Bank diwajibkan untuk merahasiakan seluruh data dan informasi pribadi nasabah, termasuk nama, alamat, tanggal lahir, nomor telepon, dan data identitas lain baik perseorangan maupun korporasi. Selaras dengan Pasal 40 (1) UU No. 10 Tahun 1998 tentang Perbankan serta diperkuat oleh Surat Edaran OJK No. 14/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data Pribadi Konsumen, serta Pasal 2 Peraturan Bank Indonesia Nomor 2/19/PBI/2000 Tahun 2000 tentang Persyaratan dan Tata Cara Pemberian Perintah atau Izin Tertulis Membuka Rahasia Bank. Data nasabah tidak boleh diberikan kepada pihak ketiga tanpa persetujuan tertulis, kecuali diwajibkan oleh undang-undang yang berlaku.
Bentuk Pelanggaran yang Umum Terjadi
- Penyebaran data nasabah tanpa persetujuan (oleh pegawai atau sistem).
- Kebocoran data akibat serangan siber (cyber breach) tanpa mitigasi memadai.
- Penawaran produk pihak ketiga tanpa persetujuan nasabah (misalnya asuransi atau pinjaman).
Kerugian Ketika Data Nasabah Bocor
Kebocoran data nasabah dapat menyebabkan berbagai kerugian, antara lain:
- Kerugian Finansial: pencurian identitas, pembobolan rekening, atau penipuan transaksi keuangan.
- Kerugian Psikologis: stres, kecemasan, hilangnya rasa aman.
- Kerugian Reputasi: penyebaran informasi sensitif yang mencoreng nama baik individu atau korporasi.
Sanksi bagi Bank yang Menyebarkan Data Nasabah
Jika bank melanggar kewajiban menjaga rahasia nasabah, sanksi yang dapat dikenakan, baik administratif, perdata, maupun pidana:
- Sanksi Administrasi (OJK)
OJK berwenang menjatuhkan sanksi administratif kepada bank yang terbukti lalai melindungi data nasabah, sebagaimana diatur dalam:
- Pasal 3 Pojk Nomor 22 Tahun 2023 Tentang Pelindungan Konsumen Dan Masyarakat Di Sektor Jasa Keuangan
Pasal 3
- PUJK dalam menyelenggarakan kegiatan usaha wajib menerapkan prinsip Pelindungan Konsumen.
- Pelindungan Konsumen di sektor jasa keuangan menerapkan prinsip:
- edukasi yang memadai;
- keterbukaan dan transparansi informasi produk dan/atau layanan;
- perlakuan yang adil dan perilaku bisnis yang bertanggung jawab;
- pelindungan aset, privasi, dan data Konsumen;
- penanganan Pengaduan dan penyelesaian Sengketa yang efektif dan efisien;
- penegakan kepatuhan; dan
- persaingan yang sehat.
- PUJK yang melanggar ketentuan sebagaimana dimaksud pada ayat (1) dikenai sanksi administratif berupa:
- peringatan tertulis;
- pembatasan produk dan/atau layanan dan/atau kegiatan usaha untuk sebagian atau seluruhnya;
- pembekuan produk dan/atau layanan dan/atau kegiatan usaha untuk sebagian atau seluruhnya;
- pemberhentian pengurus;
- denda administratif;
- pencabutan izin produk dan/atau layanan; dan/atau
- pencabutan izin usaha.
- Sanksi sebagaimana dimaksud pada ayat (3) huruf b sampai dengan huruf g dikenakan dengan atau tanpa didahului pengenaan sanksi peringatan tertulis sebagaimana dimaksud pada ayat (3) huruf a.
- Sanksi denda sebagaimana dimaksud pada ayat (3) huruf e dikenakan paling banyak Rp15.000.000.000,00 (lima belas miliar rupiah).
- Sanksi Perdata
Nasabah berhak mengajukan gugatan perdata berdasarkan ketentuan perbuatan melawan hukum dalam Pasal 1365 Kitab Undang-Undang Hukum Perdata (KUHPerdata) yang menyatakan:
“Tiap perbuatan melawan hukum yang membawa kerugian kepada orang lain, mewajibkan orang yang karena salahnya menerbitkan kerugian itu, mengganti kerugian tersebut.”
Nasabah berhak menuntut kompensasi atas segala bentuk kerugian, baik bersifat material maupun non-material, yang timbul akibat kebocoran data pribadi. Bentuk gugatan perdata yang dapat diajukan meliputi:
- Ganti rugi finansial atas kerugian yang dialami.
- Pemulihan nama baik jika reputasi tercemar.
- Permintaan perintah pengadilan agar bank memperbaiki sistem keamanan data.
- Sanksi Pidana
Jika penyebaran data mengandung unsur pidana, pihak yang terlibat (termasuk oknum bank) dapat dijerat ketentuan sanksi pidana yang diatur dalam UU Perbankan dan/atau ketentuan pidana yang diatur dalam Perlindungan Data Pribadi yang ancaman hukuman dapat mencapai 5 tahun penjara dan/atau denda 5 M rupiah sesuai dengan Pasal 67 ayat (1), (2) Undang-undang Nomor 27 Tahun 2022 Pelindungan Data Pribadi.
Pasal 67
- Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan mililoeya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah).
- Setiap Orang yang dengan sengaja dan melawan hukum mengunglapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00 (empat miliar rupiah).
Langkah Hukum Nasabah Jika Privasinya Dilanggar
- Mengajukan pengaduan resmi ke Otoritas Jasa Keuangan (OJK) agar difasilitasi penyelesaiannya.
- Mengajukan Gugatan Perdata
Apabila mengalami kerugian finansial, psikologis, atau kerusakan reputasi, nasabah dapat menggugat bank berdasarkan Pasal 1365 KUHPerdata untuk mendapatkan ganti rugi dan pemulihan hak.
- Melapor ke Kepolisian
Jika terdapat unsur pidana, nasabah dapat melaporkan peristiwa tersebut kepada aparat penegak hukum agar dilakukan penyidikan dan penuntutan.
Dasar Hukum:
- KUHPerdata
- Undang-undang Nomor 27 Tahun 2022 Pelindungan Data Pribadi
- Surat Edaran OJK No. 14/SEOJK.07/2014 tentang Kerahasiaan dan Keamanan Data Pribadi Konsumen
- Pojk Nomor 22 Tahun 2023 Tentang Pelindungan Konsumen Dan Masyarakat Di Sektor Jasa Keuangan
- UU No. 10 Tahun 1998 tentang Perbankan
Penulis:
- Muhammad Arief Ramadhan, S.H.
- Dina Normanza Sibagariang
Editor:
- Parwira Agusfia, S.H., M.H.