Baca berita tanpa iklan. Gabung Kompas.com+
Prof. Dr. Ahmad M Ramli
Guru Besar Cyber Law & Regulasi Digital UNPAD

Guru Besar Cyber Law, Digital Policy-Regulation & Kekayaan Intelektual Fakultas Hukum Universitas Padjadjaran

Pemrosesan Data Pribadi Menurut UU PDP dan Status Eksisting

Kompas.com - 23/03/2023, 11:33 WIB
Anda bisa menjadi kolumnis !
Kriteria (salah satu): akademisi, pekerja profesional atau praktisi di bidangnya, pengamat atau pemerhati isu-isu strategis, ahli/pakar di bidang tertentu, budayawan/seniman, aktivis organisasi nonpemerintah, tokoh masyarakat, pekerja di institusi pemerintah maupun swasta, mahasiswa S2 dan S3. Cara daftar baca di sini

BERLAKUNYA Undang-Undang (UU) Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP) kerap menimbulkan pertanyaan soal dasar hukum pemrosesan data pribadi. Pertanyaan ini menjadi esensial mengingat sebelum UU PDP berlaku, pemrosesan data pribadi telah berlangsung dan dilakukan berbagai entitas seperti badan publik, lembaga, maupun korporasi.

Tulisan ini berasal dari telaah akademis yang saya lakukan untuk materi kuliah Hukum Privasi Dalam Media Elektronik di Fakultas Hukum Unpad, Bandung. Karena banyaknya pertanyaan dalam beberapa peristiwa ilmiah dan forum diskusi, maka untuk manfaat yang lebih luas, materi ini saya bagikan juga kepada pembaca Kompas.com.

Baca juga: UU Pelindungan Data Pribadi dan Peran Strategis Data sebagai New Oil

Dasar Hukum Pemrosesan Data Pribadi

Kewajiban adanya dasar (hukum) bagi pengendali data pribadi dalam pemrosesan data pribadi, terdapat pada Pasal 20 jo. 21 UU PDP. Pasal 20 ayat (1) menyatakan, pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi.

Ketentuan itu memiliki arti bahwa hanya dengan adanya alas hak sesuai UU PDP, pengendali data pribadi dapat melakukan pemrosesan data pribadi. Ketentuan lebih rinci terdapat pada Pasal 20 ayat (2) yang mengatur tentang dasar hukum pemrosesan data pribadi.

Pasal 20 ayat (2) mencantumkan beberapa alternatif dasar hukum pemrosesan data pribadi pada huruf a sampai dengan f yang bersifat alternatif dan/atau kumulatif. Dengan demikian secara ilmu hukum, pemenuhan salah satu norma sebagai dasar sudah cukup menjadi alas hak pemrosesan data pribadi oleh pengendali data pribadi.

UU PDP secara bijak memberikan beberapa alternatif dasar hukum pemrosesan data pribadi. Dengan demikian secara kontekstual, UU ini tidak memberikan beban berlebih kepada pengendali sekaligus subyek data pribadi itu sendiri.

Baca juga: Perlindungan Hukum bagi Korban Penyebarluasan Data Pribadi

Berdasarkan Pasal 20 ayat (2) itu, dapat diuraikan sebagai berikut: 

Pertama, dasar pemrosesan data pribadi berupa persetujuan yang sah secara eksplisit dari subyek data pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subyek data pribadi (Pasal 20 ayat (2) huruf a UU PDP). Ketentuan itu mengandung arti, persetujuan yang sah secara eksplisit dari subyek data pribadi adalah salah satu dasar lahirnya hak dari pengendali data dalam pemrosesan data pribadi.

Ketentuan itu berdasarkan penafsiran sistematik tidak dapat dilepaskan dari ketentuan Pasal 21 ayat (1) dan ayat (2) UU PDP yang menyatakan, dalam hal pemrosesan data pribadi berdasarkan persetujuan sebagaimana dimaksud dalam Pasal 20 ayat (2) huruf a, pengendali data pribadi wajib menyampaikan informasi mengenai legalitas dari pemrosesan data pribadi, tujuan pemrosesan data pribadi, jenis dan relevansi data pribadi yang akan diproses, jangka waktu retensi dokumen yang memuat data pribadi, rincian mengenai informasi yang dikumpulkan, jangka waktu pemrosesan data pribadi, dan hak subyek data pribadi.

Unsur-unsur itu harus dipenuhi secara kumulatif. Pemrosesan data pribadi berdasarkan persetujuan juga harus memenuhi ketentuan sebagaimana diatur pada Pasal 22 sampai dengan Pasal 24 UU PDP yang mengatur tentang persetujuan subyek data pribadi, klausul perjanjian, bukti persetujuan dan lain-lain.

