Definisi Data Pribadi dan Kategorinya
Menurut Pasal 1 ayat (1) UU PDP, data pribadi didefinisikan sebagai informasi yang dapat mengidentifikasi subjek data secara langsung atau tidak langsung melalui kombinasi informasi. Definisi ini berbeda dengan konsep data pribadi dalam regulasi internasional seperti GDPR yang menggunakan istilah "personal data" dengan interpretasi yang sedikit lebih sempit. Dalam praktik, pengidentifikasian suatu data sebagai data pribadi memerlukan analisis kontekstual: data yang nampak netral (misalnya, tanggal kehadiran kerja) dapat menjadi data pribadi jika dikombinasikan dengan informasi lain yang memungkinkan identifikasi individu.
UU PDP membedakan antara data pribadi yang bersifat umum (Pasal 4) dan data pribadi yang bersifat spesifik (Pasal 5). Data pribadi yang bersifat umum mencakup informasi yang secara umum tersedia atau mudah diakses publik, seperti nama lengkap, tanggal lahir, alamat, informasi kontak, pekerjaan, dan data pendidikan. Data pribadi yang bersifat spesifik merujuk pada informasi yang lebih sensitif dan memerlukan standar perlindungan lebih tinggi, termasuk data kesehatan, data biometrik, data genetika, pandangan politik, keyakinan agama atau kepercayaan, status keanggotaan organisasi, data keuangan, dan data anak di bawah umur. Perbedaan ini bukan hanya semantik, tetapi memiliki implikasi signifikan terhadap syarat-syarat pemrosesan dan standar keamanan yang harus dipenuhi.
| KONSEP KUNCI | Pengidentifikasian apakah data bersifat umum atau spesifik bukan berdasarkan sifat instrinsik data, tetapi berdasarkan konteks pemrosesan dan tingkat risiko terhadap subjek data. Data kesehatan selalu dianggap spesifik, tetapi data nama dan alamat, meskipun umum, tetap harus dilindungi sesuai dengan prinsip-prinsip umum UU PDP. |
Pemrosesan Data Pribadi: Pengertian dan Jangkauan
Pemrosesan data pribadi, sebagaimana didefinisikan dalam Pasal 1 ayat (2) UU PDP, adalah setiap kegiatan yang dilakukan terhadap data pribadi, baik secara otomatis maupun tidak otomatis, atau serangkaian kegiatan yang terkait dengan perolehan, pencatatan, organisasi, penyusunan, penyimpanan, peningkatan, pengubahan, pengambilan, penampilan, penggunaan, pembukaan, pembatasan, penghapusan, atau pemusnahaan data pribadi. Definisi yang sangat luas ini mencakup lebih dari dua belas jenis aktivitas spesifik, dan setiap aktivitas tersebut dianggap sebagai pemrosesan dan menimbulkan kewajiban-kewajiban bagi pengendali data.
Dalam praktik operasional, pemrosesan mencakup aktivitas sederhana seperti menyimpan data dalam spreadsheet, mengirim email berisi data pribadi, atau menampilkan informasi karyawan di website publik. Pemrosesan juga mencakup aktivitas kompleks seperti profiling otomatis, penggunaan artificial intelligence untuk pengambilan keputusan berdasarkan data pribadi, transfer data ke vendor pihak ketiga, dan penghapusan data dari sistem. UU PDP memerlukan bahwa setiap pemrosesan data pribadi harus memiliki dasar hukum yang jelas, didasarkan pada salah satu dari enam dasar hukum yang diatur dalam Pasal 6 UU PDP.
| Istilah | Definisi (Pasal) | Interpretasi Praktis | Implikasi Hukum |
|---|---|---|---|
| Data Pribadi | Pasal 1(1) | Informasi mengidentifikasi individu | Subyek regulasi UU PDP |
| Pemrosesan | Pasal 1(2) | 12+ jenis aktivitas data | Semua aktivitas memerlukan dasar hukum |
| Pengendali Data | Pasal 1(3) | Pihak menentukan tujuan/cara pemrosesan | Bertanggung jawab pemenuhan kewajiban |
| Prosesor Data | Pasal 1(4) | Pihak memproses atas instruksi pengendali | Kewajiban keamanan dan dokumentasi |
| Pihak Ketiga | Pasal 1(5) | Pihak lain bukan pengendali/prosesor/subjek | Menerima data dari pengendali |
| Subjek Data | Pasal 1(6) | Individu yang datanya diproses | Pemilik hak-hak fundamental |
Peran Pengendali, Prosesor, dan Pihak Ketiga
Pengendali Data Pribadi (Pasal 1 ayat 3) adalah pihak yang menentukan tujuan pemrosesan, cara pemrosesan, dan siapa saja yang dapat mengakses data pribadi. Pengendali data memiliki akuntabilitas tertinggi dan bertanggung jawab untuk memastikan bahwa semua kewajiban-kewajiban yang diatur dalam UU PDP dipenuhi, bahkan jika pemrosesan data aktual dilakukan oleh prosesor atau pihak ketiga. Pengendali harus memiliki dasar hukum yang jelas untuk setiap pemrosesan, harus memberikan informasi transparan kepada subjek data, dan harus menerapkan prinsip-prinsip data protection by design.
