Articles

Kewajiban Pelindungan Data Pribadi Oleh Pelaku Usaha

 

Di zaman digital sekarang ini, untuk tercapainya penyediaan layanan ataupun penjualan yang optimal dan memuaskan kepada pelanggan, pengusaha, baik perorangan maupun badan usaha/korporasi perlu melakukan kegiatan pemerolehan dan pengumpulan serta pengolahan data pribadi. Karena itu, kepatuhan terhadap undang-undang pelindungan data pribadi harus menjadi salah satu prioritas dalam strategi bisnis pengusaha.

 

Pelindungan Data Pribadi di wilayah Republik Indonesia, diatur dan dilaksanakan berdasarkan Undang-Undang Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi (“UUPDP”). Dalam menjalankan kegiatan usahanya dimana pengusaha mengumpulkan dan memproses data pribadi, pengusaha harus memperhatikan dan mematuhi ketentuan-ketentuan yang diatur dalam UUPDP.

 

Pelindungan Data Pribadi penting terutama untuk menjaga kepercayaan dan keyakinan pelanggan, klien, dan mitra yang mempercayakan informasi sensitif mereka kepada pelaku usaha. Selain itu, ketidakpatuhan dapat membuat bisnis menghadapi risiko hukum dan keuangan, termasuk denda yang besar, biaya litigasi, dan potensi gangguan bisnis. Konsekuensi finansial tidak hanya berupa hukuman langsung, namun juga mencakup kerusakan reputasi dan biaya terkait untuk membangun kembali kepercayaan.

 

Pada akhirnya, kepatuhan terhadap undang-undang pelindungan data pribadi bukan hanya sekadar persyaratan hukum namun merupakan pilihan strategis yang meningkatkan reputasi bisnis, memitigasi risiko, dan berkontribusi terhadap keberhasilan dan keberlangsungan bisnis secara keseluruhan dalam lingkungan bisnis yang saling terhubung dan berbasis data.

 

Hal-hal penting yang perlu diperhatikan oleh dunia usaha sebagaimana diatur dalam UUPDP adalah sebagai berikut:

 

A. RUANG LINGKUP DATA PRIBADI

 

Untuk dapat menjalankan kewajibannya berdasarkan UUPDP terkait pelindungan data pribadi, Pengusaha perlu memahami apa yang dimaksud dengan data pribadi dan cakupan data pribadi yang dilindungi.

 

Berdasarkan UUPDP, data pribadi didefinisikan sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Data Pribadi meliputi data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum.  Data pribadi yang bersifat spesifik meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan. Data Pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan; dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

 

Kewajiban untuk mematuhi ketentuan dalam UUPDP berlaku bagi Pengusaha yang berbentuk baik orang perseorangan atau korporasi, yang melakukan kegiatan pemerolehan dan pengumpulan serta pengolahan data pribadi yang berada di wilayah hukum Negara Republik Indonesia. UUPDP juga berlaku untuk pengusaha yang melakukan kegiatan pemerolehan dan pengumpulan serta pengolahan data pribadi di luar wilayah hukum Negara Republik Indonesia, namun memiliki akibat hukum:

a. di wilayah hukum Negara Republik Indonesia dan/atau

b. bagi warga negara Indonesia yang berada di luar wilayah hukum Negara Republik Indonesia namun pada dirinya melekat data pribadi.

 

Dalam mengumpulkan Data Pribadi, Pengusaha dapat melakukan pengumpulan atau pemrosesan itu sendiri maupun membuat perjanjian dengan pihak ketiga. Pengusaha (baik orang peseorangan maupun berbentuk korporasi) yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi disebut Pengendali Data Pribadi. Pengendali Data Pribadi dapat juga menunjuk Prosessor Data Pribadi untuk melakukan pemrosesan data pribadi atas nama Pengendali Data Pribadi.

 

Apabila Pengendali Data Pribadi menunjuk Prosesor Data Pribadi, Prosesor Data Pribadi wajib melakukan pemrosesan Data Pribadi berdasarkan perintah Pengendali Data Pribadi. Pemrosesan Data Pribadi yang dilakukan oleh Prosesor ini termasuk dalam tanggung jawab Pengendali Data Pribadi. Pemrosesan Data Pribadi yang dilakukan oleh Prosesor Data Pribadi di luar perintah dan tujuan yang ditetapkan Pengendali Data Pribadi akan menjadi tanggung jawab Prosesor Data Pribadi.

