Pemrosesan Data Pribadi Menurut UU PDP dan Status Eksisting

BERLAKUNYA Undang-Undang (UU) Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP) kerap menimbulkan pertanyaan soal dasar hukum pemrosesan data pribadi. Pertanyaan ini menjadi esensial mengingat sebelum UU PDP berlaku, pemrosesan data pribadi telah berlangsung dan dilakukan berbagai entitas seperti badan publik, lembaga, maupun korporasi.

Tulisan ini berasal dari telaah akademis yang saya lakukan untuk materi kuliah Hukum Privasi Dalam Media Elektronik di Fakultas Hukum Unpad, Bandung. Karena banyaknya pertanyaan dalam beberapa peristiwa ilmiah dan forum diskusi, maka untuk manfaat yang lebih luas, materi ini saya bagikan juga kepada pembaca Kompas.com.

Baca juga: UU Pelindungan Data Pribadi dan Peran Strategis Data sebagai New Oil

Dasar Hukum Pemrosesan Data Pribadi

Kewajiban adanya dasar (hukum) bagi pengendali data pribadi dalam pemrosesan data pribadi, terdapat pada Pasal 20 jo. 21 UU PDP. Pasal 20 ayat (1) menyatakan, pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi.

Ketentuan itu memiliki arti bahwa hanya dengan adanya alas hak sesuai UU PDP, pengendali data pribadi dapat melakukan pemrosesan data pribadi. Ketentuan lebih rinci terdapat pada Pasal 20 ayat (2) yang mengatur tentang dasar hukum pemrosesan data pribadi.

Pasal 20 ayat (2) mencantumkan beberapa alternatif dasar hukum pemrosesan data pribadi pada huruf a sampai dengan f yang bersifat alternatif dan/atau kumulatif. Dengan demikian secara ilmu hukum, pemenuhan salah satu norma sebagai dasar sudah cukup menjadi alas hak pemrosesan data pribadi oleh pengendali data pribadi.

UU PDP secara bijak memberikan beberapa alternatif dasar hukum pemrosesan data pribadi. Dengan demikian secara kontekstual, UU ini tidak memberikan beban berlebih kepada pengendali sekaligus subyek data pribadi itu sendiri.

Baca juga: Perlindungan Hukum bagi Korban Penyebarluasan Data Pribadi

Berdasarkan Pasal 20 ayat (2) itu, dapat diuraikan sebagai berikut: 

Pertama, dasar pemrosesan data pribadi berupa persetujuan yang sah secara eksplisit dari subyek data pribadi untuk satu atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subyek data pribadi (Pasal 20 ayat (2) huruf a UU PDP). Ketentuan itu mengandung arti, persetujuan yang sah secara eksplisit dari subyek data pribadi adalah salah satu dasar lahirnya hak dari pengendali data dalam pemrosesan data pribadi.

Ketentuan itu berdasarkan penafsiran sistematik tidak dapat dilepaskan dari ketentuan Pasal 21 ayat (1) dan ayat (2) UU PDP yang menyatakan, dalam hal pemrosesan data pribadi berdasarkan persetujuan sebagaimana dimaksud dalam Pasal 20 ayat (2) huruf a, pengendali data pribadi wajib menyampaikan informasi mengenai legalitas dari pemrosesan data pribadi, tujuan pemrosesan data pribadi, jenis dan relevansi data pribadi yang akan diproses, jangka waktu retensi dokumen yang memuat data pribadi, rincian mengenai informasi yang dikumpulkan, jangka waktu pemrosesan data pribadi, dan hak subyek data pribadi.

Unsur-unsur itu harus dipenuhi secara kumulatif. Pemrosesan data pribadi berdasarkan persetujuan juga harus memenuhi ketentuan sebagaimana diatur pada Pasal 22 sampai dengan Pasal 24 UU PDP yang mengatur tentang persetujuan subyek data pribadi, klausul perjanjian, bukti persetujuan dan lain-lain.

UU PDP pada Pasal 21 ayat (2) menyatakan, dalam hal terdapat perubahan informasi sebagaimana dimaksud pada ayat (1), pengendali data pribadi wajib memberitahukan kepada subyek data pribadi sebelum terjadi perubahan informasi.

