Dasar pemrosesan data pribadi berpijak pada Pasal 20 UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), terdiri atas 6 langkah yaitu persetujuan yang sah secara eksplisit, pemenuhan kewajiban perjanjian, pemenuhan kewajiban hukum, pemenuhan pelindungan kepentingan vital, pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik atau pelaksanaan kewenangan, serta pemenuhan kepentingan yang sah.
Persetujuan pemrosesan data pribadi dilakukan melalui persetujuan tertulis atau terekam. Persetujuan dapat disampaikan secara elektronik maupun nonelektronik. Persetujuan secara elektronik atau tertulis mempunyai kekuatan hukum yang sama.
“Dasar pemrosesan tidak hanya berdasarkan dari persetujuan, tetapi juga memudahkan pelaku usaha dalam memproses data pribadi,” jelas Danny Kobrata selaku Pendiri dan Pengurus Asosiasi Praktisi Pelindungan Data Indonesia (APPDI), Selasa (28/11).
Baca juga:
- 8 Prinsip Hak Privasi dalam Aturan Pelindungan Data Pribadi
- Membandingkan Isi UU Pelindungan Data Pribadi di Indonesia dengan Negara Lain
Jika persetujuan memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan sebagai berikut:
1. Dapat dibedakan secara jelas dengan hal lainnya
2. Dibuat dengan format yang dapat dipahami dan mudah diakses
3. Menggunakan Bahasa yang sederhana dan jelas.
Persetujuan yang tidak memenuhi ketentuan tersebut, dinyatakan batal demi hukum. Klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan data pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari subjek data pribadi dinyatakan batal demi hukum.
Dalam melakukan pemrosesan data pribadi, pengendali data pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data pribadi. Sehingga, Danny mengimbau untuk tidak mengumpulkan banyak data pribadi yang tidak relevan.