UU PDP pada Pasal 21 ayat (2) menyatakan, dalam hal terdapat perubahan informasi sebagaimana dimaksud pada ayat (1), pengendali data pribadi wajib memberitahukan kepada subyek data pribadi sebelum terjadi perubahan informasi.

Pada prinsipnya UU PDP menekankan prinsip berbasis stelsel deklaratif untuk perubahan informasi ini. Tentu kita harus membedakan arti dan makna ‘memberitahukan’ dengan ‘persetujuan’ dari subyek data pribadi, dalam arti pemberitahuan oleh pengendali data pribadi saja sudah cukup.

Kedua, dasar pemrosesan data pribadi berupa pemenuhan kewajiban perjanjian, dalam hal subyek data pribadi merupakan salah satu pihak, atau untuk memenuhi permintaan subyek data pribadi pada saat akan melakukan perjanjian (Pasal 20 ayat (2) huruf b UU PDP).

Selain persetujuan eksplisit dari subyek data pribadi, seperti diuraikan sebelumnya, pemenuhan kewajiban perjanjian, di mana subyek data pribadi merupakan salah satu pihak, juga dapat dijadikan alternatif dasar pemrosesan data pribadi.

Ketentuan dalam Pasal 20 ayat (2) huruf b juga menyebut unsur lain yaitu, ‘pemenuhan permintaan subyek data pribadi pada saat akan melakukan perjanjian’ bisa dijadikan dasar pemrosesan dimaksud. Frasa terakhir ini memiliki arti, bisa saja hal itu tidak dimuat eksplisit sebagai isi perjanjian, tetapi justru dilakukan saat akan dilakukannya perjanjian tersebut.

Ketiga, dasar pemrosesan data pribadi berupa pemenuhan kewajiban hukum dari pengendali data pribadi sesuai ketentuan peraturan perundang-undangan (Pasal 20 ayat (2) huruf c). Pasal ini memiliki tafsir bahwa meskipun tanpa persetujuan eksplisit dari subyek data pribadi, pengendali data pribadi dapat melakukan pemrosesan data pribadi sepanjang ada kewajiban hukum sesuai ketentuan peraturan perundang-undangan.

Sebagai contoh adalah terkait pemrosesan data kependudukan, registrasi dan aktivasi telepon seluler, data terkait Kesehatan yang dilaksanakan sebagai pemenuhan amanat peraturan perundang-undangan.

Keempat, dasar pemrosesan data pribadi berupa pemenuhan perlindungan kepentingan vital subyek data pribadi (Pasal 20 ayat (2) huruf d). Ketentuan ini contohnya terkait keberlangsungan hidup dari subjek data pribadi, misalnya ketika pemrosesan data pribadi diperlukan untuk tindakan perawatan medis serius (penjelasan Pasal 20 ayat (2) huruf d).

Kelima, dasar pemrosesan data pribadi berupa pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan (Pasal 20 ayat (2) huruf e). Ketentuan ini bermakna bahwa pengendali data pribadi juga dapat melaksanakan pemrosesan data pribadi atas dasar pelaksanaan tugas dalam rangka kepentingan umum dan pelayanan publik.

Pemrosesan data pribadi saat pandemi atau saat kedaruratan kesehatan, bantuan sosial oleh pemerintah dan pihak yang ditugasi misalnya, dibolehkan UU PDP tanpa perlu persetujuan subyek data pribadi. Pengendali data pribadi juga dimungkinkan melakukan pemrosesan data pribadi berdasarkan kewenangan yang diberikan peraturan perundang-undangan.

Keenam, dasar pemrosesan data pribadi berupa pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subyek data pribadi (Pasal 20 ayat (2) huruf f).

Baca juga: Ramai Unggahan soal Penyebaran Data Pribadi untuk Registrasi Kartu Perdana, Pakar: Melanggar Hukum!

Ketentuan itu adalah unsur norma paling luas, yang memberikan kewenangan pemrosesan data pribadi tanpa persetujuan subyek data pribadi sepanjang untuk ‘pemenuhan kepentingan yang sah lainnya’. Tentu dengan catatan bahwa hal tersebut harus memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subyek data pribadi.

Mengingat konteks norma pada Pasal 20 ayat (2) UU PDP secara keseluruhan ini adalah alternatif dan/atau kumulatif sebagaimana dapat dibaca pada Pasal 20 ayat (2) huruf e, maka persyaratan dasar pemrosesan data pribadi sudah cukup jika telah dipenuhi salah satu normanya.

