Sebuah perusahaan teknologi menggunakan layanan SaaS dari vendor HR untuk mengelola data karyawan, mulai dari identitas, data gaji, hingga catatan kinerja. Setelah terjadi kebocoran data dari sisi vendor, perusahaan menyadari bahwa kontrak yang mereka tandatangani hanya mengatur harga, durasi layanan, dan service level agreement. Kontrak tersebut tidak memuat kewajiban perlindungan data, batasan pemrosesan, maupun tanggung jawab saat insiden terjadi.
Padahal, Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi melalui Pasal 40 sampai Pasal 42 mewajibkan pengendali data dan prosesor data memiliki perjanjian pemrosesan data yang jelas. Banyak kontrak SaaS di Indonesia masih memakai template komersial standar tanpa menyesuaikan ketentuan UU PDP. Akibatnya, perusahaan menghadapi posisi hukum yang lemah ketika terjadi sengketa atau pemeriksaan regulator.
UU PDP Berlaku Penuh: Kontrak Lama Perlu Ditinjau Ulang
UU PDP berlaku efektif penuh sejak Oktober 2024. Artinya, seluruh kontrak perjanjian yang aktif saat ini, bukan hanya yang baru akan ditandatangani, perlu dievaluasi kesesuaiannya dengan kewajiban yang diatur undang-undang. Kontrak yang dibuat sebelum Oktober 2024 dan belum diperbarui berpotensi menempatkan korporasi dalam posisi ketidakpatuhan yang bisa dipersoalkan sewaktu-waktu.
Baca Juga: Memahami UU PDP: Dasar Hukum, Kewajiban, dan Sanksinya
Lembaga Perlindungan Data Pribadi (LPDP) sebagai otoritas pengawas masih dalam proses pembentukan, namun jalur gugatan perdata sudah terbuka sejak undang-undang berlaku efektif. Vendor yang mengalami insiden kebocoran data dan korporasi yang tidak dapat menunjukkan adanya Data Processing Agreement (DPA) yang memadai akan sulit membangun pertahanan hukum yang kuat, baik menghadapi gugatan dari subjek data maupun dari otoritas.
Apa Itu Data Processing Agreement dan Mengapa Kontrak SaaS Biasa Tidak Cukup?
Data Processing Agreement adalah perjanjian antara pengendali data (korporasi yang menggunakan layanan) dan prosesor data (vendor SaaS yang memproses data atas instruksi pengendali). Perjanjian ini secara khusus mengatur bagaimana data pribadi diproses, dilindungi, dan dipertanggungjawabkan sepanjang hubungan kerja sama berlangsung.
Kontrak SaaS pada umumnya mengatur hubungan komersial: harga, fitur, uptime, dan penghentian layanan. Ia tidak dirancang untuk mengatur alokasi tanggung jawab hukum atas data pribadi pihak ketiga yang ada di dalamnya.
Ketika pengguna akhir layanan, misalnya karyawan atau pelanggan korporasi, adalah subjek data yang dilindungi UU PDP, maka korporasi sebagai pengendali data bertanggung jawab atas bagaimana vendor memproses data mereka. Tanggung jawab itu tidak bisa berpindah hanya karena tidak dicantumkan dalam kontrak.
Apa yang Diwajibkan Pasal 40–42 UU PDP?
Ketiga pasal ini membentuk kerangka hubungan hukum antara pengendali dan prosesor data. Pasal 40 menetapkan bahwa prosesor data hanya boleh memproses data berdasarkan instruksi pengendali data. Pasal 41 mengatur kewajiban prosesor untuk menerapkan langkah-langkah keamanan yang memadai dan merahasiakan data yang diproses. Pasal 42 mengatur kondisi di mana prosesor dapat melibatkan sub-prosesor, yaitu pihak ketiga lain yang turut memproses data atas instruksi prosesor utama.
