Dasar Hukum Perlindungan Data di Indonesia
UU PDP tidak berdiri sendiri. Ia merupakan puncak dari ekosistem regulasi perlindungan data yang mencakup beberapa instrumen hukum yang saling melengkapi.
UU No. 27 Tahun 2022 adalah lex specialis perlindungan data pribadi yang mengesampingkan ketentuan sektoral yang bertentangan. Regulasi ini berlaku bagi setiap orang, badan hukum publik maupun privat, dan bahkan pihak asing yang memproses data warga negara Indonesia atau data yang memiliki dampak di wilayah Indonesia. Cakupan ekstrateritorial ini tidak boleh diabaikan oleh perusahaan multinasional.
UU No. 1 Tahun 2024 sebagai perubahan atas UU ITE memperkuat ketentuan pidana terkait akses ilegal dan distribusi informasi elektronik tanpa hak, yang secara langsung bersinggungan dengan aspek keamanan data pribadi. Pelanggaran keamanan sistem yang menyebabkan kebocoran data kini dapat dikenai sanksi berlapis dari dua instrumen hukum sekaligus.
PP No. 71 Tahun 2019 tentang PSTE mengatur kewajiban teknis penyelenggara sistem elektronik, termasuk standar keamanan data, kewajiban pendaftaran sistem elektronik, dan mekanisme penanganan insiden siber yang relevan bagi pengendali data.
Prinsip-Prinsip Perlindungan Data
UU PDP mengadopsi sembilan prinsip pemrosesan data yang wajib dipenuhi oleh setiap pengendali. Dari perspektif bisnis, tiga prinsip berikut memiliki implikasi operasional paling langsung.
Prinsip Lawfulness atau keabsahan mengharuskan setiap pemrosesan data memiliki dasar hukum yang sah, apakah itu persetujuan subjek data, pelaksanaan perjanjian, kewajiban hukum pengendali, atau kepentingan legitim pengendali yang tidak mengesampingkan hak subjek data. Pemrosesan tanpa dasar hukum adalah pelanggaran fundamental.
Prinsip Purpose Limitation atau pembatasan tujuan melarang data yang dikumpulkan untuk satu keperluan digunakan untuk tujuan lain yang tidak relevan tanpa persetujuan baru. Data yang dikumpulkan untuk memproses transaksi tidak dapat begitu saja dialihkan untuk keperluan profiling pemasaran tanpa dasar hukum tambahan.
Prinsip Accountability menempatkan tanggung jawab penuh pada pengendali data untuk mampu membuktikan kepatuhan terhadap seluruh prinsip dan kewajiban UU PDP, bukan sekadar mengklaimnya. Ini mengimplikasikan kebutuhan atas dokumentasi, kebijakan internal, dan sistem audit yang memadai.
Hak Subjek Data dalam UU PDP
UU PDP memberikan delapan hak fundamental kepada subjek data yang wajib dihormati dan difasilitasi oleh setiap pengendali. Berikut hak-hak utama yang paling berdampak terhadap operasional bisnis.
- Hak untuk mendapatkan informasi tentang identitas pengendali, tujuan pemrosesan, jenis data yang diproses, dan berapa lama data akan disimpan. Transparansi ini wajib disediakan sebelum pengumpulan data dimulai.
- Hak akses memungkinkan subjek data meminta salinan data pribadinya yang diproses oleh pengendali beserta informasi tentang bagaimana data tersebut digunakan.
- Hak untuk memperbarui dan memperbaiki data yang tidak akurat, tidak lengkap, atau sudah kedaluwarsa. Pengendali wajib memproses permintaan ini dalam jangka waktu yang wajar.
- Hak penghapusan data atau right to erasure memberikan kewenangan kepada subjek data untuk meminta penghapusan datanya dalam kondisi tertentu, misalnya saat data tidak lagi diperlukan untuk tujuan awal atau saat persetujuan ditarik kembali.
- Hak untuk menarik persetujuan kapan pun tanpa harus memberikan alasan dan tanpa konsekuensi hukum bagi subjek data. Pengendali wajib memastikan mekanisme penarikan persetujuan semudah mekanisme pemberian persetujuan.
- Hak untuk keberatan atas pemrosesan data untuk keperluan tertentu, termasuk profiling untuk kepentingan pemasaran langsung.
Baca Juga: Maraknya Kebocoran Data Pribadi
Dampak Hak Subjek Data terhadap Operasional Bisnis
Hak-hak ini bukan sekadar konstruksi hukum abstrak. Implikasinya terhadap infrastruktur teknologi dan proses bisnis sangat konkret.
Divisi CRM harus mampu merespons permintaan akses data dari pelanggan dalam hitungan hari, bukan minggu. Sistem database harus dirancang sedemikian rupa sehingga data satu individu dapat ditelusuri, diekspor, dan dihapus secara komprehensif, termasuk dari sistem backup dan arsip.
Platform email marketing harus menyediakan mekanisme unsubscribe yang efektif sekaligus memproses permintaan penghapusan data dari daftar distribusi secara permanen. Sistem retargeting iklan digital harus dapat menghentikan pelacakan segera setelah subjek data mencabut persetujuannya.
