Pengenalan Enam Dasar Hukum Pemrosesan Data
Pasal 20 Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi menetapkan bahwa pemrosesan data pribadi hanya dapat dilakukan berdasarkan salah satu dari enam dasar hukum yang sah (lawful basis). Setiap dasar hukum memiliki ruang lingkup, persyaratan, dan implikasi yang berbeda terhadap hak-hak subjek data. Pemilihan dasar hukum yang tepat merupakan fondasi kepatuhan terhadap UU PDP, karena kesalahan dalam memilih dasar hukum dapat mengakibatkan pelanggaran berat yang merugikan subjek data dan mengekspos organisasi terhadap tuntutan dari Lembaga Perlindungan Data Pribadi (LPDP) serta subjek data itu sendiri.
Dasar Hukum 1: Persetujuan (Consent)
Persetujuan adalah dasar hukum yang paling dikenal tetapi justru paling banyak disalahgunakan. Berdasarkan Pasal 21 UU PDP, persetujuan harus bebas, spesifik, terinformasi, dan tidak ambigu. Organisasi tidak boleh menggunakan persetujuan sebagai dasar hukum default untuk semua pemrosesan—persetujuan hanya boleh digunakan jika pemrosesan tidak diperlukan untuk kepentingan lain yang lebih kuat. Keunggulan persetujuan adalah fleksibilitas (dapat diberikan untuk berbagai tujuan berbeda), tetapi kelemahannya adalah bahwa subjek data dapat menarik persetujuan kapan saja tanpa alasan, dan beban pembuktian persetujuan yang valid terletak sepenuhnya pada pengendali data.
Dasar Hukum 2: Pemenuhan Perjanjian (Contract Performance)
Pasal 20(b) memungkinkan pemrosesan data pribadi yang perlu untuk melaksanakan perjanjian dengan subjek data atau untuk mengambil langkah atas permintaan subjek data sebelum perjanjian dibentuk. Dasar hukum ini mencakup pemrosesan nama, alamat, dan informasi pembayaran untuk mengirimkan barang; pemrosesan data kontak untuk komunikasi order; dan pemrosesan data kesehatan dalam konteks perjanjian asuransi. Tidak diperlukan persetujuan khusus karena pemrosesan sudah menjadi bagian integral dari perjanjian yang telah disepakati. Namun, pemrosesan hanya dapat dilakukan sejauh yang diperlukan untuk memenuhi perjanjian—pemrosesan untuk tujuan lain tetap memerlukan dasar hukum terpisah.
Dasar Hukum 3: Kewajiban Hukum (Legal Obligation)
Pasal 20(c) memperbolehkan pemrosesan untuk mematuhi kewajiban hukum yang ditetapkan dalam peraturan perundang-undangan. Contoh kewajiban hukum termasuk pelaporan pajak ke Direktorat Jenderal Pajak (Pasal 28 UU Ketentuan Umum Perpajakan), pemeliharaan catatan karyawan selama lima tahun (UU Ketenagakerjaan), pelaporan transaksi mencurigakan ke Unit Kerja Khusus Pencegahan Pencucian Uang (PPATK), dan pemeliharaan rekam medis selama lima tahun (UU Kesehatan). Kewajiban hukum merupakan dasar hukum yang tidak dapat ditarik kembali—subjek data tidak memiliki hak untuk menolak pemrosesan atas dasar ini, meskipun tetap memiliki hak atas akses, koreksi, dan informasi.
Dasar Hukum 4: Kepentingan Vital (Vital Interest)
Pasal 20(d) mengizinkan pemrosesan untuk melindungi kepentingan vital subjek data atau orang lain. Kepentingan vital adalah pengecualian sempit yang hanya berlaku dalam situasi darurat atau hidup-mati, seperti pemrosesan informasi kesehatan saat pasien tidak sadar di rumah sakit untuk menyelamatkan nyawanya, atau pemrosesan data genetik untuk diagnosis penyakit langka yang mengancam nyawa keluarga. Dasar hukum ini jarang berlaku dalam konteks komersial biasa dan sebagian besar relevan untuk sektor kesehatan, keselamatan, dan organisasi kemanusiaan. Tidak diperlukan persetujuan jika tidak dapat diperoleh karena situasi darurat.
Dasar Hukum 5: Tugas Publik (Public Task)
Pasal 20(e) memungkinkan pemrosesan untuk melaksanakan tugas yang ditetapkan dalam peraturan perundang-undangan yang berkaitan dengan kepentingan publik atau dalam rangka menjalankan wewenang pemerintah. Dasar hukum ini khusus untuk badan publik seperti kementerian, pemerintah daerah, lembaga negara, dan badan usaha milik negara yang menjalankan tugas publik. Contohnya adalah pemrosesan data pemilih oleh Komisi Pemilihan Umum, pemrosesan data peserta program bantuan sosial oleh Kemensos, atau pemrosesan data siswa oleh kementerian pendidikan. Organisasi swasta tidak dapat menggunakan dasar hukum ini, kecuali dalam kapasitas sebagai pemroses data untuk badan publik.
