Pembahasan Rancangan Undang-Undang Pelindungan Data Pribadi (RUU PDP) akhirnya bermuara. Pada 20 September 2022, Paripurna DPR bersama Pemerintah mengesahkan RUU PDP menjadi undang-undang (UU PDP). Pengesahan ini sesuai dengan target Komisi DPR yang mengungkapkan pembahasan akan selesai sebelum Presidensi G20 pada November 2022.
Lalu apa dampak UU PDP yang baru saja disahkan bagi dunia usaha? Tentu saja besar. Pemrosesan data pribadi merupakan salah satu bagian penting dalam menjalankan dunia usaha saat ini. Hampir semua pelaku usaha, di sektor apapun, memproses data pribadi, baik data pribadi pelanggan, pengguna, maupun data pribadi karyawan.
Dengan adanya UU PDP, pelaku usaha harus menyesuaikan cara pemrosesan data pribadi saat ini agar sesuai dengan aturan-aturan pemrosesan data pribadi berdasarkan UU PDP. Oleh sebab itu, penting bagi perusahaan untuk bersiap-siap untuk mematuhi aturan-aturan di dalam UU PDP tersebut.
Baca juga:
- Resmi Disahkan, Ada Potensi UU Pelindungan Data Pribadi Menuai Persoalan
- UU PDP Era Baru Tata Kelola Data Pribadi di Indonesia
- LBH Jakarta Beberkan 3 Alasan Lembaga Pelindungan Data Pribadi Harus Independen
Setidaknya ada beberapa aturan penting yang perlu diantisipasi oleh pelaku usaha terkait dengan UU PDP.
- Dasar Pemrosesan Data Pribadi
Pertama, mengenai dasar pemrosesan data pribadi. UU PDP memungkinkan pelaku usaha untuk memproses data pribadi tanpa persetujuan. Sebelumnya, berdasarkan aturan-aturan yang berlaku saat ini, persetujuan adalah satu-satunya dasar yang sah untuk memproses data pribadi.
Artinya, setiap melakukan pemrosesan data pribadi, pelaku usaha wajib memperoleh persetujuan dari pemilik data pribadi. Bagi banyak pelaku usaha, kewajiban ini dirasakan cukup memberatkan karena dianggap tidak praktis untuk selalu meminta persetujuan dari pemilik data pribadi.
Adanya dasar-dasar lain untuk memproses data pribadi dapat mempermudah pelaku usaha dalam melakukan pemrosesan, sehingga tidak menghambat proses bisnis dari pelaku usaha.
Dasar-dasar lain (selain persetujuan) untuk pemrosesan data pribadi berdasarkan UU PDP adalah sebagai berikut:
- Pemenuhan kewajiban kontrak dengan subyek data;
- Pemenuhan kewajiban hukum;
- Pemenuhan kepentingan vital subyek data;
- Pelaksanaan tugas untuk kepentingan umum dan pelayanan publik; dan
- Pemenuhan kepentingan sah lainnya.
Dalam memproses data pribadi, pelaku usaha harus dapat menentukan dasar pemrosesan mana yang dapat digunakan. Tentu saja, perlu diingat bahwa tiap-tiap dasar pemrosesan di atas memiliki syarat-syarat sendiri yang harus dipenuhi.
(Pemrosesan data pribadi merupakan suatu yang tidak dapat dihindarkan oleh dunia usaha saat ini. Oleh sebab itu, penting bagi perusahaan di Indonesia untuk memahami aturan-aturan perlindungan data pribadi di dalam UU PDP. UU PDP sendiri memberikan waktu maksimal dua tahun bagi perusahaan untuk patuh terhadap ketentuan di dalamnya. Oleh sebab itu, perusahaan harus mulai mempersiapkan diri agar patuh terhadap UU PDP sehingga terhindar dari sanksi (baik secara administratif, perdata, maupun pidana) karena melakukan pelanggaran terhadap UU PDP).
- Hak-hak Subyek Data (atau Pemilik Data Pribadi)
Kedua, terkait dengan hak-hak yang dimiliki oleh subyek data atau pemilik data pribadi. Perlu diingat bahwa di dalam konteks dunia usaha, subyek data bukan hanya pelanggan, konsumen, atau pengguna layanan, tapi juga karyawan dari pelaku usaha tersebut. Hak-hak ini sebenarnya sudah diatur di dalam peraturan-peraturan terkait perlindungan data pribadi saat ini (sebelum UU PDP). Namun, UU PDP memperluas cakupan hak-hak data subyek. Adapun hak-hak data subyek berdasarkan UU PDP adalah antara lain:
Hak-hak subyek data berarti kewajiban bagi pelaku usaha. Artinya, pelaku usaha wajib menjamin bahwa subyek data dapat melaksanakan hak-haknya. Menjamin pelaksanaan hak-hak data subyek bukanlah tugas yang mudah, terutama bagi dunia usaha kita yang belum terlalu familiar dengan aturan-aturan perlindungan data pribadi.
