Apa yang Perlu Diketahui Tentang UU Perlindungan Data Pribadi?

Ilustrasi papan ketik yang tombol 'Enter' digantikan dengan 'Data Privacy' dan ada tangan yang akan menekan tombol tersebut

Data pribadi merupakan hal penting yang kerap kali diabaikan oleh banyak pihak. Perlindungan terhadap data pribadi merupakan salah satu bentuk pemenuhan hak privasi suatu individu di tengah masifnya lalu lintas di internet saat ini. Sangat mudah untuk mencari data terkait orang lain dari berbagai macam sumber yang seringkali dipublikasi/disebarluaskan tanpa sepengetahuan atau izin dari pemilik data tersebut, hal inilah yang mendasari lahirnya regulasi mengenai perlindungan data pribadi.

Undang-undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (selanjutnya disebut UU Perlindungan Data Pribadi) menjadi perbincangan hangat di kalangan masyarakat sejak diundangkan, terutama setelah pecahnya beberapa isu kebocoran data pribadi di Indonesia. UU Perlindungan Data Pribadi menentukan bahwa Pengendali Data Pribadi, Prosesor Data Pribadi, dan pihak lain yang terkait dengan pemrosesan Data Pribadi, wajib menyesuaikan dengan ketentuan pemrosesan Data Pribadi berdasarkan Undang-Undang ini paling lama 2 (dua) tahun sejak diundangkan (Pasal 74 UU Perlindungan Data Pribadi), dimana batas waktu penyesuaian akan berakhir pada 27 Oktober 2024. Lalu apa saja hal yang harus diperhatikan, baik bagi para pelaku usaha, maupun masyarakat sebagai subjek data pribadi?

Definisi

UU Perlindungan Data Pribadi mendefinisikan Data Pribadi sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Sehingga keberlakuan UU ini tidak hanya berlaku untuk pelaku usaha yang melakukan pengumpulan atau pengolahan data secara elektronik, namun juga perekaman maupun pengolahan data secara manual. UU Perlindungan Data Pribadi memperkenalkan beberapa istilah baru seperti:

Ilustrasi para pihak dalam UU Perlindungan Data Pribadi

Para pihak dalam UU Perlindungan Data Pribadi

Subjek Data Pribadi orang perseorangan yang pada dirinya melekat Data Pribadi
Pengendali Data Pribadi setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi
Prosesor Data Pribadi setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi

Lingkup keberlakuan undang-undang ini sangat luas. Tidak hanya mencakup seluruh wilayah Negara Republik Indonesia, namun berlaku pula di luar wilayah Negara Republik Indonesia untuk subjek data Warga Negara Indonesia yang berada di luar negeri. Sehingga dapat disimpulkan bahwa perlindungan data pribadi tidak hanya melihat wilayah yurisdiksi saja, namun memastikan bahwa perlindungan mencakup seluruh subjek data yang masih berstatus Warga Negara Indonesia (Pasal 2 UU Perlindungan Data Pribadi).

Jenis Data Pribadi dan Prinsip Perlindungannya

Pasal 4 UU Perlindungan Data Pribadi membedakan data pribadi berdasarkan sifatnya, yakni:

Data Pribadi yang bersifat spesifik

Data Pribadi yang bersifat umum

  • data dan informasi kesehatan;
  • data biometrik; 
  • data genetika; 
  • catatan kejahatan; 
  • data anak;
  • data keuangan pribadi; dan/atau 
  • data lainnya sesuai dengan ketentuan peraturan perundang-undangan.
  • nama lengkap; 
  • jenis kelamin; 
  • agama; 
  • status perkawinan; dan/atau 
  • Data Pribadi yang dikombinasikan mengidentifikasi seseorang.

Pemrosesan maupun pengumpulan data-data wajib memperhatikan prinsip Perlindungan Data Pribadi yang diatur dalam Pasal 16 UU Perlindungan Data Pribadi, yang secara garis besar mengedepankan pengumpulan dan/atau pemrosesan data yang terbatas dan spesifik, transparan, sah secara hukum, dan dapat dipertanggungjawabkan. Pengendali dan prosesor juga wajib menjamin pemrosesan Data Pribadi dilakukan dengan melindungi keamanan Data Pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan Data Pribadi, termasuk memberitahukan kepada Subjek Data Pribadi apabila terjadi kegagalan Perlindungan Data Pribadi.

Hak Subjek Data Pribadi

Prinsip-prinsip tersebut merupakan bentuk pemenuhan hak subjek data sebagaimana diatur dalam Pasal 5-15 UU Perlindungan Data Pribadi, dimana hak-hak subjek data ini harus diperhatikan dan dipenuhi oleh pengendali dan prosesor data ketika melakukan pengumpulan atau pemrosesan data pribadi. Hak-hak subjek data yang diatur dalam UU Perlindungan Data Pribadi yakni:

  1. Hak untuk mendapatkan informasi terkait tujuan dan dasar pemrosesan data pribadi;
  2. Hak untuk  mengubah, memperbarui, dan/atau memperbaiki kesalahan data pribadi yang telah diberikan kepada pengendali data; 
  3. Hak untuk mendapatkan akses dan salinan data pribadinya;
  4. Hak untuk mengakhiri pemrosesan atau menghapus data pribadinya;
  5. Hak untuk menarik persetujuan pemrosesan data pribadinya dari pengendali data pribadi;
  6. Hak untuk mengajukan keberatan atas pemrosesan data secara otomatis (automated profiling);
  7. Hak untuk menunda atau membatasi pemrosesan data pribadi;
  8. Hak untuk menggugat dan menerima ganti rugi atas pelanggaran pemrosesan data pribadi tentang dirinya.

Para Business Owners saat ini masih memiliki waktu untuk melakukan penyesuaian terhadap ketentuan UU Perlindungan Data Pribadi dalam pelaksanaan bisnisnya. Perlu diperhatikan bahwa UU Perlindungan Data Pribadi mengatur adanya sanksi administratif dan sanksi pidana bagi pihak yang melakukan pelanggaran di bidang perlindungan data pribadi.

Sanksi

Pelanggaran dalam perlindungan data pribadi dalam undang-undang ini termasuk ketika pengendali dan/atau prosesor data tidak melaksanakan mekanisme perlindungan yang baik sesuai dengan yang diwajibkan. Pada Pasal 57 UU Perlindungan Data Pribadi mengatur adanya sanksi administratif yang dapat dikenakan kepada pihak yang melanggar ketentuan dalam undang-undang ini, dimana salah satu sanksinya dapat berupa denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran. Selain itu terdapat sanksi pidana penjara dan pidana denda yang apabila dijatuhkan terhadap korporasi dapat dijatuhkan dengan nominal paling banyak 10 (sepuluh) kali dari maksimal pidana denda yang diancamkan, serta pidana tambahan berupa perampasan keuntungan, pembekuan usaha, dan lain sebagainya, sebagaimana diatur dalam Pasal 70 UU Perlindungan Data Pribadi.

 

Catatan:

Publikasi ini dimaksudkan semata-mata untuk tujuan informasi saja dan bukan merupakan nasihat hukum dalam bentuk apa pun. Penting untuk diperhatikan bahwa informasi yang diberikan dalam publikasi ini bersifat umum dan mungkin tidak dapat diterapkan pada situasi hukum tertentu. Oleh karena itu, sangat disarankan agar pengguna mencari nasihat dari profesional hukum yang berkualifikasi sebelum mengambil keputusan apapun berdasarkan materi yang terkandung dalam publikasi ini. Ketergantungan pada informasi ini merupakan risiko dan kebijaksanaan pengguna sendiri.