Regulasi UU Perlindungan Data Pribadi (RUU PDP) akhirnya disahkan oleh DPR. Kehadiran regulasi yang mengatur perlindungan data pribadi ini menjadi tonggak penting bagi perlindungan data pribadi, terutama di tengah banyaknya insiden kebocoran data yang terjadi saat ini.
Sebenarnya, aturan yang mengatur perlindungan data pribadi sudah ada di Indonesia, seperti di di PP No. 71 maupun UU ITE. Akan tetapi, aturan yang ada masih bersifat sektoral, alias hanya mengatur sektor tertentu (seperti perbankan, telekomunikasi, dan lain sebagainya). Karena itulah dibutuhkan UU Perlindungan Data Pribadi yang mengatur perlindungan data pribadi secara universal dan menyentuh semua sektor.
Secara prinsip, UU Perlindungan Data Pribadi ini mengatur definisi, hak kepemilikan, kewajiban prosesor data, serta penyelesaian sengketa. Dengan adanya regulasi ini, aturan atas kepemilikan data menjadi jelas, termasuk hak dan kewajiban individu dan pihak pengumpul data. Jika semua pihak melakukan kewajiban dengan benar, insiden kebocoran maupun penyalahgunaan data pribadi pun dapat diminimalisir.
Berikut adalah beberapa poin penting seputar UU Perlindungan Data Pribadi.
Apa yang termasuk data pribadi?
UU PDP mengklasifikasikan data ke dalam dua jenis, yaitu data umum dan data spesifik. Contoh data umum adalah nama, alamat, jenis, kelamin, dan sebagainya. Sementara data spesifik meliputi data kesehatan, keuangan, biometrik, dan data spesifik lainnya.
Siapa saja pihak yang terlibat dari data pribadi ini?
UU PDP ini mengatur tiga pihak yang terkait data pribadi, yaitu pemilik data (kita sebagai individu), pengendali data (atau pengumpul data), serta prosesor data (pihak yang memproses data yang terkumpul).
Pengendali dan prosesor data bisa jadi institusi yang sama, bisa juga berbeda. Jadi UU PDP ini tetap memungkinkan data pribadi yang ada di institusi A ditransfer ke institusi B. Akan tetapi, ada regulasi yang mengatur. Contohnya adalah pihak prosesor data tetap menjaga kerahasiaan data dan melakukan pengawasan.
Perlu dicatat, pihak pemroses data juga bisa berupa institusi di luar Indonesia. Akan tetapi, institusi luar negeri tersebut harus berada di negara yang telah memiliki regulasi khusus soal perlindungan data.
Siapa yang bisa meminta data pribadi?
Jika ada pihak yang bermaksud meminta data pribadi, ada beberapa syarat yang harus mereka penuhi. Yang utama adalah persetujuan dari individu pemilik data. Jadi ketika meminta data pribadi, institusi atau pengumpul data harus secara jelas meminta persetujuan dari pemilik data.
Pengumpulan data juga bisa dilakukan atas dasar perjanjian, seperti ketika perusahaan meminta identitas diri kepada karyawan. Contoh lain landasan hukum pengumpulan data adalah obligasi hukum (seperti data untuk KTP), pelaksanaan kewenangan (data untuk SIM), atau pelayanan publik.
Data pribadi yang diminta pun harus memenuhi prinsip terbatas dan spesifik. Contohnya sebuah perusahaan transportasi hanya boleh meminta data nama dan alamat penumpang sebagai pemilik data. Perusahaan transportasi tersebut tidak boleh menanyakan, misalnya, jumlah anak penumpang karena tidak sesuai dengan kepentingan menggunakan layanan transportasi.
Apa saja hak pemilik data?
Individu pemilik data tetap memiliki hak atas data pribadi yang telah dikumpulkan oleh pengumpul data. Kita bisa menarik persetujuan yang telah dilakukan, meminta pengumpul data menghapus data pribadi kita, serta membatasi pemrosesan data pribadi.
Yang tak kalah penting, pemilik data bisa menggugat ganti rugi jika data pribadi kita bocor atau disalahgunakan.
Siapa yang bertanggung jawab atas data pribadi yang terkumpul?
Setiap pengumpul dan prosesor data pribadi harus memiliki DPO (Data Protection Officer). DPO ini bertugas memastikan organisasi mematuhi aturan yang berlaku, mengidentifikasi data pribadi yang disimpan/diolah/digunakan perusahaan, serta meningkatkan kesadaran organisasi atas perlindungan data pribadi.
DPO ini juga menjadi perantara perusahaan saat berkoordinasi dengan pihak berwajib. DPO ini sendiri bisa berasal dari perusahaan atau rekanan/konsultan yang membantu sebuah perusahaan.
Siapa yang mengawasi UU PDP ini?
Di dalam UU PDP ini, seharusnya ada lembaga pengawas atau Data Protection Authority (DPA). Namun saat pembahasan RUU PDP ini, ada tarik-menarik antara Pemerintah (yang menginginkan Kementerian Kominfo RI sebagai lembaga pengawas) dengan DPR (yang menginginkan lembaga independen).
Akhirnya diputuskan lembaga pengawas ini adalah organisasi independen di bawah Presiden RI, meski belum jelas bentuk organisasinya seperti apa.