Seorang pengguna platform e-commerce meminta penghapusan akun beserta seluruh data pribadinya, mulai dari nama hingga riwayat transaksi. Platform hanya menonaktifkan akun, tetapi tetap menyimpan data untuk analitik internal. Dalam konteks Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi, respons ini berpotensi tidak sah. Pasal 8 dan Pasal 9 UU PDP menegaskan hak subjek data untuk menghapus data dan menghentikan pemrosesan, yang dikenal sebagai right to erasure.
Bagi advokat dan korporasi, hak ini bukan sekadar isu teknis. Permintaan penghapusan data menguji seluruh sistem pengelolaan data perusahaan—mulai dari prosedur, kewenangan, hingga batas data yang masih dapat disimpan. Hal ini menjadi isu hukum krusial yang dapat menentukan posisi perusahaan dalam sengketa perlindungan data pribadi.
Status Regulasi: Berlaku Penuh, Pengawasan Sedang Dibangun
UU PDP mulai berlaku efektif penuh pada Oktober 2024 setelah masa transisi dua tahun sejak disahkan pada September 2022. Seluruh kewajiban pengendali data, termasuk pemenuhan hak penghapusan, kini sudah dapat dijadikan dasar gugatan perdata maupun pengaduan kepada otoritas.
Lembaga Perlindungan Data Pribadi (LPDP) yang diamanatkan UU PDP untuk menjalankan fungsi pengawasan masih dalam proses pembentukan. Namun ketiadaan LPDP tidak berarti ketiadaan risiko hukum. Mekanisme gugatan perdata tetap terbuka bagi subjek data yang merasa haknya dilanggar, dan UU PDP membuka ruang bagi hakim untuk memeriksa dan memutus sengketa semacam itu bahkan sebelum LPDP beroperasi penuh. Ini adalah celah yang tidak boleh dianggap remeh oleh korporasi.
Apa Itu Right to Erasure dan Bagaimana UU PDP Mengaturnya?
Right to erasure adalah hak seseorang untuk meminta agar data pribadinya dihapus dari sistem pengendali data. Konsep ini dikenal luas dalam regulasi data global, paling menonjol dalam General Data Protection Regulation (GDPR) Uni Eropa yang menjadi salah satu referensi dalam penyusunan UU PDP Indonesia.
Dalam UU PDP, hak ini tersebar dalam dua pasal yang saling melengkapi. Pasal 8 mengatur hak subjek data untuk meminta penghapusan data pribadi yang telah selesai masa retensinya atau tidak lagi diperlukan sesuai tujuan pemrosesan awal. Pasal 9 mengatur hak untuk menghentikan pemrosesan dan meminta pemusnahan data ketika subjek data menarik persetujuannya atau keberatan atas pemrosesan yang sedang berlangsung. Bersama-sama, kedua pasal ini memberi subjek data kendali yang nyata atas nasib data mereka.
Baca Juga: Mekanisme Persetujuan (Consent) Pengguna yang Sah menurut UU PDP
Kapan Pengguna Bisa Mengajukan Permintaan Penghapusan?
Tidak semua ketidakpuasan pengguna atas data mereka secara otomatis memunculkan hak penghapusan. UU PDP mengatur kondisi spesifik di mana hak ini dapat dieksekusi:
1. Data Tidak Lagi Relevan dengan Tujuan Awal
Ketika tujuan pemrosesan data telah tercapai atau sudah tidak berlaku, misalnya ketika kontrak layanan berakhir dan tidak ada keperluan lanjutan, subjek data berhak meminta penghapusan. Menyimpan data lebih lama dari yang dibutuhkan tanpa dasar hukum yang jelas adalah pelanggaran prinsip minimisasi data.
2. Persetujuan Ditarik
Ketika dasar pemrosesan data adalah persetujuan, pencabutan persetujuan oleh subjek data secara hukum menghilangkan legitimasi pemrosesan lebih lanjut. Korporasi tidak bisa mempertahankan data yang semula dikumpulkan atas dasar persetujuan setelah persetujuan tersebut ditarik, kecuali ada dasar hukum lain yang kuat.
3. Pemrosesan Tidak Sah Sejak Awal
Jika ditemukan bahwa data dikumpulkan atau diproses tanpa dasar hukum yang valid, subjek data berhak meminta penghapusannya. Ini relevan dalam kasus di mana data diperoleh tanpa persetujuan yang jelas atau melalui praktik yang menyesatkan.
