Dewan Perwakilan Rakyat Indonesia (“DPR”) akhirnya meloloskan RUU tentang Perlindungan Data Pribadi (“RUU PDP”), yang akan menjadi payung hukum perlindungan Data Pribadi (“Data”) di Indonesia.[1] Menyusul pengesahan RUU PDP, Ketua DPR Puan Maharani bersama Menteri Komunikasi dan Informatika Johnny G. Plate menyebut pengesahan RUU PDP sebagai tonggak penting dalam hal perlindungan Data di Indonesia dan setelah diundangkan diharapkan dapat melindungi warga negara Indonesia dari berbagai jenis kejahatan digital dan memberikan kepastian hukum yang lebih besar terkait Data penduduk.[2]
Sebagai informasi latar belakang, RUU tersebut pertama kali digagas oleh pemerintah pada tahun 2014[3] dan seiring berjalannya waktu, banyak penyesuaian dilakukan pada strukturnya, yang pada akhirnya menghasilkan RUU yang ada saat ini, dengan total 76 pasal dan 16 bab yang membahas bidang-bidang berikut: 1) Ketentuan umum; 2) Prinsip; 3) Jenis Data; 4) Hak Subjek Data (“Subjek”); 5) Pengolahan data; 6) Kewajiban Pengendali Data (“Pengendali”); 7) Transfer data; 8) Sanksi administratif; 9) Institusi; 10) Kerjasama internasional; 11) Partisipasi publik; 12) Proses penyelesaian sengketa; 13) Larangan penggunaan Data; 14) Ketentuan pidana; 15) Ketentuan pengalihan; dan 16) Ketentuan penutup.
Mengingat pentingnya perlindungan Data di dunia modern, legal research and analysis team Hukumonline menawarkan seperangkat pedoman teknis yang berguna untuk Anda dan berbagai jenis entitas yang terkait dengan Anda dalam peran Anda sebagai Pengendali atau Prosesor Data (“Prosesor”). Analisis kami di sini menawarkan ringkasan dasar dari berbagai klasifikasi Data, serta hak-hak Subjek. Pedoman ini mengacu pada RUU PDP yang diterbitkan melalui situs resmi DPR RI pada 20 September 2022, serta berbagai kerangka peraturan Indonesia yang ada dan mencakup wawasan yang diperoleh dari praktisi Data yang beroperasi di Indonesia.
Seri empat bagian dari Indonesian Law Digest (“ILD”) ini akan membahas masalah perlindungan Data di Indonesia dan selanjutnya akan berfokus pada topik khusus berikut:
Selain itu, berbagai kerangka regulasi Indonesia yang dibahas dalam rangkaian ILD ini meliputi hal-hal berikut:
Dengan latar belakang ini dan untuk memberikan analisis yang komprehensif dan pembahasan yang jelas mengenai ketentuan perlindungan Data yang dibahas di bawah RUU, pedoman umum kami, seperti yang ditawarkan dalam edisi ILD ini, telah dipecah menjadi beberapa bagian:
Sebelum kita menyelami berbagai jenis Data dan hak Subjek, bagian pertama ini akan memberikan penjabaran singkat mengenai hal-hal berikut: A) Studi kasus pihak-pihak yang diklasifikasikan sebagai Pengendali, Prosesor, dan Subjek; dan B) Penilaian sendiri yang dilakukan oleh Pengendali dan Pemroses. Singkatnya, bagian berikut menawarkan pemahaman dasar tentang peran dasar Pengendali, Prosesor, dan Subjek.