Prosesor Data Pribadi (Pasal 1 ayat 4) adalah pihak yang memproses data pribadi atas nama pengendali data dan berdasarkan instruksi dari pengendali. Perbedaan antara pengendali dan prosesor sangat penting karena menentukan tingkat tanggung jawab dan jenis kewajiban yang harus dipenuhi. Sebuah perusahaan dapat sekaligus bertindak sebagai pengendali data untuk data pelanggannya sendiri dan sebagai prosesor data ketika memproses data atas instruksi mitra bisnisnya. Pihak Ketiga (Pasal 1 ayat 5) adalah pihak lain yang menerima data pribadi dari pengendali data, tetapi tidak bertindak sebagai prosesor atas instruksi pengendali. Pihak ketiga memiliki kewajiban yang lebih terbatas dibanding prosesor, tetapi tetap harus mematuhi UU PDP dalam penggunaan data yang diterimanya.
| PENTING | Dalam praktik multi-pihak, penting untuk mendokumentasikan dengan jelas siapa yang berperan sebagai pengendali, prosesor, dan pihak ketiga. Misalnya, jika organisasi A (pengendali) menggunakan layanan cloud dari provider B (prosesor) yang mengintegrasikan dengan analytics tool dari vendor C, maka C dapat dianggap sebagai prosesor kedua atau pihak ketiga tergantung pada struktur perjanjian dan aliran data yang sebenarnya. |
Persetujuan (Consent) dan Dasar Hukum Pemrosesan
Pasal 6 UU PDP mengatur enam dasar hukum untuk pemrosesan data pribadi: (1) persetujuan subjek data, (2) pemenuhan kontrak, (3) kewajiban hukum, (4) perlindungan kepentingan vital, (5) pelaksanaan tugas publik, dan (6) kepentingan yang sah dari pengendali data. Persetujuan (consent) hanya merupakan salah satu dari enam dasar tersebut, dan model berbasis consent bukan satu-satunya cara untuk melegalkan pemrosesan. Namun, UU PDP mensyaratkan bahwa persetujuan, jika digunakan sebagai dasar hukum, harus diberikan secara bebas, spesifik, informatif, dan tanpa paksaan (Pasal 12).
Consent untuk pemrosesan data pribadi yang bersifat umum berbeda dengan consent untuk pemrosesan data pribadi yang bersifat spesifik. Untuk data spesifik, UU PDP memerlukan explicit consent (persetujuan yang diberikan secara tegas dan khusus), sementara untuk data umum, consent dapat diberikan dalam bentuk yang lebih umum atau melalui mekanisme opt-in. Withdraw of consent juga dijamin dalam UU PDP: subjek data berhak untuk menarik kembali persetujuannya kapan saja (Pasal 18 ayat 1), dan pengendali data harus menghormati pencabutan ini tanpa menimbulkan dampak negatif terhadap pemrosesan yang telah dilakukan sebelum pencabutan.
| Dasar Hukum | Syarat Utama | Contoh Kasus Penggunaan | Dokumentasi Wajib |
|---|---|---|---|
| Persetujuan (Consent) | Explicit consent untuk data spesifik | Pemasaran email, penelitian survei | Bukti persetujuan tertulis/elektronik |
| Pemenuhan Kontrak | Diperlukan untuk eksekusi kontrak | Pemrosesan data pembayaran pelanggan | Kontrak atau dokumen perjanjian |
| Kewajiban Hukum | Dilandasi undang-undang/regulasi | Pelaporan pajak, compliance audit | Referensi pasal regulasi yang berlaku |
| Perlindungan Kepentingan Vital | Alasan kesehatan/keselamatan mendesak | Data pasien dalam keadaan darurat medis | Dokumentasi alasan/situasi mendesak |
| Pelaksanaan Tugas Publik | Lembaga pemerintah/BUMN untuk fungsi publik | Sensus penduduk, data pemilih | Peraturan pelaksanaan fungsi publik |
| Kepentingan yang Sah (LI) | Balanced test: kepentingan vs. hak subjek | Analisis kredit, deteksi fraud | Impact assessment untuk kepentingan sah |
Pelanggaran Data Pribadi dan Notifikasi
Pasal 1 ayat (7) mendefinisikan pelanggaran data pribadi (breach) sebagai peristiwa yang mengakibatkan terganggunya keamanan data pribadi yang diproses secara tidak sengaja atau ilegal. Pelanggaran dapat berupa akses tidak sah, pengungkapan data, hilangnya data, atau pengubahan data tanpa otorisasi. UU PDP memerlukan pengendali data untuk melakukan notifikasi kepada subjek data dalam waktu yang wajar dan setelah pelanggaran terjadi (Pasal 34). Dalam praktik di banyak negara, timeline notifikasi ditetapkan secara spesifik (misalnya 72 jam dalam GDPR), namun UU PDP hanya menyatakan "waktu yang wajar" tanpa menetapkan periode pasti, membuat interpretasi dan implementasi menjadi tantangan praktis.