Pemrosesan Data Pribadi Eksisting

Dapat dikemukakan bahwa meskipun UU PDP tidak mengatur data pribadi eksisting dalam ketentuan peralihan, tetapi tidak berarti terjadi kekosongan norma (rechtsvacuum) terkait hal ini. Keberadaan data pribadi eksisting yang sudah diproses di berbagai badan publik seperti ekesekutif, legislatif, dan yudikatif, lembaga, dan korporasi tentu menjadi salah satu perhatian penting pembentuk UU.

Karena hal ini juga menyangkut kepentingan publik yang sangat luas dan tidak semata pengendali data pribadi, misalnya yang sudah berjalan di berbagai sektor, seperti telekomunikasi, perbankan, kesehatan, pendidikan, perdagangan, platform digital e-commerce.

Bagaimana dengan data pribadi eksisting atau yang sudah dilakukan pemrosesannya selama ini oleh pengendali data pribadi? Tentu saja jika sudah memenuhi salah satu atau lebih ketentuan Pasal 20 ayat (2) di atas, tidak perlu lagi mengulang proses dari awal. Dalam arti pemrosesan data pribadi dapat terus dilaksanakan.

Namun jika terjadi perubahan informasi seperti yang telah dikemukakan di atas, perlu memberitahukan kepada subyek data pribadi sesuai UU PDP dan peraturan implementasinya nanti.

Fenomena ini juga pernah terjadi di Uni Eropa, saat awal The General Data Protection Regulation diberlakukan. Saat itu muncul pertanyaan bagaimana dengan pemrosesan data pribadi (eksisting) di berbagai platform digital termasuk media sosial yang sudah berlangsung dengan sangat masif.

Sebagaimana dilansir SoCrowd.com pada Maret 2018 dalam laporan berjudul From Data Protection To GDPR And The Impact of Social Media dinyatakan bahwa “jaringan media sosial itu memiliki pemberitahuan privasi yang sudah ada di dalamnya yang memastikan mereka patuh.

Audiens di media sosial, sudah memberikan persetujuan yang jelas dan transparan kepada entitas dengan cara 'suka' atau 'ikut' bisnis di media sosial”.

Ketentuan Peralihan

UU PDP diundangkan dan berlaku secara resmi mulai 17 Oktober 2022. Namun UU itu secara tegas menyatakan ada masa transisi yang diberlakukan selama dua tahun untuk pengendali data pribadi.

Ketentuan masa transisi diatur pada Pasal 74 yang berbunyi, pada saat UU ini mulai berlaku, pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan UU ini paling lama dua tahun sejak UU ini diundangkan.

Dalam ketentuan peralihan UU PDP juga ditegaskan bahwa, saat UU itu mulai berlaku, semua ketentuan peraturan perundang-undangan yang mengatur mengenai perlindungan data pribadi dinyatakan masih tetap berlaku sepanjang tidak bertentangan dengan ketentuan dalam UU ini (Pasal 75).

Dengan demikian, semua ketentuan perundang-undangan yang ada dan selaras dengan UU PDP masih tetap berlaku.

Karena itu sebagai konklusi dapat dikemukakan di sini sejumlah hal. Pertama, sepanjang memenuhi salah satu dasar pemrosesan sesuai ketentuan Pasal 20 ayat (2) huruf a sampai dengan f UU PDP, maka pengendali data pribadi secara legal telah memiliki dasar hukum pemrosesan data pribadi terhadap subyek data pribadinya.

Kedua, sesuai prinsip hukum perdata, jika sebelumnya sudah ada perikatan (verbintenis) maka hal itu mengikat dan berlaku sesuai asas-asas hukum perikatan seperti diatur dalam buku III KUH Perdata (Burgerlijk Wet boek).

Ketiga, Pasal 20 ayat (2) UU PDP diproyeksikan untuk melindungi data pribadi secara optimal dengan tanpa menghambat penyelenggaran negara dan tanpa membebani secara berlebih kepada badan publik ekesekutif, legislatif dan yudikatif, lembaga, dan korporasi, subyek data pribadinya, untuk mengulang dari awal pemrosesan data pribadi. 

Keempat, ketika dalam pembahasan UU PDP di internal pemerintah dan di DPR,dipahami bahwa UU PDP bukan legislasi yang dikonstruksikan berangkat dari nol. Pembentuk UU menyadari, sebelum berlakunya UU PDP juga sudah ada legislasi dan regulasi lain, yang mengatur PDP.

Dapatkan update berita pilihan dan breaking news setiap hari dari Kompas.com. Mari bergabung di Grup Telegram "Kompas.com News Update", caranya klik link https://t.me/kompascomupdate, kemudian join. Anda harus install aplikasi Telegram terlebih dulu di ponsel.