 

B. HAK SUBJEK DATA PRIBADI

 

Dalam mengumpulkan dan memproses data pribadi, pengusaha harus memperhatikan hak-hak subjek Data Pribadi. Subjek data pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi. Sebagaimana diatur dalam UUPDP, hak-hak Subjek Data Pribadi adalah:

 

  1. mendapatkan Informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi.
  2. melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi tentang dirinya sesuai dengan tujuan pemrosesan data pribadi.
  3. mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya.
  4. mengakhiri pemrosesan, menghapus, dan/ atau memusnahkan data pribadi tentang dirinya.
  5. menarik kembali persetujuan pemrosesan data pribadi tentang dirinya yang telah diberikan kepada pengendali data pribadi.
  6. mengajukan keberatan atas tindakan pengambilan keputusan yang hanya didasarkan pada pemrosesan secara otomatis, termasuk pemrofilan, yang menimbulkan akibat hukum atau berdampak signifikan pada Subjek Data Pribadi.
  7. menunda atau membatasi pemrosesan Data Pribadi secara sesuai dengan tujuan pemrosesan Data Pribadi.
  8. menggugat dan menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.
  9. mendapatkan dan/atau menggunakan Data Pribadi tentang dirinya dari Pengendali Data Pribadi dalam bentuk yang sesuai dengan struktur dan/ atau format yang lazim digunakan atau dapat dibaca oleh sistem elektronik.
  10. menggunakan dan mengirimkan Data Pribadi tentang dirinya ke Pengendali Data Pribadi lainnya, sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman sesuai dengan prinsip Pelindungan Data Pribadi.

 

C. PENGUMPULAN DAN PEMROSESAN DATA

 

Langkah-langkah dalam pengumpulan dan pemrosesan data pribadi:

 

  1. Persetujuan

 

Ketika akan mengumpulkan data pribadi Pengendali Data Pribadi wajib menyatakan secara jelas kepada Subjek Data Pribadi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi.  Pengendali Data Pribadi wajib mengumpulkan data pribadi secara terbatas dan spefisik, sah secara hukum, dan transparan.

 

Sebelum memproses data pribadi, Pengendali Data Pribadi wajib memiliki dasar pemrosesan yaitu Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi. Persetujuan ini dapat diberikan untuk satu tahun atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi. Terkait persetujuan tersebut, Pengendali Data Pribadi wajib menyampaikan informasi mengenai:

 

  1. Legaltas dari pemrosesan Data Pribadi

  2. Tujuan pemrosesan Data Pribadi

  3. Jenis dan relevansi Data Pribadi yang akan diproses

  4. Jangka waktu retensi dokumen yang memuat Data Pribadi

  5. Rincian mengenai informasi yang dikumpulkan

  6. Jangka waktu pemrosesan data pribadi; dan

  7. Hak subjek Data Pribadi

 

Dalam hal terdapat perubahan informasi terkait poin-poin tersebut, Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan Informasi.

 

Persetujuan pemrosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam dan dapat disampaikan secara elektronik atau nonelektronik. Persetujuan dengan cara-cara tersebut mempunyai kekuatan hukum yang sama.

 

Dalam hal persetujuan memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan:

a. dapat dibedakan secara jelas dengan hal lainnya;

b. dibuat dengan format yang dapat dipahami dan mudah diakses; dan

c. menggunakan bahasa yang sederhana dan jelas.

Persetujuan yang tidak memenuhi ketentuan ini dinyatakan batal demi hukum.

 

  1. Pemrosesan

 

Dalam memproses Data Pribadi, Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi. Dasar pemrosesan Data Pribadi meliputi:

 

  1. Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
  2. Pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
  3. Pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
  4. Pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
  5. Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/atau
  6. Pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.

 

Pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta antisipasi atau pemulihan apabila terjadi kegagalan Pelindungan Data Pribadi kepada Subjek Data Pribadi.  Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi.

 

Berikut ini hal-hal yang wajib dilakukan oleh Pengendali Data Pribadi ketika memroses Data Pribadi:

 

  1. menyampaikan Informasi mengenai: legalitas dari pemrosesan Data Pribadi; tujuan pemrosesan Data Pribadi; jenis dan relevansi Data Pribadi yang akan diproses; jangka waktu retensi dokumen yang memuat Data Pribadi; rincian mengenai Informasi yang dikumpulkan; jangka waktu pemrosesan Data Pribadi; dan hak Subjek Data Pribadi. Dalam hal terdapat perubahan Informasi, Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan Informasi.
  2. Memproses data pribadi sesuai dengan tujuannya, dengan melindungi keamanan data pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, dan penghilangan data pribadi.
  3. Memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan. Dalam memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi, Pengendali Data Pribadi wajib melakukan verifikasi.
  4. Melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.
  5. Memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi Pengendali Data Pribadi wajib memberitahukan hasil pembaruan dan/atau perbaikan Data Pribadi kepada Subjek Data Pribadi.
  6. Memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi sesuai dengan jangka waktu penyimpanan Data Pribadi.
  7. Menjaga kerahasiaan Data Pribadi.
  8. Melindungi Data Pribadi dari pemrosesan yang tidak sa
  9. Menghentikan pemrosesan Data Pribadi dalam hal Subjek Data Pribadi menarik kembali persetujuan pemrosesan Data Pribad
  10. Apabila Pengendali Data Pribadi menerima permintaan penundaan dan pembatasan pemrosesan Data Pribadi, wajib melakukan penundaan dan pembatasan pemrosesan Data Pribadi baik sebagian maupun seluruhnya. Pengendali Data Pribadi wajib memberitahukan telah dilaksanakan penundaan dan pembatasan pemrosesan Data Pribadi kepada Subjek Data Pribadi.
  11. Memusnahkan dan/atau menghapus data pribadi setelah masa retensi berakhir atau berdasarkan permintaan Subjek Data Pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan.

