Undang-Undang Pelindungan Data Pribadi:
Sebuah Harapan Baru

Pada hari Selasa, 20 September 2022, Dewan Perwakilan Rakyat Republik Indonesia (DPR RI) secara resmi mengundangkan sebuah peraturan baru yang telah dinanti-nanti sejak lama oleh berbagai lapisan masyarakat, yakni Undang-Undang Republik Indonesia Nomor 27 Tahun 2022 Tentang Pelindungan Data Pribadi (UU PDP). Isu keamanan data pribadi masyarakat Indonesia telah menjadi perbincangan hangat di berbagai ruang-ruang diskusi. Seiring berjalannya waktu, juga terlihat bahwa telah timbul berbagai persoalan terkait dengan data pribadi, mulai dari kebocoran data, penyalahgunaan data, akses ilegal hingga kejahatan seperti hacking yang telah menyebabkan kerugian yang sangat besar bagi masyarakat.

 

Peningkatan kemajuan teknologi informasi telah mendorong berbagai kemajuan di berbagai industri, kemajuan ini acapkali melibatkan data pribadi masyarakat sebagai sebuah objek yang menunjuang kemajuan industri. Kesadaran akan hak asasi manusia yang mendasar, perlu untuk memahami bahwa pelindungan data pribadi adalah bagian dari hak privasi. Pasal 28 (G) UUD 1945 telah menetapkan bahwa setiap orang berhak atas perlindungan diri mereka sendiri. Oleh karenanya, kehadiran UU PDP menjadi sebuah angin segar dan harapan baru bagi masyarakat Indonesia atas pemenuhan hak atas privasi sehubungan dengan telah dilaksanakannya berbagai upaya pemrosesan data pribadi oleh berbagai industri di Indonesia.
UU PDP adalah peraturan baru yang memiliki dimensi cukup kompleks yang terdiri atas 16 (enam belas) bab dan 76 (tujuh puluh enam) pasal. Sebelum diundangkannya peraturan ini, ketentuan mengenai pelindungan data pribadi tersebar ke berbagai peraturan seperti UU ITE dan beberapa peraturan lain dibawahnya. Dengan adanya UU PDP, menjadi suatu payung besar yang mewadahi peraturan-peraturan terkait lain dibawahnya. Untuk dapat memahami konsep pengaturan dalam UU PDP, terlebih dahulu perlu dipahami entitas-entitas yang menyandang hak dan kewajiban berdasarkan peraturan ini, yakni:
1. Pengendali Data Pribadi adalah Setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.
2. Prosesor Data Pribadi adalah Setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau Bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi.
3. Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat Data Pribadi.

 

Setiap entitas tersebut terlibat dalam suatu kegiatan yang dalam UU PDP dikenal dengan istilah pemrosesan data pribadi. Masing-masing entitas sebagaimana diuraikan di atas dalam kegiatan pemrosesan data pribadi memiliki hak dan kewajibannya. Setidaknya terdapat 9 (sembilan) hak yang dapat dituntut oleh subjek data pribadi sebagai pemilik data dan setidaknya terdapat 21 (dua puluh satu) kewajiban yang harus dipenuhi oleh pengendali data pribadi, 6 (enam) diantaranya adalah kewajiban yang bersumber pada hak dan 15 (lima belas) lainnya adalah kewajiban sebagai wujud kepatuhan sebagai entitas yang melakukan pemrosesan data pribadi.

 

UU PDP sendiri tidak memberikan definisi baku mengenai pemrosesan data pribadi. Namun, mengacu ke Pasal 16 ayat 1 UU PDP, pemrosesan data pribadi meliputi: a. pemerolehan dan pegumpulan, b. pengolahan dan penganalisaan, c. penyimpanan, d. perbaikan dan pembaruan, e. penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan, f. penghapusan atau pemusnahan.

 

Perlu menjadi catatan bahwa pengendali data pribadi tidak dapat melakukan pemrosesan data pribadi secara serta merta. Pengendali data pribadi perlu memiliki dasar dalam melakukan pemrosesan data pribadi. Salah satu dasar pemrosesan data pribadi diperoleh melalui persetujuan yang sah secara eksplisit dari Subjek Data Pribadi. Adapun mengacu ke Pasal 22 ayat 1 UU PDP, persetujuan pemrosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam. Dengan dipenuhinya segala ketentuan ini, harapannya setiap pelaku bisnis yang melakukan pemrosesan data pribadi dapat melakukan pemrosesan tersebut sesuai dengan kewajiban-kewajiban yang ditetapkan oleh Undang-Undang, sehingga dapat mencegah adanya penyalahgunaan data, kebocoran data, dan hal-hal lainnya yang dapat menyebabkan kerugian bagi Subjek Data Pribadi.