dicuri Lockbit, Ini Hak Nasabah dalam UU PDP
Pewarta Nusantara - Akibat dari serangan Ransomware yang mengakibatkan layanan PT Bank Syariah Indonesia Tbk (BSI) terhenti, isu mengenai kebocoran data membuat masyarakat gempar.
Kelompok peretas yang menyebut diri mereka sebagai Lockbit mengklaim berhasil mencuri sekitar 1,5 terabyte (TB) data nasabah dari sistem BSI.
Menurut laporan dari tempo.co (17/5/2023), selain data nasabah, dokumen-dokumen lain yang diklaim telah dicuri meliputi dokumen finansial, dokumen legal, perjanjian kerahasiaan, password akses internal, dan layanan perusahaan. Data nasabah yang diduga bocor terdiri dari informasi seperti nama, nomor HP, alamat, nomor rekening, saldo rekening rata-rata, riwayat transaksi, pekerjaan, dan tanggal pembukaan rekening.
Dalam laporan katadata.co.id (16/5/2023), Konsultan Keamanan Siber, Teguh Aprianto, memastikan bahwa data tersebut memang telah bocor dan tersebar secara luas di situs ilegal atau dark web. Dia menyebutkan, "Data BSI saat ini sudah resmi dibocorkan secara bertahap oleh LockBit. Dengan estimasi total 8.133 file yang akan dibocorkan secara keseluruhan," sebagaimana disampaikan dalam cuitan akun Twitternya @secgron pada Selasa (15/5/2023).
Hal Penting yang Perlu Diperhatikan Nasabah
Menurut laporan dari katadata.co.id, Gunawan A. Hartoyo, Sekretaris Perusahaan BSI, memberikan penjelasan bahwa data dan dana nasabah dalam kondisi aman, sehingga nasabah dapat melanjutkan transaksi dengan normal dan aman.
BSI juga berkomitmen untuk bekerja sama dengan otoritas terkait dalam mengatasi isu kebocoran data ini.
BSI mengajak masyarakat dan para pemangku kepentingan untuk lebih sadar akan potensi serangan siber yang bisa menimpa siapa pun. Kesadaran akan keamanan cyber menjadi hal penting dalam melindungi data pribadi.
Ahli Keamanan Siber, Ardi Sutedja, mengingatkan nasabah BSI untuk lebih berhati-hati dalam menjaga data pribadi mereka.
Ia mengungkapkan bahwa jika data internal yang terpublikasi memang merupakan data nasabah, maka ada kemungkinan data nasabah tersebut menjadi target phishing.
"Setelah data bocor, nanti akan diikuti kampanye phishing terhadap basis data yang bocor tersebut," kata Ardi, seperti yang dikutip dari katadata.co.id pada Selasa (16/5/2023).
Ardi memberikan saran agar nasabah lebih teliti dalam membaca email dan hanya membuka email dari alamat yang sudah dikenal.
Selain itu, nasabah disarankan untuk selalu waspada dan tidak membuat asumsi yang dapat membahayakan keamanan data pribadi mereka.
Kebijakan Pelindungan Data Pribadi Pada Sektor Perbankan
Sebelum diberlakukannya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), pengaturan terkait data pribadi nasabah lembaga perbankan telah diatur dalam undang-undang perbankan.
Salah satu undang-undang yang mengatur hal ini adalah Undang-Undang Nomor 10 Tahun 1998 tentang Perubahan atas Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan (UU Perbankan), yang telah mengalami beberapa perubahan terakhir dengan Undang-Undang Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan.
UU Perbankan menetapkan kewajiban bagi bank untuk menjaga kerahasiaan informasi mengenai nasabah dan simpanannya. Selaras dengan itu, Otoritas Jasa Keuangan (OJK) mengeluarkan Surat Edaran Nomor 14/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data dan/atau Informasi Pribadi Konsumen.
Surat edaran ini mewajibkan pelaku usaha jasa keuangan, termasuk bank, untuk melindungi data dan informasi pribadi konsumen serta melarang memberikan data dan informasi tersebut kepada pihak ketiga.
Menurut Yosea Iskandar, seorang praktisi hukum dan Direktur Eksekutif Bank DBS Indonesia, persetujuan konsumen terhadap dokumen persetujuan data, terutama dalam sektor perbankan, menjadi kewenangan pemilik data.
Oleh karena itu, konsumen sebagai subjek data memiliki hak untuk memberikan atau tidak memberikan data mereka.
Dengan diberlakukannya UU PDP, hak-hak nasabah atau konsumen dalam hal perlindungan data pribadi menjadi lebih jelas.
Ketentuan Hak Nasabah dalam UU PDP Nomor 27 Tahun 2022
Apa itu UU PDP? Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi. Undang-undang ini merupakan peraturan yang mengatur tentang perlindungan dan pengelolaan data pribadi individu di Indonesia.
UU tersebut secara resmi diundangkan oleh pemerintah Indonesia sebagai upaya untuk memberikan perlindungan hukum yang jelas dan transparan terhadap data pribadi individu, serta mengatur penggunaan dan pengolahan data secara bertanggung jawab. Terima kasih telah memberikan klarifikasi tersebut.