Baca berita tanpa iklan. Gabung Kompas.com+
Video rekomendasi
Video lainnya
Baca berita tanpa iklan. Gabung Kompas.com+


Rekomendasi untuk anda

Terkini Lainnya

Dukung Mahfud MD Basmi Korupsi

Dukung Mahfud MD Basmi Korupsi

Nasional
Bantah Terlibat Kasus Dugaan Suap MA, Windy Idol: Jangan Dzalim Sama Saya

Bantah Terlibat Kasus Dugaan Suap MA, Windy Idol: Jangan Dzalim Sama Saya

Nasional
Survei LSI Denny JA: Elektabilitas Prabowo Kuasai 3 Provinsi, Ganjar 2 Provinsi

Survei LSI Denny JA: Elektabilitas Prabowo Kuasai 3 Provinsi, Ganjar 2 Provinsi

Nasional
Soal Keppres Perpanjangan Masa Jabatan Pimpinan KPK, KSP: Kita Tunggu

Soal Keppres Perpanjangan Masa Jabatan Pimpinan KPK, KSP: Kita Tunggu

Nasional
Enggan Tanggapi Denny Indrayana, KPU Tunggu Putusan Resmi MK soal Sistem Pemilu

Enggan Tanggapi Denny Indrayana, KPU Tunggu Putusan Resmi MK soal Sistem Pemilu

Nasional
Putusan MK soal Sistem Pemilu Diduga Bocor, Pemerintah Enggan Berandai-andai Putusan Resminya

Putusan MK soal Sistem Pemilu Diduga Bocor, Pemerintah Enggan Berandai-andai Putusan Resminya

Nasional
Kapolri Buka Kemungkinan Selidiki Isu Dugaan Kebocoran Putusan MK

Kapolri Buka Kemungkinan Selidiki Isu Dugaan Kebocoran Putusan MK

Nasional
Survei Populi Center: Elektabilitas PDI-P Moncer, Ungguli Gerindra dan Golkar

Survei Populi Center: Elektabilitas PDI-P Moncer, Ungguli Gerindra dan Golkar

Nasional
Sesalkan Pernyataan Denny Indrayana, Sekjen PDI-P: Ciptakan Spekulasi Politik Bahkan Menuduh

Sesalkan Pernyataan Denny Indrayana, Sekjen PDI-P: Ciptakan Spekulasi Politik Bahkan Menuduh

Nasional
PDI-P dan PPP Sepakat Kerja Sama Menangkan Ganjar dan Pileg 2024

PDI-P dan PPP Sepakat Kerja Sama Menangkan Ganjar dan Pileg 2024

Nasional
Mahfud Sebut Dugaan Kebocoran Putusan MK Penuhi Syarat untuk Direspons Polisi

Mahfud Sebut Dugaan Kebocoran Putusan MK Penuhi Syarat untuk Direspons Polisi

Nasional
Survei Populi Center: Sandiaga Uno dan Ridwan Kamil Unggul di Bursa Cawapres

Survei Populi Center: Sandiaga Uno dan Ridwan Kamil Unggul di Bursa Cawapres

Nasional
MK Bakal Bahas di Internal Terkait Dugaan Kebocoran Putusan Sistem Pemilu

MK Bakal Bahas di Internal Terkait Dugaan Kebocoran Putusan Sistem Pemilu

Nasional
Soal Perpanjangan Masa Jabatan Pimpinan KPK, Mahfud: Kita 'Clear'-kan Dulu dengan MK

Soal Perpanjangan Masa Jabatan Pimpinan KPK, Mahfud: Kita "Clear"-kan Dulu dengan MK

Nasional
Survei Populi Center: Elektabilitas Prabowo Salip Ganjar, Tinggalkan Anies

Survei Populi Center: Elektabilitas Prabowo Salip Ganjar, Tinggalkan Anies

Nasional
Baca berita tanpa iklan. Gabung Kompas.com+
Baca berita tanpa iklan. Gabung Kompas.com+
Baca berita tanpa iklan. Gabung Kompas.com+
komentar di artikel lainnya
Baca berita tanpa iklan. Gabung Kompas.com+
Close Ads
Verifikasi akun KG Media ID
Verifikasi akun KG Media ID

Periksa kembali dan lengkapi data dirimu.

Data dirimu akan digunakan untuk verifikasi akun ketika kamu membutuhkan bantuan atau ketika ditemukan aktivitas tidak biasa pada akunmu.

Lengkapi Profil
Lengkapi Profil

Segera lengkapi data dirimu untuk ikutan program #JernihBerkomentar.

Bagikan artikel ini melalui
Oke
Login untuk memaksimalkan pengalaman mengakses Kompas.com