Di zaman digital sekarang ini, untuk tercapainya penyediaan layanan ataupun penjualan yang optimal dan memuaskan kepada pelanggan, pengusaha, baik perorangan maupun badan usaha/korporasi perlu melakukan kegiatan pemerolehan dan pengumpulan serta pengolahan data pribadi. Karena itu, kepatuhan terhadap undang-undang pelindungan data pribadi harus menjadi salah satu prioritas dalam strategi bisnis pengusaha.
Pelindungan Data Pribadi di wilayah Republik Indonesia, diatur dan dilaksanakan berdasarkan Undang-Undang Nomor 27 tahun 2022 tentang Pelindungan Data Pribadi (“UUPDP”). Dalam menjalankan kegiatan usahanya dimana pengusaha mengumpulkan dan memproses data pribadi, pengusaha harus memperhatikan dan mematuhi ketentuan-ketentuan yang diatur dalam UUPDP.
Pelindungan Data Pribadi penting terutama untuk menjaga kepercayaan dan keyakinan pelanggan, klien, dan mitra yang mempercayakan informasi sensitif mereka kepada pelaku usaha. Selain itu, ketidakpatuhan dapat membuat bisnis menghadapi risiko hukum dan keuangan, termasuk denda yang besar, biaya litigasi, dan potensi gangguan bisnis. Konsekuensi finansial tidak hanya berupa hukuman langsung, namun juga mencakup kerusakan reputasi dan biaya terkait untuk membangun kembali kepercayaan.
Pada akhirnya, kepatuhan terhadap undang-undang pelindungan data pribadi bukan hanya sekadar persyaratan hukum namun merupakan pilihan strategis yang meningkatkan reputasi bisnis, memitigasi risiko, dan berkontribusi terhadap keberhasilan dan keberlangsungan bisnis secara keseluruhan dalam lingkungan bisnis yang saling terhubung dan berbasis data.
Hal-hal penting yang perlu diperhatikan oleh dunia usaha sebagaimana diatur dalam UUPDP adalah sebagai berikut:
Untuk dapat menjalankan kewajibannya berdasarkan UUPDP terkait pelindungan data pribadi, Pengusaha perlu memahami apa yang dimaksud dengan data pribadi dan cakupan data pribadi yang dilindungi.
Berdasarkan UUPDP, data pribadi didefinisikan sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Data Pribadi meliputi data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum. Data pribadi yang bersifat spesifik meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi; dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan. Data Pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan; dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.
Kewajiban untuk mematuhi ketentuan dalam UUPDP berlaku bagi Pengusaha yang berbentuk baik orang perseorangan atau korporasi, yang melakukan kegiatan pemerolehan dan pengumpulan serta pengolahan data pribadi yang berada di wilayah hukum Negara Republik Indonesia. UUPDP juga berlaku untuk pengusaha yang melakukan kegiatan pemerolehan dan pengumpulan serta pengolahan data pribadi di luar wilayah hukum Negara Republik Indonesia, namun memiliki akibat hukum:
a. di wilayah hukum Negara Republik Indonesia dan/atau
b. bagi warga negara Indonesia yang berada di luar wilayah hukum Negara Republik Indonesia namun pada dirinya melekat data pribadi.
Dalam mengumpulkan Data Pribadi, Pengusaha dapat melakukan pengumpulan atau pemrosesan itu sendiri maupun membuat perjanjian dengan pihak ketiga. Pengusaha (baik orang peseorangan maupun berbentuk korporasi) yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi disebut Pengendali Data Pribadi. Pengendali Data Pribadi dapat juga menunjuk Prosessor Data Pribadi untuk melakukan pemrosesan data pribadi atas nama Pengendali Data Pribadi.
