Ada Member-nya, Kak?": Tinjauan Hukum Perlindungan Data Pribadi dalam Transaksi Ritel Modern

Oleh: Prof Andre Yosua M ( Ahli Hukum Pidana)

Barometer Indonesia News - Dalam rutinitas belanja sehari-hari di gerai ritel modern (minimarket) seperti Indomaret atau Alfamart, konsumen sering kali dihadapkan pada pertanyaan standar kasir: "Ada kartu member-nya, Kak?" atau "Boleh minta nomor HP-nya untuk poin?". Meski terdengar sepele, interaksi ini sejatinya adalah proses pengumpulan Data Pribadi. Dengan disahkannya Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), praktik pengumpulan data oleh peritel modern kini memiliki konsekuensi dan batasan hukum yang ketat.

1. Dasar Hukum

Regulasi utama yang memayungi aktivitas ini adalah: UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). UU No. 8 Tahun 1999 tentang Perlindungan Konsumen. Peraturan Pemerintah No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (bagi penggunaan aplikasi member digital).

2.Klasifikasi Data dalam Transaksi Ritel

Dalam konteks transaksi di minimarket, data yang biasanya dikumpulkan meliputi: Data Pribadi Umum: Nama lengkap, nomor telepon (HP), tanggal lahir, dan jenis kelamin (biasanya saat pendaftaran member). Data Perilaku Belanja: Riwayat transaksi, jenis barang yang dibeli, dan frekuensi belanja (big data untuk profiling konsumen). Menurut UU PDP, minimarket bertindak sebagai Pengendali Data Pribadi (Data Controller), yang menentukan tujuan dan kendali atas pemrosesan data tersebut.

3.Isu Hukum: Konsen dan Tujuan Spesifik

Pasal krusial dalam UU PDP adalah kewajiban untuk memperoleh persetujuan yang sah (consent). Pasal 20 UU PDP: "Pengendali Data Pribadi wajib mempunyai dasar pemrosesan Data Pribadi." Salah satunya adalah persetujuan yang eksplisit dari Subjek Data. Masalah yang sering terjadi di lapangan: Pengumpulan Nomor HP di Kasir: Seringkali kasir meminta nomor HP tanpa menjelaskan secara rinci untuk apa nomor tersebut digunakan selain "untuk poin". Jika nomor tersebut kemudian digunakan untuk mengirim spam promosi via WhatsApp tanpa izin terpisah, ini berpotensi melanggar prinsip tujuan spesifik (Pasal 28 UU PDP). Profiling Tanpa Izin: Data belanja konsumen yang dianalisis untuk menargetkan iklan secara agresif harus transparan dan diketahui oleh konsumen.

4.Hak Konsumen (Subjek Data Pribadi)

Berdasarkan UU PDP, konsumen minimarket memiliki hak: Hak atas Informasi: Mengetahui untuk apa data (nomor HP/identitas member) digunakan. Hak Menarik Persetujuan: Konsumen berhak meminta minimarket berhenti memproses datanya (misalnya, unsubscribe atau penghapusan akun member). Hak Menggugat: Jika terjadi kebocoran data (misalnya data member minimarket bocor dan dijual di dark web), konsumen berhak menuntut ganti rugi (Pasal 12 UU PDP).

5.Kewajiban Peritel (Indomaret/Alfamart dkk.)

Sebagai korporasi besar yang mengelola jutaan data pelanggan, peritel wajib: Menjaga Keamanan Data: Menerapkan sistem keamanan siber yang andal untuk mencegah kebocoran data (enkripsi data member, dsb).

Pemberitahuan Kegagalan: Jika terjadi kebocoran data, peritel wajib memberitahu konsumen dan lembaga terkait dalam waktu 3x24 jam (Pasal 46 UU PDP). Pejabat Pelindungan Data (DPO): Wajib menunjuk Data Protection Officer karena mereka memproses data dalam skala besar dan bersifat sistematis.

6.Sanksi Hukum

UU PDP memberlakukan sanksi yang sangat berat bagi pelanggaran: Sanksi Administratif: Denda hingga 2% dari total pendapatan tahunan atau penerimaan tahunan terhadap terjadinya pelanggaran (Pasal 57 UU PDP).

Sanksi Pidana: Mengumpulkan data pribadi yang bukan miliknya dengan maksud menguntungkan diri sendiri/orang lain secara melawan hukum: Penjara paling lama 5 tahun dan/atau denda Rp5 Miliar (Pasal 65 ayat 1). Menggunakan data pribadi bukan sesuai tujuannya: Penjara paling lama 5 tahun dan/atau denda Rp5 Miliar (Pasal 65 ayat 3).

Kesimpulan

Praktik meminta nomor HP atau pendaftaran member di Indomaret dan Alfamart adalah praktik bisnis yang sah selama memenuhi unsur transparansi dan persetujuan. Namun, peritel harus berhati-hati agar tidak "tergelincir" menggunakan data tersebut di luar tujuan yang disepakati (misalnya menjual database ke pihak ketiga atau spamming). Bagi konsumen, kalimat "Tidak usah, Mas/Mbak" saat dimintai data pribadi adalah hak hukum yang harus dihormati oleh kasir dan manajemen ritel.

Editor : Adhie

Via Artikel