Dasar Hukum Perlindungan Data Pribadi

Dasar hukum perlindungan data pribadi saat ini adalah Undang-Undang Pelindungan Data Pribadi atau UU PDP. Dalam UU PDP ini, Ada 16 bab dengan 76 pasal yang membahas sejumlah ketentuan perihal data pribadi. Adapun isi dari peraturan ini adalah sebagai berikut.

Bab I: Ketentuan Umum

Bab pertama membahas ketentuan umum seputar data pribadi dan pihak yang terlibat dalam pemrosesannya. Dalam bab ini, sebagaimana dimuat dalam Pasal 1 angka 1 UU PDP diterangkan bahwa data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.

Kemudian, yang dimaksud dengan pelindungan data pribadi adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.

Baca juga:

• Aturan Wajib bagi Pengendali Data Pribadi dalam UU PDP
• KADIN: UU PDP Buka Lapangan Pekerjaan Baru
• UU PDP: Kominfo Siapkan Standar Profesi DPO

Bab II: Asas

Bab kedua dasar hukum perlindungan data pribadi ini menerangkan sejumlah asas yang menjadi dasar pelindungan data pribadi . Berdasarkan ketentuan Pasal 3 UU PDP, ada delapan asas yang menjadi landasan, yakni asas pelindungan, kepastian hukum, kepentingan umum, kemanfaatan, kehati-hatian, keseimbangan, pertanggungjawaban, dan kerahasiaan.

Bab III: Jenis Data Pribadi

Dalam bab ketiga dasar hukum perlindungan data pribadi, diterangkan jenis data pribadi, yakni meliputi data bersifat spesifik dan data bersifat umum.

Adapun yang dimaksud dengan data pribadi bersifat spesifik adalah data pribadi yang pemrosesannya dapat mengakibatkan dampak yang lebih besar kepada Subjek Data Pribadi (orang yang melekat pada data pribadi yang dimaksud), seperti tindakan diskriminasi dan kerugian yang lebih besar. Misalnya data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, dan data keuangan pribadi.

Kemudian, data pribadi yang bersifat umum adalah data pribadi yang sifatnya dapat diketahui publik untuk mengidentifikasi seseorang. Misalnya nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Bab IV: Hak Subjek Data Pribadi

Pada bab keempat, diterangkan sejumlah hak yang dimiliki Subjek Data Pribadi. Ada sembilan hak yang dipaparkan sebagai berikut.

1. Hak mendapat kejelasan atas penggunaan data pribadi.
2. Hak mengubah data pribadinya menjadi akurat.
3. Hak akses dan salinan data pribadi.
4. Hak menghapus datanya.
5. Hak membatalkan persetujuan pemrosesan data pribadi.
6. Hak mengajukan keberatan atas pemrosesan data pribadi secara otomatis.
7. Hak menunda atau membatasi pemrosesan data pribadi.
8. Hak menggugat dan menerima ganti rugi.
9. Hak mendapatkan dan menggunakan data pribadi tentang dirinya.

Bab V: Pemrosesan Data Pribadi

Bab kelima ini menerangkan seputar pemrosesan data pribadi, meliputi pemerolehan dan pengumpulan; pengolahan dan penganalisisan; penyimpanan; perbaikan dan pembaruan; penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan; dan penghapusan atau pemusnahan.

Bab VI: Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi dalam Pemrosesan Data Pribadi

Ketentuan Pasal 19 UU PDP menerangkan bahwa pengendali data prindai dan prosesor data pribadi ini meliputi setiap orang, badan publik, dan organisasi internasional.

Kemudian, yang dimaksud dengan pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.

Lalu, yang dimaknai dengan prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi. Simak kewajiban pengendali data pribadi dan prosesor data pribadi selengkapnya.

Bab VII: Transfer Data Pribadi

Transfer data pribadi diklasifikasikan atas transfer data pribadi dalam negeri dan transfer data pribadi ke luar negeri. Diterangkan bahwa pengendali data pribadi yang melakukan transfer data pribadi wajib melakukan pelindungan data pribadi sebagaimana diatur dalam undang-undang. 

Kemudian, terkait transfer data ke luar negeri, pengendali data pribadi wajib memastikan negara tempat kedudukan pengendali data pribadi dan/atau prosesor data pribadi yang menerima transfer data pribadi memiliki tingkat pelindungan data pribadi yang setara atau lebih tinggi daripada yang diatur dalam UU PDP.

Bab VIII: Sanksi Administratif

Bab kedelapan dasar hukum perlindungan data pribadi ini ini menerangkan sejumlah sanksi administratif, yakni meliputi peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan denda administratif.