Apabila Pengendali Data Pribadi menunjuk Prosesor Data Pribadi, Prosesor Data Pribadi wajib melakukan pemrosesan Data Pribadi berdasarkan perintah Pengendali Data Pribadi. Pemrosesan Data Pribadi yang dilakukan oleh Prosesor ini termasuk dalam tanggung jawab Pengendali Data Pribadi. Pemrosesan Data Pribadi yang dilakukan oleh Prosesor Data Pribadi di luar perintah dan tujuan yang ditetapkan Pengendali Data Pribadi akan menjadi tanggung jawab Prosesor Data Pribadi.
Dalam mengumpulkan dan memproses data pribadi, pengusaha harus memperhatikan hak-hak subjek Data Pribadi. Subjek data pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi. Sebagaimana diatur dalam UUPDP, hak-hak Subjek Data Pribadi adalah:
Langkah-langkah dalam pengumpulan dan pemrosesan data pribadi:
Persetujuan
Ketika akan mengumpulkan data pribadi Pengendali Data Pribadi wajib menyatakan secara jelas kepada Subjek Data Pribadi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi. Pengendali Data Pribadi wajib mengumpulkan data pribadi secara terbatas dan spefisik, sah secara hukum, dan transparan.
Sebelum memproses data pribadi, Pengendali Data Pribadi wajib memiliki dasar pemrosesan yaitu Persetujuan yang sah secara eksplisit dari Subjek Data Pribadi. Persetujuan ini dapat diberikan untuk satu tahun atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi. Terkait persetujuan tersebut, Pengendali Data Pribadi wajib menyampaikan informasi mengenai:
Legaltas dari pemrosesan Data Pribadi
Tujuan pemrosesan Data Pribadi
Jenis dan relevansi Data Pribadi yang akan diproses
Jangka waktu retensi dokumen yang memuat Data Pribadi
Rincian mengenai informasi yang dikumpulkan
Jangka waktu pemrosesan data pribadi; dan
Hak subjek Data Pribadi
Dalam hal terdapat perubahan informasi terkait poin-poin tersebut, Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan Informasi.
Persetujuan pemrosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam dan dapat disampaikan secara elektronik atau nonelektronik. Persetujuan dengan cara-cara tersebut mempunyai kekuatan hukum yang sama.
Dalam hal persetujuan memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan:
a. dapat dibedakan secara jelas dengan hal lainnya;
b. dibuat dengan format yang dapat dipahami dan mudah diakses; dan
c. menggunakan bahasa yang sederhana dan jelas.
Persetujuan yang tidak memenuhi ketentuan ini dinyatakan batal demi hukum.
Pemrosesan
Dalam memproses Data Pribadi, Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi. Dasar pemrosesan Data Pribadi meliputi:
Pemrosesan Data Pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta antisipasi atau pemulihan apabila terjadi kegagalan Pelindungan Data Pribadi kepada Subjek Data Pribadi. Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi.
Berikut ini hal-hal yang wajib dilakukan oleh Pengendali Data Pribadi ketika memroses Data Pribadi:
Pengakhiran Pemrosesan Data Pribadi
Pengendali Data Pribadi wajib mengakhiri pemrosesan Data Pribadi dalam hal:
a. telah mencapai masa retensi;
b. tujuan pemrosesan Data Pribadi telah tercapai; atau
c. terdapat permintaan dari Subjek Data Pribadi.
Pengendali Data Pribadi wajib memusnahkan Data Pribadi dalam hal:
a. telah habis masa retensinya dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip;
b. terdapat permintaan dari Subjek Data Pribadi;
c. tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/ atau
d. Data Pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.
Pengendali Data Pribadi wajib menghapus Data Pribadi dalam hal:
a. Data Pribadi tidak lagi diperlukan untuk pencapaian tujuan pemrosesan Data Pribadi;
b. Subjek Data Pribadi telah melakukan penarikan kembali persetujuan pemrosesan Data Pribadi;
c. terdapat permintaan dari Subjek Data Pribadi; atau
d. Data Pribadi diperoleh dan/ atau diproses dengan cara melawan hukum.
Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.
Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi lainnya dalam wilayah hukum Negara Republik Indonesia. Pengendali Data Pribadi yang melakukan transfer Data Pribadi dan yang menerima transfer Data Pribadi wajib melakukan Pelindungan Data Pribadi sebagaimana diwajibkan dalam UUPDP.