Pelaku usaha perlu memikirkan cara agar subyek data dapat melaksanakan hak-haknya. Misalnya, dengan cara menunjuk karyawan tertentu di dalam perusahaan untuk menjadi narahubung (contact person) dengan subyek data. Atau misalnya dengan membuat kebijakan internal tertentu yang mengatur mengenai cara-cara menangani permintaan-permintaan dari subyek data.
Sebagai contoh, permintaan untuk mengakses data pribadi, menghapus data pribadi, keberatan atas pemrosesan tertentu, dan lain-lain. Dengan adanya UU PDP, pelaku usaha harus siap untuk membangun mekanisme-mekanisme baru tersebut. Apabila pelaku usaha gagal dalam melindungi hak-hak subyek data, pelaku usaha dapat dianggap melanggar UU PDP, sehingga bisa dikenakan sanksi.
- Konsep Pengendali dan Pemroses Data Pribadi
Sering kali pemrosesan data pribadi di dalam perusahaan melibatkan banyak pihak. Tidak hanya departemen atau divisi di dalam perusahaan saja, tapi juga pihak-pihak di luar perusahaan. Merupakan praktik yang lazim apabila suatu perusahaan menunjuk atau mendelegasikan sebagian kegiatan pemrosesan kepada pihak lain. Hal ini bisa dilakukan karena beberapa hal. Salah satu, adalah kurangnya sumber daya (baik secara personel maupun infrastruktur) di dalam perusahaan untuk memproses data pribadi tersebut. UU PDP membedakan antara pihak yang memproses data pribadi untuk dirinya sendiri dan pihak yang ditunjuk untuk memproses untuk dan atas nama pihak lain.
UU PDP memperkenalkan konsep “pengendali data” dan “pemroses data”. Pengendali data adalah setiap pihak yang menentukan tujuan dan melakukan kendali atas data pribadi tersebut. Sedangkan pemroses data adalah setiap pihak memproses data pribadi untuk pengendali data pribadi. Sebagai ilustrasi sebagai berikut.
PT ABC mengumpulkan data pribadi milik konsumennya. Data tersebut nantinya akan digunakan untuk program loyalty, kepentingan marketing, atau penelitian untuk peningkatan produk tertentu. Dikarenakan keterbatasan sumber daya, PT ABC menunjuk pihak ketiga, PT XYZ, untuk memproses data pribadi ini sesuai dengan arahan dari PT ABC.
Di dalam deskripsi di atas, PT ABC merupakan “pengendali data” karena ia adalah pihak yang mengumpulkan dan menentukan tujuan pemrosesan. Sedangkan PT XYZ merupakan “pemroses data” karena hanya memproses sesuai dengan instruksi dan arahan dari PT ABC.
Pengendali data dan pemroses data memiliki tanggung jawab yang berbeda. Secara umum, pengendali data memiliki kewajiban yang lebih banyak. Mulai dari kewajiban dalam menentukan dasar pemrosesan data pribadi (misal: memperoleh persetujuan), menjamin hak-hak subyek data, menjaga kerahasiaan dan keamanan dan lain-lain. Sedangkan pemroses data, secara konsep, hanya bertanggung jawab sebatas instruksi dari pengendali data. Apabila pemroses data melakukan pemrosesan data di luar instruksi dari pengendali data pribadi, maka pemroses data dapat menjadi bertanggung jawab selayaknya pengendali data pribadi.
Apabila suatu perusahaan hendak menunjuk pihak lain untuk memproses data pribadi yang dikelolanya, idealnya harus ada perjanjian antara pengendali dan pemroses data sehingga kewajiban maupun tanggung jawab atas pemrosesan data pribadi antara kedua belah pihak menjadi jelas.
- Syarat Transfer Data Pribadi ke Luar Negeri
Terakhir, adanya syarat baru untuk melakukan transfer data pribadi ke luar negeri. Selama ini, berdasarkan Permenkominfo 20 Tahun 2016, transfer data pribadi ke luar negeri perlu dilaporkan ke Kemenkominfo (dikenal juga sebagai kewajiban “koordinasi”). Dengan adanya UU PDP, perusahaan perlu memperhatikan syarat-syarat untuk melakukan transfer/pengiriman data pribadi luar negeri.
Adapun syarat-syarat transfer/pengiriman data pribadi berdasarkan RUU PDP adalah sebagai berikut:
- Pihak penerima data pribadi harus berasal dari negara yang memiliki tingkat perlindungan data pribadi yang setara atau lebih tinggi dari Indonesia;
- Adanya instrumen yang mengikat (seperti kontrak) antara pihak yang mengirimkan data pribadi dan pihak yang menerima data pribadi; atau
- Persetujuan dari subjek data.
Syarat-syarat tersebut berlaku secara alternatif. Artinya, perusahaan cukup memenuhi salah satu syarat saja untuk mengirimkan data pribadi ke luar Indonesia. Aturan-aturan lebih lanjut dan terperinci terkait transfer data pribadi ke luar negeri akan diatur di dalam peraturan pemerintah.
*)Danny Kobrata adalah pendiri dan pengurus Asosiasi Praktisi Pelindungan Data Pribadi (APPDI) dan seorang advokat.
Artikel kolom ini adalah tulisan pribadi Penulis, isinya tidak mewakili pandangan Redaksi Hukumonline. |