UU PDP memperkenalkan konsep baru mengenai persetujuan konsumen dan melibatkan beberapa aspek terkait. Berikut adalah pemahaman baru yang diberikan oleh UU PDP:
1. Hak Informasi untuk Pemberi Data
UU PDP memberikan hak kepada individu untuk memperoleh informasi tentang bagaimana data pribadi mereka dikumpulkan, diproses, dan digunakan oleh pihak yang mengendalikan data. Individu memiliki hak untuk mengetahui secara transparan mengenai penggunaan data pribadi mereka.
2. Kewajiban Pengendali Data dalam Pemrosesan Data Pribadi
UU PDP mewajibkan pengendali data untuk memiliki dasar yang sah dalam memproses data pribadi individu. Dasar ini bisa berupa persetujuan dari individu tersebut, pemenuhan kewajiban hukum, kepentingan vital, atau kepentingan publik.
3. Informasi yang Harus Disampaikan oleh Pengendali Data
Pengendali data wajib memberikan informasi yang jelas dan transparan kepada individu terkait tujuan pengolahan data, jenis data yang dikumpulkan, pihak yang menerima data, serta hak-hak individu terkait data pribadi mereka. Hal ini bertujuan untuk memberikan pemahaman yang lebih baik kepada individu mengenai penggunaan data mereka.
4. Persetujuan yang Legal Jika Diberikan oleh Pemberi Data
UU PDP mengatur bahwa persetujuan harus didasarkan pada penjelasan yang jelas mengenai tujuan pengolahan data. Persetujuan yang diberikan haruslah bersifat sukarela dan informasi yang diberikan harus memadai sehingga individu dapat membuat keputusan yang tepat.
5. Bentuk dan Syarat Persetujuan
Persetujuan dapat diberikan secara tertulis atau terekam. Persyaratan persetujuan haruslah jelas dan mudah dipahami oleh individu, sehingga mereka dapat dengan mudah menentukan apakah mereka setuju atau tidak dengan penggunaan data pribadi mereka.
6. Tidak Semua Persetujuan Dianggap Sah
UU PDP menegaskan bahwa tidak semua persetujuan yang diberikan oleh individu dianggap sebagai persetujuan yang sah. Persetujuan harus memenuhi syarat-syarat yang ditetapkan dalam undang-undang untuk dianggap sah dan sah.
7. Pembatalan Persetujuan Jika Tidak Disetujui
Jika persetujuan tidak diberikan atau ditarik oleh individu, pengolahan data yang bergantung pada persetujuan tersebut akan batal demi hukum. Individu memiliki hak untuk mencabut persetujuan yang telah mereka berikan jika mereka mengubah pikiran atau tidak setuju lagi dengan penggunaan data pribadi mereka.
8. Adanya Sanksi
UU PDP mengatur adanya sanksi administratif atas pelanggaran perlindungan data pribadi yang dilakukan oleh pengendali data dan/atau pihak yang memproses data pribadi. Hal ini bertujuan untuk mendorong pengendali data dan pihak yang memproses data untuk mematuhi ketentuan perlindungan data pribadi dan mencegah penyalahgunaan data individu.
Itulah 8 poin penting dalam UU PDP yang perlu diketahui oleh nasabah. Ketentuan tersebut merupakan upaya perlindungan terhadap data pribadi yang dimiliki oleh pengendali informasi terkait data pribadi yang dikumpulkan.
Selain itu, Bank memiliki kewajiban untuk memberitahukan kebocoran data nasabah jika hal tersebut terjadi. Hal ini disebabkan oleh dampak negatif yang dapat terjadi jika perusahaan tidak memberitahukan kebocoran tersebut kepada nasabah.
Dalam hal pelanggaran pemrosesan data pribadi, UU PDP juga memberikan hak kepada subjek data pribadi, termasuk nasabah, untuk mengajukan gugatan dan memperoleh ganti rugi sesuai dengan Pasal 12 ayat (1) UU PDP.
Pemberitahuan kebocoran data merupakan langkah yang penting bagi bank untuk menjaga transparansi dan kepercayaan nasabah. Dengan memberitahukan kebocoran data, nasabah dapat segera mengambil langkah-langkah perlindungan tambahan, seperti memantau aktivitas keuangan mereka atau mengganti informasi pribadi yang terdampak.
Baca juga: Benarkah BSI Terkena Serangan Siber, Bagaimana Perusahaan Bertanggung Jawab jika Demikian?
Selain itu, Pasal 12 ayat (1) UU PDP memberikan perlindungan hukum kepada nasabah dalam hal terjadi pelanggaran pemrosesan data pribadi. Hal ini mendorong perusahaan untuk bertanggung jawab dan memastikan keamanan data pribadi nasabah agar tidak terjadi penyalahgunaan yang merugikan.
*Jika ada informasi yang perlu diluruskan, tinggalkan komentar pada kolom komentar dibawah.