Bab IX: Kelembagaan

Bab kesembilan membahas kelembagaan terkait perlindungan data pribadi. Pasal 58 ayat UU PDP menerangkan bahwa pemerintah berperan dalam mewujudkan penyelenggaraan pelindungan data pribadi sesuai dengan ketentuan UU PDP. Adapun penyelenggaraan pelindungannya dilaksanakan oleh lembaga yang ditetapkan oleh presiden. Kemudian, lembaga yang dimaksud bertanggung jawab pula kepada presiden.

Fungsi dari lembaga ini adalah untuk melakukan:

• perumusan dan penetapan kebijakan dan strategi pelindungan data pribadi yang menjadi panduan bagi Subjek Data Pribadi, pengendali data pribadi, dan prosesor data pribadi;
• pengawasan terhadap penyelenggaraan pelindungan data pribadi;
• penegakan hukum administratif terhadap pelanggaran undang-undang; dan
• fasilitasi penyelesaian sengketa di luar pengadilan.

Bab X: Kerja Sama Internasional

Ketentuan Pasal 62 UU PDP menerangkan bahwa kerja sama internasional dilakukan oleh pemerintah dengan pemerintah negara lain atau organisasi internasional terkait dengan pelindungan data pribadi. Adapun kerja sama internasional tersebut dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan dan prinsip hukum internasional.

Bab XI: Partisipasi Masyarakat

Masyarakat dapat berperan dalam mendukung terselenggaranya perlindungan data pribadi, baik secara langsung maupun tidak langsung. Peran yang dimaksud dapat dilakukan melalui pendidikan, pelatihan, advokasi, sosialisasi, dan/atau pengawasan sesuai dengan ketentuan peraturan perundang-undangan.

Bab XII: Penyelesaian Sengketa dan Hukum Acara

Bila timbul sengketa, penyelesaian sengketa pelindungan data pribadi dilakukan melalui arbitrase, pengadilan, atau lembaga penyelesaian sengketa alternatif lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Kemudian, hukum acara yang berlaku dalam penyelesaian sengketa adalah hukum acara yang berlaku sesuai ketentuan perundang-undangan. Adapun alat bukti yang sah untuk penyelesaian sengketa, meliputi alat bukti sebagaimana dimaksud dalam hukum acara dan alat bukti lain berupa informasi elektronik dan/atau dokumen elektronik.

Bab XIII: Larangan dalam Penggunaan Data Pribadi

Bab ketiga belas ini menerangkan sejumlah larangan dalam penggunaan data pribadi, yakni larangan memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya secara melawan hukum dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi.

Kemudian, larangan untuk mengungkapkan dan menggunakan data pribadi yang bukan miliknya dengan cara melawan hukum pula. Lalu, setiap orang juga dilarang untuk membuat data pribadi palsu atau memalsukan data pribadi dengan maksud menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain.

Bab XIV: Ketentuan Pidana

Setiap orang yang melanggar ketentuan dasar hukum perlindungan data pribadi ini akan dikenakan pidana. Adapun sejumlah pidana yang dimaksud, antara lain:

1. orang yang mengumpulkan data pribadi yang bukan miliknya secara melawan hukum dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi dipidana dengan pidana penjara paling lama lima tahun dan/atau pidana denda paling banyak Rp5 miliar;
2. orang yang mengungkapkan data pribadi yang bukan miliknya secara melawan hukum dipidana dengan pidana penjara paling lama empat tahun dan/atau pidana denda paling banyak Rp4 miliar;
3. orang yang menggunakan data pribadi yang bukan miliknya secara melawan hukum dipidana dengan pidana penjara paling lama lima tahun dan/atau pidana denda paling banyak Rp5 miliar; dan
4. orang yang membuat data pribadi palsu atau memalsukan data pribadi dengan maksud menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain dipidana dengan pidana penjara paling lama enam tahun dan/atau pidana denda paling banyak Rp6 miliar.

Bab XV: Ketentuan Peralihan

Dalam bab ini, diterangkan bahwa saat UU PDP mulai berlaku, pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi, wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan UU PDP paling lama dua tahun sejak undang-undang tersebut diundang-undangkan.

Kemudian, ketentuan peraturan perundang-undangan yang mengatur perlindungan data pribadi sebelumnya dinyatakan masih tetap berlaku sepanjang tidak bertentangan dengan UU PDP.

Bab XVI: Ketentuan Penutup

Bab terakhir dasar hukum perlindungan data pribadi ini menerangkan bahwa UU PDP mulai berlaku pada tanggal diundangkan, yakni 17 Oktober 2022.

Kesulitan mengikuti perubahan berbagai peraturan? Pusat Data Hukumonline menyediakan versi konsolidasi yang menghimpun perubahan peraturan dalam satu naskah. Dapatkan akses Undang-Undang Pelindungan Data Pribadi secara lengkap dan bebas biaya di Pusat Data Hukumonline.