UU Perlindungan Data Pribadi bagi Lembaga Negara dan BUMN

UNDANG-Undang Pelindungan Data Pribadi (UU PDP) berlaku sejak tanggal diundangkan. Lalu, institusi dan entitas apa saja yang akan terdampak oleh UU ini?

UU ini mengatur bahwa lembaga negara, BUMN, dan korporasi pada umumnya adalah subjek hukum yang harus mematuhi dan memenuhi semua ketentuan dalam UU terkait perlindungan data pribadi.

Terkait hal itu, UU PDP secara eksplisit menyatakan, UU ini berlaku untuk setiap orang, badan publik, dan organisasi internasional yang melakukan perbuatan hukum sebagaimana diatur dalam UU ini.

Subjek hukum itu, baik yang berada di wilayah, maupun di luar wilayah hukum Indonesia, yang memiliki akibat hukum di dalam yurisdiksi Indonesia.

UU ini juga berlaku bagi subjek data pribadi warga negara Indonesia di luar wilayah hukum Negara Republik Indonesia (pasal 2).

UU PDP mengartikan frasa “Setiap Orang“ sebagai orang perseorangan atau korporasi (pasal 1 angka 7).

UU ini memasukan korporasi sebagai entitas hukum, selain individu perseorangan. Dengan demikian, setiap menyebut kata “setiap orang” harus diartikan sebagai setiap orang-perseorangan atau korporasi.

Korporasi diartikan sebagai kumpulan orang dan/atau kekayaan, yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum (pasal 1 angka 8).

Badan publik, lembaga negara dan BUMN

Badan publik menurut UU ini diartikan sebagai lembaga eksekutif, legislatif, yudikatif, dan badan lain yang fungsi dan tugas pokoknya berkaitan dengan penyelenggaraan negara, yang sebagian atau seluruh dananya bersumber dari Anggaran Pendapatan dan Belanja Negara dan/atau Anggaran Pendapatan dan Belanja Daerah atau organisasi nonpemerintah, sepanjang sebagian atau seluruh dananya bersumber dari Anggaran Pendapatan dan Belanja Negara, dan/atau Anggaran Pendapatan dan Belanja Daerah, sumbangan masyarakat, dan/atau luar negeri (pasal 1 angka 9).

Dari pengertian ini maka lembaga negara termasuk ke dalam terminologi badan publik.

Dengan berdasarkan pengertian di atas, maka semua lembaga negara, baik eksekutif, legislatif maupun yudikatif, di pusat dan daerah, serta BUMN wajib mematuhi segala kewajiban sebagai pengendali data pribadi atau prosesor data pribadi.

Lembaga negara sebagai badan publik dan BUMN sebagai korporasi dapat digolongkan sebagai pengendali data pribadi.

Pada kondisi lain dapat juga digolongkan sebagai prosesor data pribadi apabila entitas tersebut mengambil dan melaksanakan fungsi dalam pemrosesan data pribadi.

Pengendali data pribadi

Pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi (pasal 1 angka 4).

Sementara prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi (pasal 1 angka 5).

Sebagai pengendali data pribadi atau prosesor data pribadi, lembaga negara dan BUMN harus melaksanakan kewajiban sebagaimana diatur secara detail dalam Bab VI UU PDP pada pasal 20 sampai dengan pasal 50.

Kewajiban-kewajiban itu secara singkat antara lain dapat dirangkum sebagai berikut:

Pertama, kewajiban bagi pengendali data untuk memiliki alas hak berupa persetujuan yang sah dan eksplisit dari subjek data pribadi disertai tujuan pemrosesan data dimaksud.

UU PDP mewajibkan pengendali data pribadi untuk melakukan pemrosesan data secara terbatas dan spesifik, sah secara hukum, dan transparan sesuai dengan tujuan pemrosesan data pribadi tersebut.

Kedua, lembaga negara dan BUMN sebagai pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan: penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan yang bertentangan dengan ketentuan peraturan perundang-undangan, dan penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan.

Dalam melakukan pemrosesan, pengendali data pribadi wajib menjaga kerahasiaan data pribadi.

Ketiga, lembaga negara dan BUMN sebagai pengendali data pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendalinya dan melindungi data pribadi dari pemrosesan yang tidak sah.

Pengendali data pribadi juga wajib mencegah data pribadi diakses secara tidak sah.

Pencegahan dilakukan dengan menggunakan sistem keamanan terhadap data pribadi yang diproses menggunakan sistem elektronik, wajib dilakukan secara andal, aman, dan bertanggung jawab.

Keempat, UU PDP mengatur tentang prosesor data pribadi pada pasal 51 dan 52. Intinya mengatakan bahwa dalam hal pengendali data pribadi menunjuk prosesor data pribadi, prosesor data pribadi wajib melakukan pemrosesan berdasarkan perintah pengendali data pribadi.

Pemrosesan itu termasuk dalam tanggung jawab pengendali data pribadi. Prosesor data pribadi dapat melibatkan prosesor data pribadi lain dalam melakukan pemrosesan atas persetujuan tertulis dari pengendali data pribadi.

Masa transisi dan peraturan pelaksanaan

Sebagai pengendali data pribadi atau prosesor data pribadi, lembaga negara dan BUMN wajib menyesuaikan dengan ketentuan Undang-Undang PDP, paling lama dua tahun sejak diundangkan.

Penulis menyarankan agar tidak perlu menunggu deadline dua tahun dan harus segera menyesuaikan.

Keuntungan penyesuaian secara lebih cepat akan memberikan kepastian hukum, dan sekaligus melindungi lembaga negara dan BUMN dari persoalan hukum dan nonhukum.

Hal lain yang harus dilaksanakan oleh lembaga negara dan BUMN ialah memenuhi kewajiban memiliki pejabat atau petugas yang melaksanakan fungsi pelindungan data pribadi yang
andal, profesional, memenuhi aspek cyber security, dan akuntabel, serta dapat melaksanakan tugas-tugasnya secara amanah.

Unit PDP jika selama ini sudah tersedia, pelaksanaan tugasnya harus disesuaikan dengan ketentuan UU ini.

Satu hal yang sangat penting adalah bahwa UU PDP mengamanatkan setidaknya sepuluh pekerjaan rumah yang perlu diatur lebih lanjut dalam satu peraturan pemerintah sebagai peraturan pelaksanaan (implementing legislation) UU PDP.

Di samping itu UU ini mengamanatkan ditetapkannya satu peraturan presiden tentang Lembaga Pelindungan Data Pribadi.

Meskipun secara yuridis semua pasal-pasal UU PDP langsung berlaku pada saat diundangkan, tetapi keberadaan kedua peraturan pelaksanaan ini selayaknya menjadi prioritas dan segera diterbitkan.

Keberadaan Lembaga PDP yang ditetapkan oleh peraturan presiden menjadi unsur penting terlaksananya Pelindungan Data Pribadi berdasarkan UU PDP secara komprehensif.