Bolehkah Merchant Mencatat Nomor Kartu Debit atau Kredit Konsumen?

Praktik pencatatan nomor kartu debit atau kredit oleh merchant menimbulkan pertanyaan penting dari sisi perlindungan data pribadi. Pada prinsipnya, merchant tidak boleh mencatat nomor kartu kredit atau debit milik konsumen tanpa dasar yang sah secara hukum.

Merchant Wajib Menyampaikan Tujuan Pemrosesan

Merchant wajib menyampaikan kepada pemilik kartu mengenai tujuan pencatatan data. Hal ini sesuai dengan prinsip transparansi dalam pemrosesan data pribadi. Setiap bentuk pemrosesan, termasuk pencatatan nomor kartu, harus dilakukan dengan menjelaskan tujuan serta aktivitasnya kepada subjek data pribadi.

Dasar Hukum Pemrosesan Data Pribadi

Merchant sebagai pengendali data pribadi hanya boleh memproses data apabila memenuhi salah satu dari enam dasar hukum berikut:

  1. Persetujuan eksplisit dari subjek data pribadi.
  2. Pemenuhan kewajiban perjanjian.
  3. Pemenuhan kewajiban hukum.
  4. Pelindungan kepentingan vital subjek data.
  5. Pelaksanaan tugas dalam kepentingan umum atau pelayanan publik.
  6. Pemenuhan kepentingan sah lainnya.

Kewajiban Memberi Informasi Jika Berdasarkan Persetujuan

Jika merchant memproses data berdasarkan persetujuan, mereka harus memberikan informasi kepada pemilik kartu terkait:

  • Legalitas pemrosesan data pribadi.
  • Tujuan pemrosesan data pribadi.
  • Jangka waktu penyimpanan (retensi).
  • Jangka waktu pemrosesan data.
  • Hak-hak subjek data pribadi.

Konsumen berhak memperoleh informasi tentang dasar hukum, tujuan pemrosesan, dan tanggung jawab merchant. Selain itu, konsumen juga berhak menarik kembali persetujuan kapan saja.

Kewajiban Melindungi Keamanan Data

Merchant wajib melindungi data pribadi dari akses, pengungkapan, dan pengubahan yang tidak sah. Selain itu, merchant harus mencegah penyalahgunaan, perusakan, atau penghilangan data pribadi.

Merchant harus menggunakan sistem keamanan yang andal, aman, dan bertanggung jawab dalam memproses data menggunakan sistem elektronik. Tanpa sistem keamanan yang baik, kebocoran data dapat terjadi dan menyebabkan kerugian finansial, termasuk penipuan, phising, eksploitasi, hingga serangan siber.

Wajib Memberi Tahu Jika Terjadi Kebocoran

Jika kebocoran data terjadi, merchant wajib memberi tahu pemilik kartu. Pemberitahuan tersebut harus mencakup informasi mengenai:

  • Data pribadi yang bocor.
  • Waktu dan cara kebocoran terjadi.
  • Langkah penanganan dan pemulihan data.

Merchant Harus Mematuhi Standar PCI DSS

Merchant wajib mematuhi prinsip dalam Payment Card Industry Data Security Standard (PCI DSS), yaitu standar keamanan untuk melindungi data pemegang kartu. Kegagalan dalam mematuhi prinsip ini menandakan pelanggaran perlindungan data pribadi.

Sanksi Jika Merchant Mencatat Nomor Kartu Secara Tidak Sah

Jika merchant tidak dapat membuktikan dasar hukum yang sah, maka pencatatan nomor kartu kredit atau debit termasuk pelanggaran pemrosesan data pribadi. Konsumen berhak mengajukan gugatan dan menerima ganti rugi atas pelanggaran tersebut.

Merchant juga dapat dikenai sanksi administratif maupun pidana, yaitu:

Sanksi Administratif

  • Peringatan tertulis.
  • Penghentian sementara pemrosesan data.
  • Penghapusan atau pemusnahan data.
  • Denda administratif hingga 2% dari pendapatan atau penerimaan tahunan.

Sanksi Pidana

UU Perlindungan Data Pribadi mengatur sanksi pidana sebagai berikut:

  • Penjara maksimal 5 tahun dan/atau denda hingga Rp5 miliar untuk pengumpulan data secara melawan hukum dengan maksud menguntungkan diri sendiri/orang lain.
  • Penjara maksimal 4 tahun dan/atau denda hingga Rp4 miliar untuk pengungkapan data pribadi yang bukan miliknya secara melawan hukum.
  • Penjara maksimal 5 tahun dan/atau denda hingga Rp5 miliar untuk penggunaan data pribadi milik orang lain secara melawan hukum.

Telusuri Lebih Lanjut