Perusahaan A mengadakan acara internal, yang melibatkan pihak-pihak dari berbagai divisi yang hadir sebagai tamu. Perusahaan tersebut juga menggunakan jasa penyelenggara acara (“EO”) untuk membantu Perusahaan A dalam pengelolaan pendaftaran tamu, yang mengharuskan tamu untuk menuliskan nama, nomor telepon, dan alamat email mereka (secara kolektif disebut sebagai “Data Tamu”) dalam buku tamu yang disediakan oleh Perusahaan A. Selain itu, perlu diketahui bahwa Perusahaan A telah menetapkan ketentuan sebagai berikut: 1) Mengamanatkan bahwa EO harus mengelola Data Tamu mulai dari proses pendaftaran sampai dengan kompilasi Data tersebut ke dalam satu PDF; 2) Melarang EO menggunakan Data Tamu untuk tujuan apa pun selain dari acara yang bersangkutan. Setelah acara selesai, EO wajib melakukan pencatatan Data Tamu melalui penggunaan laptop EO, sedangkan transfer rekap Data Tamu akan dikirimkan ke bagian sumber daya manusia (HR) Perusahaan A dan selanjutnya akan digunakan sebagai bagian dari penilaian pekerja. Pertanyaan dasar berikut mungkin muncul sehubungan dengan contoh sederhana yang diuraikan di atas: |
|
Pertanyaan |
Jawaban |
Siapa Pengendalinya? |
Perusahaan A |
Siapa Prosesornya? |
EO |
Siapa Subjeknya? |
Semua orang yang menuliskan nama, nomor telepon dan alamat email mereka di buku tamu |
Sementara tabel di atas menetapkan contoh dasar dari Prosesor, Subjek, dan Pengendali, tabel berikut akan membantu Anda untuk memutuskan apakah Anda atau entitas Anda diwajibkan untuk mematuhi RUU PDP:
Pertanyaan 1[4] |
Apakah Anda salah satu dari jenis entitas berikut?
|
Ya: Lihat Pertanyaan 2
Tidak: Anda tidak perlu mematuhi RUU PDP. |
Pertanyaan 2[5] |
Apakah Anda atau entitas Anda pernah melaksanakan kegiatan hukum di lokasi berikut?
|
Ya: Lihat Pertanyaan 3
Tidak: Anda tidak perlu mematuhi RUU PDP. |
Pertanyaan 3[6] |
Apakah Anda atau entitas Anda melakukan salah satu kegiatan berikut terkait dengan Data?
|
Ya: Anda tergolong telah melakukan pengolahan Data. Lihat Pertanyaan 4
Tidak: Anda tidak perlu mematuhi RUU PDP. |
Pertanyaan 4[7] |
Apakah Anda perseorangan yang melakukan salah satu kegiatan yang tercantum dalam Pertanyaan 3 di atas untuk keperluan pribadi atau rumah tangga? |
Ya: Anda tidak perlu mematuhi RUU PDP.
Tidak: Lihat Pertanyaan 5 |
Pertanyaan 5[8] |
Apakah Anda atau entitas Anda menetapkan tujuan yang mendasari pemrosesan Data, sekaligus memiliki kendali atas pemrosesan Data? |
Ya: Anda diklasifikasikan sebagai Pengendali. Lihat Pertanyaan 7
Tidak: Lihat Pertanyaan 6 |
Pertanyaan 6[9] |
Apakah Anda atau entitas Anda memproses Data apa pun untuk dan atas nama Pengendali? |
Ya: Anda diklasifikasikan sebagai Prosesor. Lihat Pertanyaan 7
Tidak: Anda tidak perlu mematuhi RUU PDP. |
Pertanyaan 7[10] |
Apakah Anda atau entitas Anda telah diklasifikasikan sebagai Prosesor atau Pengendali berdasarkan pertanyaan di atas? |
Ya: Anda harus mematuhi RUU PDP.
Tidak: Anda tidak perlu mematuhi RUU PDP. |
Berdasarkan daftar periksa di atas, harus jelas bahwa jika Anda termasuk dalam kategori Pengendali atau Prosesor, Anda harus mematuhi ketentuan perlindungan Data yang diatur dalam RUU PDP setelah RUU tersebut diundangkan. Namun, karena topik yang berkaitan dengan peran Pengendali dan Prosesor akan dibahas dalam edisi mendatang dari seri ILD ini, kami tidak akan membahasnya secara mendetail di sini.
Meskipun Data hampir selalu disebut sebagai Data yang dapat digunakan untuk mengidentifikasi individu, RUU PDP dan beberapa kerangka peraturan Indonesia yang ada mendefinisikan Data dengan cara yang berbeda, sebagai berikut:
Tabel berikut merupakan gambaran umum dari berbagai peraturan yang ada yang mengadopsi definisi-definisi di atas:
Instrumen Hukum |
Definisi 1 |
Definisi 2 |
UU 23/2006[11] |
|
√ |
Perkominfo 20/2016[12] |
|
√ |
PP 40/2019[13] |
|
√ |
PP 71/2019[14] |
√ |
|
RUU PDP[15] |
√ |
|
Dari segi Data itu sendiri, RUU PDP menetapkan dua klasifikasi Data: Data umum dan khusus, yang akan diuraikan lebih lanjut pada bagian berikut.
