Kebocoran data nasabah di sektor perbankan kini bukan lagi sekadar ancaman, melainkan kenyataan yang bisa terjadi kapan saja. Salah satu contohnya adalah serangan siber yang menimpa Bank Syariah Indonesia (BSI) pada tahun 2023.
Insiden ini membuka mata banyak orang tentang betapa pentingnya perlindungan data pribadi dan keamanan sistem perbankan. Lalu, apa yang sebenarnya dapat menjadi perlindungan hukum bagi nasabah yang kebocoran data. ?
Artikel ini akan membahas apa yang bisa dilakukan nasabah dan apa saja hak-hak mereka, serta bagaimana bank seharusnya melindungi data pribadi dengan lebih baik di masa depan.
Kewajiban Bank Menjaga Kerahasiaan Data Nasabah
Data pribadi nasabah bukan hanya sekadar angka dan nama, itu adalah aset penting yang harus dilindungi. Oleh karena itu, Undang-Undang No. 10 Tahun 1998 tentang Perbankan dengan tegas telah mengatur soal ini. Dalam Pasal 40 ayat (1) tertulis:
“Bank wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya…”
Artinya, setiap bank berkewajiban menjaga semua informasi milik nasabah, mulai dari:
- Identitas pribadi
- Nomor rekening dan saldo
- Riwayat transaksi dan aktivitas keuangan
Data tersebut tidak boleh disebarkan ke pihak mana pun tanpa dasar hukum yang jelas. Kalau sampai bocor, itu bukan sekadar masalah teknis, melainkan bisa jadi pelanggaran hukum yang merugikan nasabah.
Baca juga : 7 Cara Bank Melindungi Data Nasabah di Era Digital Banking
Kapan Bank Boleh Membuka Data Nasabah?
Meskipun pada dasarnya data nasabah harus dirahasiakan, ada beberapa kondisi khusus yang membuat bank boleh membuka informasi tersebut. Ini bukan pelanggaran, tapi pengecualian yang memang diatur oleh hukum.
Beberapa kondisi tersebut antara lain:
- Permintaan dari aparat penegak hukum, misalnya untuk penyelidikan tindak pidana.
- Kepentingan perpajakan, seperti pemeriksaan oleh Direktorat Jenderal Pajak.
- Sengketa hukum antara bank dan nasabah, misalnya dalam kasus wanprestasi atau gugatan.
- Pengelolaan piutang negara, seperti dalam upaya penagihan oleh negara terhadap debitur bermasalah.
Pengecualian ini dijelaskan dalam Pasal 41 sampai 44A UU Perbankan, dan juga didukung oleh UU No. 8 Tahun 2010 tentang Tindak Pidana Pencucian Uang (TPPU).
Bank tetap harus patuh hukum, tapi dalam situasi tertentu, mereka wajib membuka informasi demi kepentingan negara atau penegakan hukum.
Baca juga : Turunan UU Pelindungan Data Pribadi Segera Terbit, Perusahaan Wajib Tahu Ini
Kalau Data Bocor di Luar Aturan, Siapa yang Tanggung Jawab?
Kebocoran data nasabah bukan hal sepele—apalagi jika terjadi di luar kondisi yang diizinkan oleh hukum. Dalam kasus seperti ini, bank bisa dianggap melanggar kewajiban hukum.
Apa konsekuensinya?
Nasabah yang dirugikan punya hak penuh untuk mengambil langkah hukum, seperti:
- Menggugat secara perdata untuk menuntut ganti rugi atas kerugian finansial atau kerugian lainnya.
- Melapor secara pidana jika kebocoran terjadi karena kelalaian, pembiaran, atau ada unsur pelanggaran hukum.
Oleh karena itu, perlindungan nasabah tidak berhenti hanya di atas kertas saja. Jika terjadi pelanggaran, ada jalur hukum yang bisa ditempuh untuk menuntut keadilan.
Baca juga : 5 Langkah Efektif Atasi Kebocoran Data Pribadi dan Patuhi UU PDP
Aturan Tambahan yang Perkuat Perlindungan Nasabah
Bukan cuma UU Perbankan yang melindungi kamu sebagai nasabah—ada juga regulasi pendukung yang memperjelas tanggung jawab bank dan menambah perlindungan terhadap data pribadi.