Dasar Hukum 6: Kepentingan yang Sah (Legitimate Interest)
Pasal 20(f) memungkinkan pemrosesan untuk kepentingan yang sah yang ditempuh oleh pengendali data atau pihak ketiga (legitimate interest). Dasar hukum ini adalah yang paling luas dan paling kompleks, mencakup kepentingan komersial (fraud prevention, network security), kepentingan organisasi (direct marketing, intra-group transfers), dan kepentingan penelitian. Namun, kepentingan ini harus seimbang dengan hak dan kebebasan subjek data—jika kepentingan pengendali secara jelas tertimpa oleh kepentingan atau hak subjek data, tidak dapat mengandalkan legitimate interest. Dasar hukum ini memerlukan Legitimate Interest Assessment (LIA) yang mendalam dan terdokumentasi dengan baik.
| KONSEP KUNCI | Tidak semua dasar hukum cocok untuk semua organisasi dan tujuan pemrosesan. Organisasi komersial biasanya mengandalkan persetujuan, pemenuhan perjanjian, dan kepentingan yang sah. Organisasi publik mengandalkan tugas publik dan kewajiban hukum. Pemilihan dasar hukum harus didokumentasikan dan direviu secara berkala ketika model bisnis atau kewajiban regulasi berubah. |
Panduan Memilih Dasar Hukum yang Tepat
Memilih dasar hukum yang tepat memerlukan analisis terhadap tiga faktor utama:
(1) sifat pemrosesan dan tujuan yang ingin dicapai,
(2) apakah pemrosesan tersebut diperlukan oleh peraturan atau kontrak, dan
(3) posisi dan kepentingan organisasi itu sendiri. Organisasi harus mengembangkan decision tree atau matriks yang memetakan setiap kegiatan pemrosesan terhadap dasar hukum yang tersedia, lalu mendokumentasikan alasan pemilihan dasar hukum tertentu dalam Register Pemrosesan Data (Processing Activity Record) atau dokumen serupa.
Tabel berikut membandingkan karakteristik enam dasar hukum, termasuk tingkat kontrol subjek data, fleksibilitas pengendali, dan kompleksitas dokumentasi:
| Dasar Hukum | Kondisi Penggunaan | Kontrol Subjek Data | Kompleksitas |
|---|---|---|---|
| Persetujuan | Pemrosesan opsional tanpa kewajiban hukum atau kontraktual | Sangat tinggi (dapat ditarik) | Tinggi (harus bebas, spesifik, terinformasi) |
| Pemenuhan Perjanjian | Diperlukan untuk melaksanakan kontrak atau pra-kontrak | Rendah (tidak dapat ditolak) | Rendah hingga sedang |
| Kewajiban Hukum | Diwajibkan oleh peraturan perundang-undangan | Tidak ada (kewajiban publik) | Sedang (identifikasi dasar hukum spesifik) |
| Kepentingan Vital | Situasi hidup-mati atau darurat kesehatan | Tidak ada (situasi emergency) | Sangat tinggi (dokumentasi ekstensif) |
| Tugas Publik | Menjalankan fungsi pemerintah atau kepentingan publik | Terbatas (hak akses tetap ada) | Sedang hingga tinggi |
| Kepentingan yang Sah | Kepentingan komersial atau organisasi yang seimbang | Sedang (hak objeksi) | Sangat tinggi (LIA wajib) |
Implikasi Pemilihan Dasar Hukum Terhadap Hak Subjek Data
Setiap dasar hukum memiliki implikasi berbeda terhadap hak-hak yang dapat dinikmati oleh subjek data. Jika pemrosesan didasarkan pada persetujuan, subjek data memiliki hak untuk menarik persetujuan kapan saja, yang menyebabkan kewajiban pengendali untuk menghentikan pemrosesan segera setelah penarikan diberitahukan. Sebaliknya, jika pemrosesan didasarkan pada kewajiban hukum, subjek data tidak memiliki hak untuk menolak pemrosesan, tetapi tetap berhak atas akses data dan transparansi tentang pemrosesan tersebut.