Data Umum mengacu pada Data yang kemungkinan tidak memiliki dampak signifikan terhadap Subjek yang relevan dalam pemrosesannya, tetapi masih dapat digunakan untuk mengidentifikasi Subjek yang dimaksud. Sehubungan dengan itu, RUU PDP menetapkan beberapa jenis Data yang termasuk dalam klasifikasi Data Umum, sebagaimana tergambar dalam mind map berikut:[16]
RUU PDP mendefinisikan Data spesifik sebagai Data yang dapat berdampak signifikan terhadap Subjek terkait dalam pemrosesannya.[17] Contoh dampak tersebut, sebagaimana diatur dalam RUU tersebut, adalah potensi tindakan diskriminasi dan kerugian besar yang dialami oleh Subjek.[18]Seperti halnya Data umum, RUU PDP menetapkan beberapa jenis Data yang termasuk dalam klasifikasi Data Tertentu, sebagaimana tergambar lebih lanjut dalam mind map berikut:[19]
Selain jenis Data yang dibahas di atas, RUU PDP juga menyebutkan “Data bentuk lain” yang diklasifikasikan dalam klasifikasi Data Tertentu. Belum ada penjelasan lebih lanjut mengenai bentuk Data lain tersebut, namun dalam wawancara baru-baru ini dengan Legal Research and Analysis Team Hukumonline, Jodi Utomo, praktisi perlindungan Data yang beroperasi di sektor jasa keuangan, menjelaskan bahwa Data tersebut mengacu pada berbagai jenis Data yang secara khusus diatur dalam berbagai peraturan sektoral.[20]
Data Spesifik dibahas di berbagai kerangka hukum yang ada terkait dengan berbagai hal, beberapa di antaranya dibahas dalam tabel berikut:
Data |
Catatan |
Rekam medis[21] |
Mencakup:
|
Daftar pencegahan dan/atau larangan keimigrasian[22] |
Mencakup:
|
Data dan/atau informasi yang dimiliki oleh nasabah Pelaku Usaha Jasa Keuangan (PUJK)[23] |
Data individu:
Data korporasi:
Dalam konteks Data ini, Jodi Utomo menyatakan keyakinannya bahwa jenis Data yang terkait dengan korporasi, sebagaimana tercantum dalam poin (1) - (3) di atas, tidak dapat diklasifikasikan sebagai Data, karena informasi tersebut berada dalam domain publik.[24]Namun, penting untuk dicatat bahwa pemeliharaan kerahasiaan Data adalah wajib bagi pelaku sektor keuangan seperti bank.[25] |
Data Anak[26] |
Mencakup Data yang berkaitan dengan bidang-bidang berikut, antara lain:
|
Data Kependudukan |
Mencakup:[27]
Unsur-unsur yang rawan terhadap tindakan diskriminasi sebagaimana dimaksud di atas terdiri dari Data yang berkaitan dengan kejadian-kejadian penting yang dilarang untuk diungkapkan berdasarkan peraturan perundang-undangan terkait, antara lain:[28]
|
Sehubungan dengan Data di atas, perlu diperhatikan bahwa pengolahan Data umum dan spesifik dapat dibedakan. Meskipun persetujuan yang sah dan eksplisit menjadi dasar pemrosesan Data, RUU PDP menetapkan bahwa pemrosesan Data anak dan/atau penyandang disabilitas harus diselenggarakan secara khusus yang memerlukan persetujuan dari orang tua/wali dan/atau dari penyandang disabilitas/walinya.[29]
Terkait konteks pengolahan Data saat ini, Jodi Utomo juga menjelaskan kepada Hukumonline bahwa Data spesifik saat ini sedang diproses oleh berbagai perusahaan di seluruh Indonesia sesuai dengan standar global yang berlaku di bidang terkait.[30] Hal ini akan secara lebih lanjut dibahas dalam edisi mendatang dari seri ILD ini.