1. Peraturan Bank Indonesia (PBI) No. 7/6/PBI/2005
Aturan ini fokus pada:
- Transparansi informasi produk bank, agar nasabah paham apa yang mereka gunakan.
- Kewajiban menjaga kerahasiaan data pribadi, tak boleh sembarangan dibuka atau dipakai.
- Sanksi administratif bagi bank yang lalai atau melanggar.
2. Peraturan Otoritas Jasa Keuangan (OJK)
OJK punya peran besar dalam melindungi konsumen jasa keuangan. Beberapa poin pentingnya:
- Data nasabah tidak boleh dibocorkan ke pihak lain tanpa izin dari nasabah.
- Jika ada pelanggaran data, bank wajib memberitahu nasabah secara terbuka dan cepat.
Jadi, perlindunganmu tidak hanya bergantung pada satu undang-undang, tapi dijaga dari berbagai sisi oleh lembaga pengatur keuangan di Indonesia.
Baca juga : Transisi ke ISO 27001:2022 – Perbarui Sertifikasi Anda Sebelum Oktober 2025
Studi Kasus: Kebocoran Data di BSI – Alarm Besar untuk Keamanan Perbankan
Pada 8 Mei 2023, layanan digital Bank Syariah Indonesia (BSI) tiba-tiba lumpuh total. Nasabah di seluruh Indonesia tidak bisa mengakses mobile banking, ATM, maupun layanan kantor.
Setelah ditelusuri, penyebabnya sangat serius:
Serangan siber dari geng ransomware LockBit 3.0.
Kelompok ini diduga berhasil:
- Menyalin dan mengenkripsi data nasabah, termasuk informasi pribadi dan kredensial.
- Mengakibatkan kebocoran data dan hilangnya dana milik nasabah.
Yang lebih mengkhawatirkan, insiden ini tidak terdeteksi sejak awal. Ada celah besar dalam sistem deteksi dini dan keamanan siber. Akibatnya, respons pun lambat, dan komunikasi ke publik minim transparansi.
Dampaknya?
- Nasabah kehilangan kepercayaan.
- Reputasi bank terguncang.
- Keamanan siber perbankan Indonesia kembali dipertanyakan.
Kasus BSI ini jadi peringatan keras: era digital menuntut bank untuk lebih serius membangun sistem keamanan dan manajemen insiden siber yang tangguh.
Baca juga : Cegah Kebocoran Data! 5 Prinsip dan 14 Teknik Keamanan Jaringan Wajib Diterapkan di 2025
Tanggung Jawab Bank: Bukan Hanya Soal Regulasi
- Meningkatkan Keamanan Siber
Bank wajib membangun sistem keamanan siber yang kuat dan adaptif. Hal ini mencakup identifikasi aset, perlindungan data, deteksi dini terhadap ancaman, serta penanggulangan dan pemulihan dari insiden siber. Otoritas Jasa Keuangan (OJK) mengatur hal ini dalam Peraturan OJK No. 11/POJK.03/2022 dan Surat Edaran OJK No. 29/SEOJK.03/2022 . - Menyediakan Mekanisme Pengaduan dan Pemulihan yang Efektif
Bank harus memiliki saluran pengaduan yang responsif dan sistem pemulihan yang efektif untuk menangani keluhan nasabah terkait kebocoran data. Hal ini termasuk proses investigasi, kompensasi, dan langkah-langkah pencegahan agar kejadian serupa tidak terulang. - Menjaga Transparansi Informasi saat Terjadi Insiden
Dalam kasus insiden siber, bank diwajibkan untuk segera melaporkan kepada OJK dan menginformasikan nasabah yang terdampak. Transparansi ini mencakup kronologi kejadian, dampak yang ditimbulkan, dan langkah-langkah yang diambil untuk mengatasi masalah tersebut. Surat Edaran OJK No. 29/SEOJK.03/2022 mengatur bahwa laporan insiden siber harus disampaikan paling lambat 5 hari kerja setelah kejadian .