Dari tiga pasal ini, ada beberapa implikasi langsung yang harus tercermin dalam kontrak SaaS:
- Pemrosesan hanya boleh dilakukan sesuai ruang lingkup dan instruksi yang telah disepakati secara tertulis
- Vendor wajib menjaga kerahasiaan data dan tidak menggunakannya untuk kepentingan selain yang disepakati
- Keterlibatan sub-prosesor harus mendapat persetujuan pengendali data terlebih dahulu
- Vendor wajib membantu pengendali dalam memenuhi hak-hak subjek data, termasuk akses, koreksi, dan penghapusan
- Vendor wajib memberitahukan pengendali jika terjadi insiden keamanan yang memengaruhi data yang diproses
Klausul yang Paling Sering Terlewat dalam Kontrak SaaS
1. Pembatasan Tujuan Pemrosesan
Banyak kontrak SaaS tidak secara eksplisit membatasi vendor dari menggunakan data klien untuk kepentingan selain pemberian layanan, misalnya untuk pelatihan model AI internal atau analitik agregat. Tanpa klausul pembatasan tujuan yang jelas, korporasi kehilangan kendali atas bagaimana datanya digunakan setelah diserahkan ke sistem vendor.
2. Mekanisme Sub-Prosesor
Hampir semua vendor SaaS menggunakan layanan pihak ketiga, mulai dari infrastruktur cloud hingga alat analitik. Tanpa klausul yang mengatur kewajiban notifikasi dan persetujuan sebelum pelibatan sub-prosesor baru, korporasi tidak tahu siapa saja yang sebenarnya memiliki akses ke datanya.
3. Kewajiban Notifikasi Insiden
UU PDP mewajibkan pemberitahuan kebocoran data dalam 14 hari kerja sejak diketahui. Namun kewajiban itu ada di pundak pengendali data, bukan prosesor. Agar pengendali dapat memenuhi kewajiban ini, kontrak harus menetapkan batas waktu yang lebih singkat bagi vendor untuk melaporkan insiden kepada korporasi, lazimnya 24 hingga 72 jam.
4. Pengembalian atau Pemusnahan Data Setelah Kontrak Berakhir
Ketika langganan SaaS berakhir, data tidak otomatis terhapus dari sistem vendor. Tanpa klausul yang mengatur kewajiban pengembalian atau pemusnahan data beserta tenggat waktu dan bukti pelaksanaannya, data bisa tetap berada di sistem vendor tanpa kendali pengendali, yang merupakan pelanggaran prinsip retensi data dalam UU PDP.
5. Hak Audit
Pengendali data perlu memiliki mekanisme untuk memverifikasi bahwa vendor benar-benar memenuhi kewajiban perlindungan data yang disepakati. Klausul hak audit, baik melalui inspeksi langsung maupun laporan dari auditor independen, adalah instrumen akuntabilitas yang jarang masuk dalam kontrak SaaS standar namun sangat penting secara hukum.
Baca Juga: DPIA dalam UU PDP: Kapan Perusahaan Wajib Melakukannya?
Apakah Vendor SaaS Anda Tunduk pada Hukum Indonesia?
Ini pertanyaan yang lebih kompleks dari yang terlihat, terutama ketika vendor adalah perusahaan asing yang beroperasi dari luar Indonesia. UU PDP memiliki jangkauan ekstrateritorial: Pasal 2 UU PDP menegaskan bahwa undang-undang ini berlaku bagi setiap orang yang memproses data warga negara atau penduduk Indonesia, terlepas dari di mana pemrosesan itu dilakukan.
Artinya, kontrak dengan vendor asing pun harus memuat klausul DPA yang sesuai UU PDP. Jika vendor menolak atau menawarkan template DPA standar mereka yang mengacu pada GDPR saja, korporasi perlu memastikan bahwa klausul-klausul kritis yang diwajibkan UU PDP tetap tercakup, atau bernegosiasi untuk memasukkannya secara eksplisit.
Kesimpulan
Kontrak SaaS tanpa Data Processing Agreement yang memadai adalah kontrak yang menempatkan korporasi dalam posisi rentan: secara komersial terikat, namun secara hukum tidak terlindungi. Pasal 40 hingga 42 UU PDP telah menetapkan standar minimum yang harus dipenuhi, dan standar itu berlaku bagi seluruh kontrak yang aktif saat ini, bukan hanya yang akan datang.
Meninjau dan memperbarui kontrak SaaS yang ada adalah langkah yang tidak bisa ditunda lebih lama. Biaya memperbaiki kontrak jauh lebih kecil dari biaya menghadapi sengketa yang lahir dari kontrak yang tidak patuh.
Tinjau Kontrak SaaS Anda Sebelum Terlambat
Apakah kontrak SaaS korporasi Anda sudah memenuhi standar DPA yang diwajibkan UU PDP? Tim Hukumku siap membantu mulai dari review kontrak yang ada, penyusunan DPA yang sesuai regulasi, hingga negosiasi klausul dengan vendor. Hubungi Hukumku sekarang.