Pada prinsipnya UU PDP menekankan prinsip berbasis stelsel deklaratif untuk perubahan informasi ini. Tentu kita harus membedakan arti dan makna ‘memberitahukan’ dengan ‘persetujuan’ dari subyek data pribadi, dalam arti pemberitahuan oleh pengendali data pribadi saja sudah cukup.

Kedua, dasar pemrosesan data pribadi berupa pemenuhan kewajiban perjanjian, dalam hal subyek data pribadi merupakan salah satu pihak, atau untuk memenuhi permintaan subyek data pribadi pada saat akan melakukan perjanjian (Pasal 20 ayat (2) huruf b UU PDP).

Selain persetujuan eksplisit dari subyek data pribadi, seperti diuraikan sebelumnya, pemenuhan kewajiban perjanjian, di mana subyek data pribadi merupakan salah satu pihak, juga dapat dijadikan alternatif dasar pemrosesan data pribadi.

Ketentuan dalam Pasal 20 ayat (2) huruf b juga menyebut unsur lain yaitu, ‘pemenuhan permintaan subyek data pribadi pada saat akan melakukan perjanjian’ bisa dijadikan dasar pemrosesan dimaksud. Frasa terakhir ini memiliki arti, bisa saja hal itu tidak dimuat eksplisit sebagai isi perjanjian, tetapi justru dilakukan saat akan dilakukannya perjanjian tersebut.

Ketiga, dasar pemrosesan data pribadi berupa pemenuhan kewajiban hukum dari pengendali data pribadi sesuai ketentuan peraturan perundang-undangan (Pasal 20 ayat (2) huruf c). Pasal ini memiliki tafsir bahwa meskipun tanpa persetujuan eksplisit dari subyek data pribadi, pengendali data pribadi dapat melakukan pemrosesan data pribadi sepanjang ada kewajiban hukum sesuai ketentuan peraturan perundang-undangan.

Sebagai contoh adalah terkait pemrosesan data kependudukan, registrasi dan aktivasi telepon seluler, data terkait Kesehatan yang dilaksanakan sebagai pemenuhan amanat peraturan perundang-undangan.

Keempat, dasar pemrosesan data pribadi berupa pemenuhan perlindungan kepentingan vital subyek data pribadi (Pasal 20 ayat (2) huruf d). Ketentuan ini contohnya terkait keberlangsungan hidup dari subjek data pribadi, misalnya ketika pemrosesan data pribadi diperlukan untuk tindakan perawatan medis serius (penjelasan Pasal 20 ayat (2) huruf d).

Kelima, dasar pemrosesan data pribadi berupa pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan (Pasal 20 ayat (2) huruf e). Ketentuan ini bermakna bahwa pengendali data pribadi juga dapat melaksanakan pemrosesan data pribadi atas dasar pelaksanaan tugas dalam rangka kepentingan umum dan pelayanan publik.

Pemrosesan data pribadi saat pandemi atau saat kedaruratan kesehatan, bantuan sosial oleh pemerintah dan pihak yang ditugasi misalnya, dibolehkan UU PDP tanpa perlu persetujuan subyek data pribadi. Pengendali data pribadi juga dimungkinkan melakukan pemrosesan data pribadi berdasarkan kewenangan yang diberikan peraturan perundang-undangan.

Keenam, dasar pemrosesan data pribadi berupa pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subyek data pribadi (Pasal 20 ayat (2) huruf f).

Baca juga: Ramai Unggahan soal Penyebaran Data Pribadi untuk Registrasi Kartu Perdana, Pakar: Melanggar Hukum!

Ketentuan itu adalah unsur norma paling luas, yang memberikan kewenangan pemrosesan data pribadi tanpa persetujuan subyek data pribadi sepanjang untuk ‘pemenuhan kepentingan yang sah lainnya’. Tentu dengan catatan bahwa hal tersebut harus memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subyek data pribadi.

Mengingat konteks norma pada Pasal 20 ayat (2) UU PDP secara keseluruhan ini adalah alternatif dan/atau kumulatif sebagaimana dapat dibaca pada Pasal 20 ayat (2) huruf e, maka persyaratan dasar pemrosesan data pribadi sudah cukup jika telah dipenuhi salah satu normanya.

Pemrosesan Data Pribadi Eksisting

Dapat dikemukakan bahwa meskipun UU PDP tidak mengatur data pribadi eksisting dalam ketentuan peralihan, tetapi tidak berarti terjadi kekosongan norma (rechtsvacuum) terkait hal ini. Keberadaan data pribadi eksisting yang sudah diproses di berbagai badan publik seperti ekesekutif, legislatif, dan yudikatif, lembaga, dan korporasi tentu menjadi salah satu perhatian penting pembentuk UU.