 

  1. Pengakhiran Pemrosesan Data Pribadi

 

Pengendali Data Pribadi wajib mengakhiri pemrosesan Data Pribadi dalam hal:

a. telah mencapai masa retensi;

b. tujuan pemrosesan Data Pribadi telah tercapai; atau

c. terdapat permintaan dari Subjek Data Pribadi.

 

Pengendali Data Pribadi wajib memusnahkan Data Pribadi dalam hal:

a. telah habis masa retensinya dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip;

b. terdapat permintaan dari Subjek Data Pribadi;

c. tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/ atau

d. Data Pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.

 

Pengendali Data Pribadi wajib menghapus Data Pribadi dalam hal:

a. Data Pribadi tidak lagi diperlukan untuk pencapaian tujuan pemrosesan Data Pribadi;

b. Subjek Data Pribadi telah melakukan penarikan kembali persetujuan pemrosesan Data Pribadi;

c. terdapat permintaan dari Subjek Data Pribadi; atau

d. Data Pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.

 

Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.

 

D. TRANSFER DATA PRIBADI

 

Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi lainnya dalam wilayah hukum Negara Republik Indonesia. Pengendali Data Pribadi yang melakukan transfer Data Pribadi dan yang menerima transfer Data Pribadi wajib melakukan Pelindungan Data Pribadi sebagaimana diwajibkan dalam UUPDP.

 

Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia dengan tetap mematuhi ketentuan dalam UUPDP. Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat. Apabila persyaratan Pelindungan Data Pribadi tidak dapat dipenuhi, maka Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi mengenai transfer Data Pribadi.

 

E. PELAKSANAAN DAN PENGAWASAN PELINDUNGAN DATA PRIBADI

 

Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi.

 

Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dalam hal:

 

  • pemrosesan Data Pribadi untuk kepentingan pelayanan publik;
  • kegiatan inti Pengendali Data Pribadi memiliki sifat, ruang lingkup, dan/ atau tujuan yang
  • memerlukan pemantauan secara teratur dan sistematis atas Data Pribadi dengan skala besar; dan
  • kegiatan inti Pengendali Data Pribadi terdiri dari pemrosesan Data Pribadi dalam skala besar untuk Data Pribadi yang bersifat spesifik dan/ atau Data Pribadi yang berkaitan dengan tindak pidana.

 

Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya. Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dapat berasal dari dalam dan/ atau luar Pengendali Data Pribadi Data Pribadi.

 

Penting bagi pengusaha yang melakukan pengumpulan dan pemrosesan data pribadi untuk menunjuk dan menugaskan personil khusus yang akan mengawasi dan memastikan pelindungan data pribadi dan mengantisipasi atau memulihkan dalam hal terjadinya kegagalan pelindungan data pribadi.

 

 

F. LANGKAH-LANGKAH KEAMANAN DAN RENCANA TANGGAP INSIDEN

 

Keberhasilan pelindungan data pribadi tidak lepas dari diterapkannya rencana tanggap insiden kegagalan pelindungan. Ini harus juga didukung dengan system teknologi yang mumpuni dalam mencegah kebocoran data pribadi atau data pribadi diakses secara tidak sah. Pencegahan  dilakukan dengan Sistem keamanan berupa sistem elektronik yang andal, aman, dan bertanggung jawab wajib diterapkan dalam pemrosesan data pribadi.

 

Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan:

 

a. penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan

b. penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.

 

Sebagaimana diwajibkan dalam UUPDP, dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam kepada Subjek Data Pribadi dan Lembaga (badan pemerintah yang ditetapkan oleh Presiden yang bertujuan untuk penyelenggarakan pelindungan Data Pribadi). Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi. Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.

 

Pengendali Data Pribadi harus menyiapkan mitigasi risiko kegagalan prosedur upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi, baik dari segi hukum maupun teknis.

 

Kesimpulan:

 

Undang-Undang Pelindungan Data Pribadi (UU PDP) memiliki dampak signifikan bagi pelaku usaha yang memproses data pribadi. Pemrosesan Data Pribadi harus memiliki dasar sebagaimana diatur dalam UUDP. Pengendali Data Pribadi bertanggung jawab dalam pemrosesan dan pengelolaan data pribadi dan juga melindungi data pribadi. Pelaku usaha harus mempunyai sistem yang handal dalam pemrosesan, pengelolaan dan pelindungan data pribadi. Pemahaman, kepatuhan terhadap UUDP dan kepastian dalam perlindungan data pribadi yang memadai adalah salah satu langkah penting dalam menjaga kepercayaan pelanggan.

 

Penafian: Artikel ini hanya untuk tujuan informasi dan tidak dimaksudkan sebagai nasihat hukum dan tidak dapat diandalkan sebagai nasihat hukum atau bentuk lain yang serupa. Jika Anda memerlukan nasihat atau bantuan hukum, silakan hubungi pengacara atau penasihat Anda sendiri.