Baca juga : Panduan Lengkap ISO/IEC 27001:2022 – Pengembangan Sistem Manajemen Keamanan Informasi
Meningkatkan Keamanan Data Nasabah dengan ISO/IEC 27001:2022
Untuk melindungi data nasabah secara lebih maksimal, bank dapat mengadopsi standar ISO/IEC 27001:2022 yang membantu dalam membangun Sistem Manajemen Keamanan Informasi (ISMS). Standar ini memastikan keamanan data sensitif dengan memberikan struktur yang jelas untuk pengelolaan informasi. Dengan mengikuti standar ISO/IEC 27001:2022, bank tidak hanya dapat mematuhi regulasi yang ada, tetapi juga meningkatkan kepercayaan nasabah melalui transparansi dan keamanan yang lebih terjamin.
Proxsis IT menawarkan solusi lengkap untuk membantu bank dalam implementasi dan sertifikasi ISO/IEC 27001:2022, mulai dari konsultasi hingga pelatihan keamanan informasi. Layanan ini memastikan bank Anda dapat melindungi data nasabah dengan baik, meminimalkan risiko kebocoran data, dan meningkatkan sistem keamanan siber secara keseluruhan. Untuk informasi lebih lanjut, Anda dapat mengunjungi Proxsis IT.
Kesimpulan
Perlindungan hukum terhadap nasabah perbankan yang mengalami kebocoran data telah diatur melalui berbagai regulasi, namun implementasinya masih menjadi tantangan. Kasus seperti kebocoran data di Bank Syariah Indonesia (BSI) menunjukkan bahwa pentingnya investasi dalam sistem keamanan data yang lebih baik. Bank tidak hanya harus mematuhi hukum yang berlaku, tetapi juga membangun kepercayaan nasabah dengan tanggung jawab etis, memastikan bahwa data nasabah tetap aman dan terlindungi.
Untuk membantu bank dalam meningkatkan sistem keamanan data, Proxsis IT menawarkan solusi ISO/IEC 27001:2022 yang dapat membantu dalam implementasi dan sertifikasi Sistem Manajemen Keamanan Informasi (ISMS). Dengan layanan konsultasi, pelatihan, dan audit, Proxsis IT memastikan bahwa bank dapat melindungi data nasabah secara optimal dan mematuhi standar internasional. Untuk informasi lebih lanjut, kunjungi Proxsis IT.
FAQ: Perlindungan Hukum Perbankan terhadap Kebocoran Data
- Apakah semua kebocoran data dapat dituntut secara hukum?
Kebocoran data dapat dituntut secara hukum jika terjadi di luar pengecualian yang diatur dalam undang-undang. Nasabah berhak menuntut bank baik secara perdata maupun pidana jika kerahasiaan data dilanggar tanpa alasan yang sah menurut hukum. - Apakah bank diperbolehkan memberikan data nasabah kepada pihak ketiga?
Bank tidak boleh memberikan data nasabah kepada pihak ketiga kecuali atas persetujuan nasabah itu sendiri atau berdasarkan perintah resmi dari otoritas yang berwenang, seperti untuk kepentingan hukum atau perpajakan. - Apa yang harus dilakukan jika data saya bocor dari sistem bank?
Jika data Anda bocor, segera laporkan kejadian tersebut kepada pihak bank untuk tindakan lebih lanjut. Anda juga dapat melaporkan insiden kepada Otoritas Jasa Keuangan (OJK) dan, jika diperlukan, mengajukan gugatan hukum untuk menuntut ganti rugi atas kerugian yang ditimbulkan. - Apakah bank wajib memberitahu nasabah jika terjadi kebocoran data?
Ya, bank diwajibkan untuk memberitahu nasabah jika terjadi kebocoran data. Hal ini sejalan dengan prinsip transparansi yang diatur dalam peraturan perlindungan konsumen dan keamanan informasi. - Apakah LPS melindungi dana nasabah jika kebocoran data menyebabkan hilangnya saldo?
LPS (Lembaga Penjamin Simpanan) memberikan perlindungan terhadap simpanan nasabah, namun tidak menjamin kerugian yang timbul akibat kebocoran data jika kerugian tersebut tidak memenuhi kriteria yang dilindungi oleh LPS.