Seperti disebutkan secara singkat di atas, kata "Subjek" mengacu pada individu yang memiliki hubungan dengan Data yang relevan.[31] Dibandingkan dengan versi RUU sebelumnya, yang menggunakan istilah “Pemilik data”, Jodi Utomo percaya bahwa istilah “Subjek” lebih cocok untuk hal tersebut, guna mencegah kesalahan pertukaran istilah dengan Pengendali.[32]
RUU PDP memberi Subjek berbagai hak, sebagaimana terangkum dalam mind map berikut (“Mind Map Hak Subjek”):[33]
Namun, perlu dicatat bahwa RUU PDP juga menyatakan bahwa sejumlah hak yang diuraikan di atas (yang ditandai dengan tanda bintang) tidak berlaku dalam beberapa keadaan, sebagai berikut:[34]
Jika Anda membaca mini checklist kami di atas untuk mengetahui apakah Anda wajib mematuhi RUU PDP dan yakin bahwa Anda tergolong sebagai Prosesor atau Pengendali, maka Anda atau entitas Anda harus memulai persiapan terkait dengan berbagai hal-hal perlindungan Data, khususnya pelaksanaan hak-hak Subjek. Sehubungan dengan itu, berbagai hak yang ditebalkan dalam Mind Map Hak-Hak Subjek di atas akan dilaksanakan melalui pengajuan permohonan tercatat (misalnya pengajuan secara tertulis dilengkapi dengan log tertentu) kepada Pengendali yang bersangkutan secara elektronik atau manual oleh Subjek.[35]
Karena RUU PDP sendiri tidak mengatur informasi lebih lanjut mengenai hal-hal tersebut, Jodi Utomo berpendapat bahwa Pengendali harus menyiapkan langkah-langkah tertentu guna memfasilitasi Subjek untuk dapat mengajukan permohonan yang dijelaskan di atas, yang harus mencakup setidaknya hal-hal berikut:[36]
Perlu digarisbawahi bahwa penunjukan DPO akan diperlukan jika diperlukan dalam RUU PDP dan hal ini akan dibahas lebih lanjut dalam ILD edisi mendatang. Selanjutnya, selain berbagai tindakan yang diuraikan di atas, Pengendali mungkin ingin memanfaatkan teknologi manajemen privasi yang mencakup pemetaan data dan pengelolaan hak Subjek. Namun, sistem tersebut hanya ditujukan untuk percepatan persyaratan pemrosesan data, yang berarti bahwa kepemilikan sistem tersebut saat ini tidak wajib di bawah RUU tetapi dapat mempercepat DPO dalam pelaksanaan perannya.[37](KS)
[1]CNN Indonesia, “DPR Resmi Sahkan UU Perlindungan Data Pribadi”, sebagaimana diakses melalui:https://www.cnnindonesia.com/nasional/20220920104816-32-850160/dpr-resmi-sahkan-uu-perlindungan-data-pribadi pada 20 September 2022.
[2]Untuk informasi lebih lanjut tentang hal ini, lihat Hukumonline: “Selangkah Lagi RUUPelindunganData Pribadi Bakal Disahkan”.
[3]Kompas.com, “RUU Perlindungan Data Pribadi Akan Diajukan Masuk Prolegnas Prioritas DPR”, sebagaimana diakses melalui:https://nasional.kompas.com/read/2019/10/09/17410331/ruu-perlindungan-data-pribadi-akan-diajukan-masuk-prolegnas-prioritas-dpr pada 27 September 2022.
[4]Pasal 1 (7 - 8) dan 2 (1), RUU PDP.
[5]Pasal 2 (1), RUU PDP.
[6]Pasal 16 (1), RUU PDP.
[7]Pasal 2 (2), RUU PDP.
[8]Pasal 1 (4), RUU PDP.
[9]Pasal 1 (5), RUU PDP.
[10]Pasal 20 - 52, RUU PDP.
[11]Pasal 1 (22), UU 23/2006.
[12]Pasal 1 (1), Perkominfo 20/2016.
[13]Pasal 1 (3), PP 40/2019.
[14]Pasal 1 (29), PP 71/2019.
[15]Pasal 1 (1), RUU PDP.
[16]Pasal 4 (3) dan Penjelasannya, RUU PDP.
[17]Penjelasan, Pasal. 4 (1), RUU PDP.
[18]Ibid.
[19]Pasal 4 (2) dan Penjelasannya, RUU PDP.
[20]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[21]Pasal 26 (6), Permenkes 24/2022.
[22]Pasal 94 (2) dan 100 (3), UU 6/2011.
[23]Pasal 11 (2), POJK 6/2022.
[24]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[25]Ibid.
[26] Pasal 7, Permen PPPA 6/2009.
[27] Pasal 84 (1), UU 23/2006.
[28] Pasal 54 (3 - 4), hlm. PP 40/2019.
[29]Pasal 25 - 26, RUU PDP.
[30]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[31]Pasal 1 (6), RUU PDP.
[32]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[33]Pasal 5 - 13, RUU PDP.
[34]Pasal 15, RUU PDP.
[35]Pasal 14, RUU PDP.
[36]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[37]Ibid.