Layanan BSI Sempat Eror, Ini Kewajiban Bank Digital dalam UU Pelindungan Data Pribadi

Jakarta, NU Online

Layanan Bank Syariah Indonesia sempat eror atau mengalami gangguan yang diduga karena adanya serangan siber. Gangguan itu terjadi sejak Senin (8/5) malam. 

Kemudian melalui berbagai upaya yang dilakukan, BSI telah berhasil menormalisasi layanan pada jaringan ATM dan kantor cabang, pada Selasa (9/5/2023). Nasabah pun telah bisa bertransaksi di jaringan cabang dan ATM BSI se-Indonesia. 

Direktur Utama PT Bank Syariah Indonesia Hery Gunardi melalui keterangan resminya menjelaskan bahwa pada Selasa malam, secara bertahap layanan BSI Mobile sudah dapat diakses oleh nasabah dengan fitur-fitur dasar. 

Selanjutnya, pada Rabu (10/5/2023) pukul 14.00 WIB, pihak BSI melakukan monitoring dan proses normalisasi transaksi. Hal itu berdampak pada layanan BSI yang tidak bisa diakses sementara waktu.

Lalu bagaimana keamanan data nasabah saat perusahaan perbankan mengalami eror atau serangan siber? 

Berdasarkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), bank digital sebagai pengelola data pribadi masyarakat wajib memiliki tim khusus. 

Di dalam UU tersebut tertera bahwa ada dua pihak yang bertugas sebagai pengelola data di perusahaan dan kementerian/lembaga, yakni pengendali data pribadi dan prosesor data pribadi.

Pasal 19 dalam Bab VI UU PDP menyebutkan, pengendali data dan prosesor data adalah setiap orang, badan publik, dan organisasi internasional.

Kemudian pada pasal 21, UU PDP menyebutkan bahwa pengendali data pribadi wajib menyampaikan informasi mengenai:

a. legalitas dari pemrosesan Data Pribadi;
b. tujuan pemrosesan Data Pribadi;
c. jenis dan relevansi Data Pribadi yang akan diproses;
d. jangka waktu retensi dokumen yang memuat Data Pribadi;
e. rincian mengenai Informasi yang
f. jangka waktu pemrosesan Data Pribadi; dan
g. hak Subjek Data Pribadi.

Kewajiban Pengendali Data

Berikut ini beberapa kewajiban pengendali data pribadi yang termaktub dalam Bagian Kedua pada Bab VI UU PDP tentang Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi Dalam Pemrosesan Data Pribadi.

 

1. Wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data.
2. Wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi.
3. Wajib memberikan akses kepada subjek data terhadap data pribadi yang diproses paling lama 3x24 jam sejak permintaan akses.
4. Wajib memberikan akses kepada subjek data terhadap rekam jejak pemrosesan data paling lama 3x24 jam sejak permintaan akses.
5. Wajib melakukan penilaian dampak perlindungan data dalam hal pemrosesan data yang berisiko tinggi terhadap subjek, seperti memiliki akibat hukum.
6. Wajib melindungi dan memastikan keamanan data yang diproses, dengan cara: (a) menyusun dan menerapkan langkah teknis operasional; (b) menentukan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko datanya.
7. Wajib menjaga kerahasiaan data pribadi.
8. Wajib mengawasi setiap pihak yang terlibat dalam pemrosesan data.
9. Wajib melindungi data dari pemrosesan yang tidak sah atau ilegal.
10. Wajib mencegah data pribadi diakses secara tidak sah.
11. Wajib menghentikan pemrosesan data jika subjek menarik kembali persetujuan.
12. Wajib menghentikan pemrosesan data paling lambat 3x24 jam setelah penarikan persetujuan.
13. Wajib memberitahukan kepada subjek jika gag melindungi data mereka paling lambat 3x24 jam.
14. Wajib melaporkan pemrosesan data yang tidak sah kepada lembaga yang berwajib.

Pewarta: Aru Lego Triono

Editor: Fathoni Ahmad