Pengendali Data Pribadi dapat melakukan transfer Data Pribadi kepada Pengendali Data Pribadi dan/atau Prosesor Data Pribadi di luar wilayah hukum Negara Republik Indonesia dengan tetap mematuhi ketentuan dalam UUPDP. Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat. Apabila persyaratan Pelindungan Data Pribadi tidak dapat dipenuhi, maka Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi mengenai transfer Data Pribadi.
Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi.
Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menunjuk pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dalam hal:
Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi ditunjuk berdasarkan profesionalitas, pengetahuan mengenai hukum, praktik Pelindungan Data Pribadi, dan kemampuan untuk memenuhi tugas-tugasnya. Pejabat atau petugas yang melaksanakan fungsi Pelindungan Data Pribadi dapat berasal dari dalam dan/ atau luar Pengendali Data Pribadi Data Pribadi.
Penting bagi pengusaha yang melakukan pengumpulan dan pemrosesan data pribadi untuk menunjuk dan menugaskan personil khusus yang akan mengawasi dan memastikan pelindungan data pribadi dan mengantisipasi atau memulihkan dalam hal terjadinya kegagalan pelindungan data pribadi.
Keberhasilan pelindungan data pribadi tidak lepas dari diterapkannya rencana tanggap insiden kegagalan pelindungan. Ini harus juga didukung dengan system teknologi yang mumpuni dalam mencegah kebocoran data pribadi atau data pribadi diakses secara tidak sah. Pencegahan dilakukan dengan Sistem keamanan berupa sistem elektronik yang andal, aman, dan bertanggung jawab wajib diterapkan dalam pemrosesan data pribadi.
Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan:
a. penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
b. penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.
Sebagaimana diwajibkan dalam UUPDP, dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam kepada Subjek Data Pribadi dan Lembaga (badan pemerintah yang ditetapkan oleh Presiden yang bertujuan untuk penyelenggarakan pelindungan Data Pribadi). Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi. Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.
Pengendali Data Pribadi harus menyiapkan mitigasi risiko kegagalan prosedur upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi, baik dari segi hukum maupun teknis.
Undang-Undang Pelindungan Data Pribadi (UU PDP) memiliki dampak signifikan bagi pelaku usaha yang memproses data pribadi. Pemrosesan Data Pribadi harus memiliki dasar sebagaimana diatur dalam UUDP. Pengendali Data Pribadi bertanggung jawab dalam pemrosesan dan pengelolaan data pribadi dan juga melindungi data pribadi. Pelaku usaha harus mempunyai sistem yang handal dalam pemrosesan, pengelolaan dan pelindungan data pribadi. Pemahaman, kepatuhan terhadap UUDP dan kepastian dalam perlindungan data pribadi yang memadai adalah salah satu langkah penting dalam menjaga kepercayaan pelanggan.
Penafian: Artikel ini hanya untuk tujuan informasi dan tidak dimaksudkan sebagai nasihat hukum dan tidak dapat diandalkan sebagai nasihat hukum atau bentuk lain yang serupa. Jika Anda memerlukan nasihat atau bantuan hukum, silakan hubungi pengacara atau penasihat Anda sendiri.
Our office operates primarily online, providing legal services without the need for a physical office space. By leveraging technology, we offer clients easy access to legal expertise through virtual consultations, secure document sharing, and ongoing communication via email and video conferencing.
Senawijaya Legal Consulting is designed to simplify legal services for clients, making it easy for clients to connect with our consultants, manage their cases, and receive personalized legal support from the comfort of their home. This innovative approach not only increases accessibility but reduces overhead costs, allowing for more transparent pricing and flexible service options.
Lima Building
Jl. Sunda No.55-61, Kb. Pisang,
Kota Bandung, Jawa Barat 40112
Indonesia
Contact us at info@senawijaya.com
Work hours:
Monday - Friday 09.00 - 18.00 WIB (UTC +7)