Data Hukum Pemrosesan Data Pribadi yang Harus Dipenuhi Korporasi

DATA pribadi memiliki dua sisi. Pertama, sebagai instrumen paling dasar untuk pelayanan publik dan layanan entitas bisnis bagi pelanggannya.

Tanpa data pribadi yang benar, layanan tidak akan oprimal, atau bahkan mungkin tak dapat dilakukan sama sekali. Dalam hal ini data pribdi adalah kunci dari layanan.

Kedua, di sisi lain data pribadi juga rawan dijadikan sebagai instrumen awal modus kejahatan. Data pribadi ibarat anak kunci yang bisa digunakan membuka pintu, atau perkakas untuk membobol brankas korbannya.

Lebih jauh, jatuhnya data pribadi kepada pihak tak berhak atau beritikad buruk, juga bisa menjadi alat penipuan, penyerangan kehormatan, perundungan, pelecehan, bahkan mengancam keselamatan korbannya.

Realitas inilah yang membuat berbagai negara membuat regulasi tentang pelindungan data pribadi. Indonesia telah memiliki UU No. 27 Tahun 2022 Tentang Pelindungan Data Pribadi atau yang dikenal dengan UU PDP.

UU PDP seperti halnya regulasi di berbagai negara, diproyeksikan untuk mendukung semua proses bisnis dan layanan publik berbasis data pribadi, dengan tetap menjaga keamanan data, dan melindungi hak-hak dasar dari setiap orang sebagai subjek data pribadi.

Di sinilah pentingnya peran Otoritas Pelindungan Data Pribadi yang akan dibentuk sebagai lembaga negara yang akan mengawasi dan sekaligus menjadi regulator PDP nasional.

Regulasi tentang data pribadi pada dasarnya harus menerapkan prinsip proporsionalitas. Artinya jangan sampai karena ingin mendorong bisnis dan layanan, tetapi mengorbankan keamanan data.

Demikian juga, jangan sampai karena alasan melindungi hak-hak subjek data pribadi secara rigid, kita kemudian membuat regulasi turunan dan kebijakan yang justru menyebabkan badan publik Pemerintah tidak dapat memberikan layanan terbaiknya.

Begitu juga jangan sampai industri sulit mengelola data dan mengembangkan pemanfaatan data sebagi new oil.

Terhambatnya pemrosesan data pribadi pada gilirannya akan merugikan baik industri maupun masyarakat itu sendiri. Karena ujungnya, pelayanan bisa terminimalisasi, bahkan terdisrupsi.

Jika ini terjadi, maka dapat berdampak terdegradasinya layanan pelanggan bisnis dan pelayanan publik terbaik oleh Badan Publik Pemerintah. Tentu dengan syarat terjaminnya sistem keamanan dan kerahasian data sesuai UU PDP.

UU PDP telah membuka ruang yang baik terkait bagaimana pemrosesan data pribadi dilakukan. Hal ini telah diatur antara lain dalam pasal 20 ayat (2) UU PDP. Prinsipnya bahwa persetujuan subjek data, bukanlah satu-satunya dasar pemrosesan.

Regulasi ini mengatur dasar pemrosesan Data Pribadi. Di mana dasar itu bisa dipilih dari berberapa alternatif.

Pertama, dasar pemrosesan berupa persetujuan yang sah secara eksplisit dari Subjek
Data Pribadi, untuk atau beberapa tujuan tertentu, yang telah disampaikan oleh Pengendali
Data Pribadi kepada Subjek Data Pribadi

Kedua, pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian.

Ketiga, pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan.

Keempat, pemenuhan pelindungan kepentingan vital Subjek Data Pribadi.

Kelima, pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan.

Dan/atau, keenam, pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.

Pasal 20 UU ayat (2) PDP menegaskan di antara keenam dasar pemrosesan itu dengan menggunakan frasa “dan/atau” artinya bersifat kumulatif atau alternatif. Dengan kata lain, terpenuhinya salah satu saja dari enam alternatif sudah cukup, sebagai dasar hukum pemrosesan.

Kesimpulannya, bahwa “persetujuan subjek data pribadi” bukanlah satu-satunya dasar pemrosesan. Dalam hal ini pengendali data dapat memilih salah satu, dari persyaratan yang ditetapkan dalam pasal 20 (2) UU PDP tersebut.

Karena ketentuan ini, menjadi awal dasar pemrosesan data pribadi secara legal, maka perlu ditegaskan dalam PP dan regulasi turunan UU PDP, bahwa “persetujuan” bukanlah syarat mutlak satu-satunya untuk pemrosesan data pribadi, sepanjang alternatif dasar pemrosesan pada pasal 20 ayat (2) lainnya terpenuhi.

Mendegradasi kekuatan dasar hukum pemrosesan data pribadi di luar “persetujuan” dalam regulasi turunan UU PDP harus dihindari, karena selain bertentangan dengan UU PDP, juga menyulitkan proses di lapangan nantinya.

Khusus terkait persetujuan dan tujuan pemrosesan data, praktik internasional atau yang kita kenal sebagai best practices menunjukan, bahwa hal itu biasa dituangkan dalam kebijakan privasi (privacy policy).

Privacy policy yang disetujui oleh subjek data pribadi, akan menjadi dasar hukum pemrosesan data pribadi secara legal.