Regulasi UU Perlindungan Data Pribadi (RUU PDP) akhirnya disahkan oleh DPR. Kehadiran regulasi yang mengatur perlindungan data pribadi ini menjadi tonggak penting bagi perlindungan data pribadi, terutama di tengah banyaknya insiden kebocoran data yang terjadi saat ini.
Sebenarnya, aturan yang mengatur perlindungan data pribadi sudah ada di Indonesia, seperti di di PP No. 71 maupun UU ITE. Akan tetapi, aturan yang ada masih bersifat sektoral, alias hanya mengatur sektor tertentu (seperti perbankan, telekomunikasi, dan lain sebagainya). Karena itulah dibutuhkan UU Perlindungan Data Pribadi yang mengatur perlindungan data pribadi secara universal dan menyentuh semua sektor.
Secara prinsip, UU Perlindungan Data Pribadi ini mengatur definisi, hak kepemilikan, kewajiban prosesor data, serta penyelesaian sengketa. Dengan adanya regulasi ini, aturan atas kepemilikan data menjadi jelas, termasuk hak dan kewajiban individu dan pihak pengumpul data. Jika semua pihak melakukan kewajiban dengan benar, insiden kebocoran maupun penyalahgunaan data pribadi pun dapat diminimalisir.
Berikut adalah beberapa poin penting seputar UU Perlindungan Data Pribadi.
Apa yang termasuk data pribadi?
UU PDP mengklasifikasikan data ke dalam dua jenis, yaitu data umum dan data spesifik. Contoh data umum adalah nama, alamat, jenis, kelamin, dan sebagainya. Sementara data spesifik meliputi data kesehatan, keuangan, biometrik, dan data spesifik lainnya.
Siapa saja pihak yang terlibat dari data pribadi ini?
UU PDP ini mengatur tiga pihak yang terkait data pribadi, yaitu pemilik data (kita sebagai individu), pengendali data (atau pengumpul data), serta prosesor data (pihak yang memproses data yang terkumpul).
Pengendali dan prosesor data bisa jadi institusi yang sama, bisa juga berbeda. Jadi UU PDP ini tetap memungkinkan data pribadi yang ada di institusi A ditransfer ke institusi B. Akan tetapi, ada regulasi yang mengatur. Contohnya adalah pihak prosesor data tetap menjaga kerahasiaan data dan melakukan pengawasan.
Perlu dicatat, pihak pemroses data juga bisa berupa institusi di luar Indonesia. Akan tetapi, institusi luar negeri tersebut harus berada di negara yang telah memiliki regulasi khusus soal perlindungan data.
Siapa yang bisa meminta data pribadi?
Jika ada pihak yang bermaksud meminta data pribadi, ada beberapa syarat yang harus mereka penuhi. Yang utama adalah persetujuan dari individu pemilik data. Jadi ketika meminta data pribadi, institusi atau pengumpul data harus secara jelas meminta persetujuan dari pemilik data.