Apakah Hak Ini Bersifat Mutlak?
Tidak. Ini adalah salah satu aspek paling krusial yang sering disalahpahami, baik oleh pengguna yang mengajukan permintaan maupun oleh korporasi yang menerimanya. UU PDP mengakui sejumlah kondisi yang dapat membatasi atau menunda pelaksanaan hak penghapusan:
- Kewajiban hukum: ketika regulasi sektoral mewajibkan penyimpanan data dalam jangka waktu tertentu, seperti data transaksi keuangan yang wajib disimpan sesuai ketentuan perbankan dan perpajakan, kewajiban itu mengesampingkan permintaan penghapusan
- Kepentingan hukum yang sah: data yang sedang menjadi bukti dalam proses hukum, baik perdata maupun pidana, dapat dipertahankan hingga proses tersebut selesai
- Kepentingan umum: pemrosesan untuk kepentingan kesehatan masyarakat, penelitian ilmiah, atau kepentingan arsip yang diakui hukum dapat membenarkan retensi data dalam kondisi tertentu
Tantangan nyatanya bagi korporasi adalah bahwa pengecualian ini harus dapat dibuktikan dan didokumentasikan. Klaim bahwa data dipertahankan karena “kepentingan bisnis” tanpa dasar hukum yang spesifik tidak akan bertahan dalam sengketa. Setiap keputusan untuk menolak permintaan penghapusan harus didukung oleh alasan hukum yang konkret dan tercatat.
Baca Juga: Menunggu RPP PDP: Langkah Menyiapkan DPIA dari Sekarang
Implikasi Hukum yang Perlu Dipahami Korporasi
Kewajiban Merespons dalam Waktu yang Layak
UU PDP tidak menetapkan batas waktu spesifik untuk merespons permintaan penghapusan, berbeda dengan GDPR yang memberi batas 30 hari. Namun prinsip itikad baik dan kewajaran yang dianut hukum perdata Indonesia berlaku di sini. Respons yang terlambat tanpa alasan yang jelas dapat diartikan sebagai pengabaian hak, yang membuka pintu gugatan.
Penghapusan yang Efektif, Bukan Sekadar Penonaktifan
Seperti dalam kasus pembuka artikel ini, menonaktifkan akun tidak sama dengan menghapus data. Penghapusan yang dimaksud UU PDP adalah penghapusan yang efektif dari seluruh sistem pemrosesan, termasuk backup, sistem analitik, dan pihak ketiga yang menerima data tersebut. Korporasi yang hanya menonaktifkan tampilan antarmuka tanpa benar-benar menghapus data dari infrastrukturnya tetap berada dalam posisi melanggar hukum.
Kewajiban Meneruskan Permintaan ke Pihak Ketiga
Ketika pengendali data telah membagikan data subjek kepada pihak ketiga, permintaan penghapusan tidak berhenti di pengendali utama. Korporasi wajib meneruskan permintaan tersebut kepada seluruh pihak yang telah menerima data itu, sejauh secara teknis dan hukum memungkinkan. Ini menuntut kontrak dengan mitra dan vendor yang secara eksplisit mengatur kewajiban ini.
Kesimpulan
Right to erasure dalam UU PDP bukan hak yang bisa diabaikan dengan alasan teknis atau administratif. Pasal 8 dan 9 UU PDP memberi subjek data landasan hukum yang nyata untuk menuntut penghapusan data mereka, dan korporasi yang tidak memiliki sistem untuk memenuhinya menghadapi risiko hukum yang terus terbuka seiring meningkatnya kesadaran pengguna atas hak-hak mereka.
Kesiapan hukum di bidang ini bukan tentang sempurna dalam satu langkah, melainkan tentang membangun sistem yang dapat dipertanggungjawabkan secara hukum. Advokat yang mendampingi korporasi perlu memastikan bahwa kliennya tidak hanya memahami hak ini di atas kertas, tetapi juga siap menghadapinya dalam praktik.
Lindungi Korporasi Anda dari Risiko Sengketa Data
Apakah prosedur penghapusan data korporasi Anda sudah siap menghadapi permintaan right to erasure? Tim Hukumku siap membantu mulai dari audit kepatuhan UU PDP, penyusunan kebijakan retensi data, hingga penyiapan prosedur respons hak subjek data. Hubungi Hukumku sekarang.