Untuk dasar hukum pemenuhan perjanjian, subjek data tidak dapat menolak pemrosesan yang perlu untuk memenuhi kontrak tanpa mengakhiri perjanjian itu sendiri. Untuk kepentingan vital, tidak ada hak untuk keberatan karena situasinya bersifat emergency. Untuk tugas publik dan kepentingan yang sah, subjek data memiliki hak untuk mengajukan keberatan atas pemrosesan, dan pengendali harus mengevaluasi keberatan tersebut dengan serius—jika alasan keberatan lebih kuat dari alasan pemrosesan, pengendali harus menghentikan pemrosesan.
| PENTING | Dokumentasi dasar hukum pemrosesan merupakan beban pembuktian pengendali. Jika terjadi sengketa atau audit, pengendali harus mampu menunjukkan bahwa: (a) dasar hukum yang dipilih memenuhi kriteria UU PDP, (b) pemrosesan memang diperlukan untuk tujuan yang dinyatakan, dan (c) telah dilakukan analisis mendalam (khususnya untuk legitimate interest dan kepentingan vital). Kelalaian dokumentasi dapat diinterpretasikan sebagai pemrosesan tanpa dasar hukum, yang merupakan pelanggaran berat. |
Perubahan Dasar Hukum di Tengah Pemrosesan
Situasi sering terjadi di mana organisasi harus mengubah dasar hukum pemrosesan data yang telah berjalan, misalnya ketika kewajiban hukum baru muncul atau ketika organisasi ingin memperluas penggunaan data untuk tujuan baru. Ketika dasar hukum diubah, organisasi harus memastikan bahwa semua data yang telah dikumpulkan di bawah dasar hukum lama tetap dapat diproses di bawah dasar hukum baru. Ini berarti bahwa jika data awalnya dikumpulkan atas dasar persetujuan, persetujuan itu tidak secara otomatis menjadi valid untuk tujuan dan dasar hukum yang baru.
Tabel berikut menunjukkan skenario perubahan dasar hukum dan implikasi praktisnya:
| Skenario Perubahan | Dasar Lama | Dasar Baru | Tindakan Wajib |
|---|---|---|---|
| Memperluas penggunaan data pelanggan | Pemenuhan perjanjian (order) | Kepentingan yang sah (marketing) | Lakukan LIA; pertimbangkan opt-out untuk kontrol subjek data |
| Kewajiban regulasi baru muncul | Persetujuan | Kewajiban hukum | Perbarui dokumen kepatuhan; tidak perlu persetujuan baru |
| Hak subjek data yang diingatkan | Kepentingan yang sah | Persetujuan | Permintaan ulang persetujuan; jeda pemrosesan sampai persetujuan diterima |
| Merger/akuisisi dengan ekspansi tujuan | Kepentingan yang sah (operasi existing) | Kepentingan yang sah (tujuan baru) | Perbarui LIA; komunikasikan kepada subjek data tentang tujuan baru |
| Data dikumpulkan dalam konteks medis | Pemenuhan perjanjian (perawatan) | Tugas publik (epidemiologi) | Anonimasi jika memungkinkan; atau dapatkan persetujuan tambahan untuk tujuan penelitian |
| Subjek data menolak dasar sah sebelumnya | Kepentingan yang sah (active) | Persetujuan | Interpretasikan keberatan sebagai penarikan dasar sah; permintaan persetujuan baru untuk lanjutkan |
Dokumentasi dan Audit Dasar Hukum Pemrosesan
Dokumentasi dasar hukum pemrosesan merupakan syarat kepatuhan yang tidak dapat ditawar-tawar. Setiap kegiatan pemrosesan harus didukung oleh catatan yang jelas menunjukkan:
(a) identitas subjek data dan jenis data yang diproses,
(b) dasar hukum yang digunakan,
(c) penjelasan singkat tentang mengapa dasar hukum itu dipilih,
(d) analisis mendalam untuk dasar hukum kompleks (misalnya LIA untuk legitimate interest), dan
(e) tanggal dokumentasi serta pembaruan terakhir. Register Pemrosesan Data (Processing Activity Record) harus disimpan dalam format yang mudah diakses dan direviu secara teratur, minimal tahunan atau ketika ada perubahan signifikan dalam operasi pemrosesan.
Audit internal terhadap dasar hukum pemrosesan harus dilakukan secara berkala untuk memastikan bahwa:
(1) semua kegiatan pemrosesan telah diidentifikasi,
(2) setiap kegiatan memiliki dasar hukum yang sah,
(3) dokumentasi dasar hukum cukup detail dan akurat, dan
(4) dasar hukum masih relevan dengan operasi yang sedang berjalan. Jika audit menemukan pemrosesan tanpa dasar hukum yang jelas atau dengan dasar hukum yang lemah, organisasi harus segera mengambil tindakan perbaikan—baik dengan mengubah dasar hukum, mendapatkan persetujuan baru, atau menghentikan pemrosesan jika tidak ada dasar hukum yang cocok.