Karena hal ini juga menyangkut kepentingan publik yang sangat luas dan tidak semata pengendali data pribadi, misalnya yang sudah berjalan di berbagai sektor, seperti telekomunikasi, perbankan, kesehatan, pendidikan, perdagangan, platform digital e-commerce.

Bagaimana dengan data pribadi eksisting atau yang sudah dilakukan pemrosesannya selama ini oleh pengendali data pribadi? Tentu saja jika sudah memenuhi salah satu atau lebih ketentuan Pasal 20 ayat (2) di atas, tidak perlu lagi mengulang proses dari awal. Dalam arti pemrosesan data pribadi dapat terus dilaksanakan.

Namun jika terjadi perubahan informasi seperti yang telah dikemukakan di atas, perlu memberitahukan kepada subyek data pribadi sesuai UU PDP dan peraturan implementasinya nanti.

Fenomena ini juga pernah terjadi di Uni Eropa, saat awal The General Data Protection Regulation diberlakukan. Saat itu muncul pertanyaan bagaimana dengan pemrosesan data pribadi (eksisting) di berbagai platform digital termasuk media sosial yang sudah berlangsung dengan sangat masif.

Sebagaimana dilansir SoCrowd.com pada Maret 2018 dalam laporan berjudul From Data Protection To GDPR And The Impact of Social Media dinyatakan bahwa “jaringan media sosial itu memiliki pemberitahuan privasi yang sudah ada di dalamnya yang memastikan mereka patuh.

Audiens di media sosial, sudah memberikan persetujuan yang jelas dan transparan kepada entitas dengan cara 'suka' atau 'ikut' bisnis di media sosial”.

Ketentuan Peralihan

UU PDP diundangkan dan berlaku secara resmi mulai 17 Oktober 2022. Namun UU itu secara tegas menyatakan ada masa transisi yang diberlakukan selama dua tahun untuk pengendali data pribadi.

Ketentuan masa transisi diatur pada Pasal 74 yang berbunyi, pada saat UU ini mulai berlaku, pengendali data pribadi, prosesor data pribadi, dan pihak lain yang terkait dengan pemrosesan data pribadi wajib menyesuaikan dengan ketentuan pemrosesan data pribadi berdasarkan UU ini paling lama dua tahun sejak UU ini diundangkan.

Dalam ketentuan peralihan UU PDP juga ditegaskan bahwa, saat UU itu mulai berlaku, semua ketentuan peraturan perundang-undangan yang mengatur mengenai perlindungan data pribadi dinyatakan masih tetap berlaku sepanjang tidak bertentangan dengan ketentuan dalam UU ini (Pasal 75).

Dengan demikian, semua ketentuan perundang-undangan yang ada dan selaras dengan UU PDP masih tetap berlaku.

Karena itu sebagai konklusi dapat dikemukakan di sini sejumlah hal. Pertama, sepanjang memenuhi salah satu dasar pemrosesan sesuai ketentuan Pasal 20 ayat (2) huruf a sampai dengan f UU PDP, maka pengendali data pribadi secara legal telah memiliki dasar hukum pemrosesan data pribadi terhadap subyek data pribadinya.

Kedua, sesuai prinsip hukum perdata, jika sebelumnya sudah ada perikatan (verbintenis) maka hal itu mengikat dan berlaku sesuai asas-asas hukum perikatan seperti diatur dalam buku III KUH Perdata (Burgerlijk Wet boek).

Ketiga, Pasal 20 ayat (2) UU PDP diproyeksikan untuk melindungi data pribadi secara optimal dengan tanpa menghambat penyelenggaran negara dan tanpa membebani secara berlebih kepada badan publik ekesekutif, legislatif dan yudikatif, lembaga, dan korporasi, subyek data pribadinya, untuk mengulang dari awal pemrosesan data pribadi. 

Keempat, ketika dalam pembahasan UU PDP di internal pemerintah dan di DPR,dipahami bahwa UU PDP bukan legislasi yang dikonstruksikan berangkat dari nol. Pembentuk UU menyadari, sebelum berlakunya UU PDP juga sudah ada legislasi dan regulasi lain, yang mengatur PDP.