BERLAKUNYA Undang-Undang (UU) Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP) kerap menimbulkan pertanyaan soal dasar hukum pemrosesan data pribadi. Pertanyaan ini menjadi esensial mengingat sebelum UU PDP berlaku, pemrosesan data pribadi telah berlangsung dan dilakukan berbagai entitas seperti badan publik, lembaga, maupun korporasi.
Tulisan ini berasal dari telaah akademis yang saya lakukan untuk materi kuliah Hukum Privasi Dalam Media Elektronik di Fakultas Hukum Unpad, Bandung. Karena banyaknya pertanyaan dalam beberapa peristiwa ilmiah dan forum diskusi, maka untuk manfaat yang lebih luas, materi ini saya bagikan juga kepada pembaca Kompas.com.
Baca juga: UU Pelindungan Data Pribadi dan Peran Strategis Data sebagai New Oil
Kewajiban adanya dasar (hukum) bagi pengendali data pribadi dalam pemrosesan data pribadi, terdapat pada Pasal 20 jo. 21 UU PDP. Pasal 20 ayat (1) menyatakan, pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi.
Ketentuan itu memiliki arti bahwa hanya dengan adanya alas hak sesuai UU PDP, pengendali data pribadi dapat melakukan pemrosesan data pribadi. Ketentuan lebih rinci terdapat pada Pasal 20 ayat (2) yang mengatur tentang dasar hukum pemrosesan data pribadi.
Pasal 20 ayat (2) mencantumkan beberapa alternatif dasar hukum pemrosesan data pribadi pada huruf a sampai dengan f yang bersifat alternatif dan/atau kumulatif. Dengan demikian secara ilmu hukum, pemenuhan salah satu norma sebagai dasar sudah cukup menjadi alas hak pemrosesan data pribadi oleh pengendali data pribadi.
UU PDP secara bijak memberikan beberapa alternatif dasar hukum pemrosesan data pribadi. Dengan demikian secara kontekstual, UU ini tidak memberikan beban berlebih kepada pengendali sekaligus subyek data pribadi itu sendiri.
Baca juga: Perlindungan Hukum bagi Korban Penyebarluasan Data Pribadi
Berdasarkan Pasal 20 ayat (2) itu, dapat diuraikan sebagai berikut:
Pertama, dasar pemrosesan data pribadi berupa persetujuan yang sah secara eksplisit dari subyek data pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subyek data pribadi (Pasal 20 ayat (2) huruf a UU PDP). Ketentuan itu mengandung arti, persetujuan yang sah secara eksplisit dari subyek data pribadi adalah salah satu dasar lahirnya hak dari pengendali data dalam pemrosesan data pribadi.
Ketentuan itu berdasarkan penafsiran sistematik tidak dapat dilepaskan dari ketentuan Pasal 21 ayat (1) dan ayat (2) UU PDP yang menyatakan, dalam hal pemrosesan data pribadi berdasarkan persetujuan sebagaimana dimaksud dalam Pasal 20 ayat (2) huruf a, pengendali data pribadi wajib menyampaikan informasi mengenai legalitas dari pemrosesan data pribadi, tujuan pemrosesan data pribadi, jenis dan relevansi data pribadi yang akan diproses, jangka waktu retensi dokumen yang memuat data pribadi, rincian mengenai informasi yang dikumpulkan, jangka waktu pemrosesan data pribadi, dan hak subyek data pribadi.
Unsur-unsur itu harus dipenuhi secara kumulatif. Pemrosesan data pribadi berdasarkan persetujuan juga harus memenuhi ketentuan sebagaimana diatur pada Pasal 22 sampai dengan Pasal 24 UU PDP yang mengatur tentang persetujuan subyek data pribadi, klausul perjanjian, bukti persetujuan dan lain-lain.
UU PDP pada Pasal 21 ayat (2) menyatakan, dalam hal terdapat perubahan informasi sebagaimana dimaksud pada ayat (1), pengendali data pribadi wajib memberitahukan kepada subyek data pribadi sebelum terjadi perubahan informasi.
Pada prinsipnya UU PDP menekankan prinsip berbasis stelsel deklaratif untuk perubahan informasi ini. Tentu kita harus membedakan arti dan makna ‘memberitahukan’ dengan ‘persetujuan’ dari subyek data pribadi, dalam arti pemberitahuan oleh pengendali data pribadi saja sudah cukup.
Kedua, dasar pemrosesan data pribadi berupa pemenuhan kewajiban perjanjian, dalam hal subyek data pribadi merupakan salah satu pihak, atau untuk memenuhi permintaan subyek data pribadi pada saat akan melakukan perjanjian (Pasal 20 ayat (2) huruf b UU PDP).
Selain persetujuan eksplisit dari subyek data pribadi, seperti diuraikan sebelumnya, pemenuhan kewajiban perjanjian, di mana subyek data pribadi merupakan salah satu pihak, juga dapat dijadikan alternatif dasar pemrosesan data pribadi.
Ketentuan dalam Pasal 20 ayat (2) huruf b juga menyebut unsur lain yaitu, ‘pemenuhan permintaan subyek data pribadi pada saat akan melakukan perjanjian’ bisa dijadikan dasar pemrosesan dimaksud. Frasa terakhir ini memiliki arti, bisa saja hal itu tidak dimuat eksplisit sebagai isi perjanjian, tetapi justru dilakukan saat akan dilakukannya perjanjian tersebut.