Ketiga, dasar pemrosesan data pribadi berupa pemenuhan kewajiban hukum dari pengendali data pribadi sesuai ketentuan peraturan perundang-undangan (Pasal 20 ayat (2) huruf c). Pasal ini memiliki tafsir bahwa meskipun tanpa persetujuan eksplisit dari subyek data pribadi, pengendali data pribadi dapat melakukan pemrosesan data pribadi sepanjang ada kewajiban hukum sesuai ketentuan peraturan perundang-undangan.
Sebagai contoh adalah terkait pemrosesan data kependudukan, registrasi dan aktivasi telepon seluler, data terkait Kesehatan yang dilaksanakan sebagai pemenuhan amanat peraturan perundang-undangan.
Keempat, dasar pemrosesan data pribadi berupa pemenuhan perlindungan kepentingan vital subyek data pribadi (Pasal 20 ayat (2) huruf d). Ketentuan ini contohnya terkait keberlangsungan hidup dari subjek data pribadi, misalnya ketika pemrosesan data pribadi diperlukan untuk tindakan perawatan medis serius (penjelasan Pasal 20 ayat (2) huruf d).
Kelima, dasar pemrosesan data pribadi berupa pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan (Pasal 20 ayat (2) huruf e). Ketentuan ini bermakna bahwa pengendali data pribadi juga dapat melaksanakan pemrosesan data pribadi atas dasar pelaksanaan tugas dalam rangka kepentingan umum dan pelayanan publik.
Pemrosesan data pribadi saat pandemi atau saat kedaruratan kesehatan, bantuan sosial oleh pemerintah dan pihak yang ditugasi misalnya, dibolehkan UU PDP tanpa perlu persetujuan subyek data pribadi. Pengendali data pribadi juga dimungkinkan melakukan pemrosesan data pribadi berdasarkan kewenangan yang diberikan peraturan perundang-undangan.
Keenam, dasar pemrosesan data pribadi berupa pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subyek data pribadi (Pasal 20 ayat (2) huruf f).
Baca juga: Ramai Unggahan soal Penyebaran Data Pribadi untuk Registrasi Kartu Perdana, Pakar: Melanggar Hukum!
Ketentuan itu adalah unsur norma paling luas, yang memberikan kewenangan pemrosesan data pribadi tanpa persetujuan subyek data pribadi sepanjang untuk ‘pemenuhan kepentingan yang sah lainnya’. Tentu dengan catatan bahwa hal tersebut harus memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subyek data pribadi.
Mengingat konteks norma pada Pasal 20 ayat (2) UU PDP secara keseluruhan ini adalah alternatif dan/atau kumulatif sebagaimana dapat dibaca pada Pasal 20 ayat (2) huruf e, maka persyaratan dasar pemrosesan data pribadi sudah cukup jika telah dipenuhi salah satu normanya.
Dapat dikemukakan bahwa meskipun UU PDP tidak mengatur data pribadi eksisting dalam ketentuan peralihan, tetapi tidak berarti terjadi kekosongan norma (rechtsvacuum) terkait hal ini. Keberadaan data pribadi eksisting yang sudah diproses di berbagai badan publik seperti ekesekutif, legislatif, dan yudikatif, lembaga, dan korporasi tentu menjadi salah satu perhatian penting pembentuk UU.
Karena hal ini juga menyangkut kepentingan publik yang sangat luas dan tidak semata pengendali data pribadi, misalnya yang sudah berjalan di berbagai sektor, seperti telekomunikasi, perbankan, kesehatan, pendidikan, perdagangan, platform digital e-commerce.
Bagaimana dengan data pribadi eksisting atau yang sudah dilakukan pemrosesannya selama ini oleh pengendali data pribadi? Tentu saja jika sudah memenuhi salah satu atau lebih ketentuan Pasal 20 ayat (2) di atas, tidak perlu lagi mengulang proses dari awal. Dalam arti pemrosesan data pribadi dapat terus dilaksanakan.
Namun jika terjadi perubahan informasi seperti yang telah dikemukakan di atas, perlu memberitahukan kepada subyek data pribadi sesuai UU PDP dan peraturan implementasinya nanti.
Fenomena ini juga pernah terjadi di Uni Eropa, saat awal The General Data Protection Regulation diberlakukan. Saat itu muncul pertanyaan bagaimana dengan pemrosesan data pribadi (eksisting) di berbagai platform digital termasuk media sosial yang sudah berlangsung dengan sangat masif.
Sebagaimana dilansir SoCrowd.com pada Maret 2018 dalam laporan berjudul From Data Protection To GDPR And The Impact of Social Media dinyatakan bahwa “jaringan media sosial itu memiliki pemberitahuan privasi yang sudah ada di dalamnya yang memastikan mereka patuh.
Audiens di media sosial, sudah memberikan persetujuan yang jelas dan transparan kepada entitas dengan cara 'suka' atau 'ikut' bisnis di media sosial”.