Kerangka Hak Subjek Data dalam UU PDP
UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) menetapkan sembilan hak fundamental bagi setiap subjek data pribadi. Hak-hak ini dirancang untuk memberikan individu kontrol penuh atas informasi pribadi mereka dan memastikan organisasi yang memproses data beroperasi dengan transparansi dan akuntabilitas. Sembilan hak ini tersebar di Pasal 6 hingga Pasal 20 UU PDP dan mencakup spektrum lengkap dari hak informasi di awal siklus data hingga hak mendapatkan ganti rugi atas pelanggaran.
Setiap hak memiliki trigger condition yang spesifik, timeline respons yang ditetapkan undang-undang (dalam banyak kasus 3×24 jam), pengecualian yang diperbolehkan secara hukum, dan implikasi praktis bagi organisasi yang mengelola data. Pemahaman komprehensif terhadap kesembilan hak ini adalah fondasi dari kepatuhan UU PDP dan membantu organisasi mengembangkan infrastruktur, proses, dan kebijakan yang mendukung implementasi.
| KONSEP KUNCI | Sembilan hak subjek data merupakan pilar utama UU PDP yang merefleksikan standar perlindungan data global. Setiap hak memiliki trigger condition unik, timeline legal 3×24 jam, dan pengecualian spesifik. Organisasi harus merancang proses operasional yang dapat mengakomodasi setiap jenis permintaan dengan efisien dan akurat. |
Ikhtisar Kesembilan Hak Subjek Data
Hak pertama adalah hak atas informasi pemrosesan (Pasal 6–7). Ketika organisasi mengumpulkan data pribadi, mereka wajib memberitahu subjek data tentang identitas pengontrol, tujuan pemrosesan, dasar hukum, periode retensi data, penerima data, dan rincian transfer internasional (jika ada). Informasi ini harus disampaikan secara jelas, transparan, dan dapat diakses.
Hak kedua adalah hak akses (Pasal 12). Subjek data berhak mengakses data pribadi mereka kapan saja. Organisasi harus merespons permintaan akses dalam 3×24 jam dengan menyediakan salinan data dalam format yang mudah dipahami. Hak ketiga adalah hak untuk memperbarui dan melengkapi data (Pasal 13). Jika data tidak akurat atau tidak lengkap, subjek data dapat meminta koreksi.
Hak keempat adalah hak untuk menghapus data pribadi (Pasal 16), sering disebut sebagai "right to be forgotten". Organisasi harus menghapus data dalam 3×24 jam ketika kondisi pemicu terpenuhi (data tidak lagi diperlukan, dasar hukum hilang, atau pemrosesan tidak sah). Pengecualian meliputi kewajiban hukum untuk menyimpan data dan kepentingan publik.
Hak kelima adalah hak untuk menghentikan pemrosesan (Pasal 15). Subjek data dapat membatasi atau menghentikan penggunaan data mereka untuk tujuan tertentu, terutama pemrosesan berdasarkan kepentingan sah organisasi. Hak keenam adalah hak mendapatkan salinan data pribadi (Pasal 12). Ini memberikan subjek data dokumen kausal atas informasi mereka. Hak ketujuh adalah hak portabilitas data (Pasal 18), memungkinkan subjek data untuk menerima data pribadi mereka dalam format terstruktur dan dapat dibaca mesin, dengan kemampuan untuk mentransfernya ke pengontrol lain.
Hak kedelapan adalah hak keberatan atas pemrosesan otomatis dan profiling (Pasal 19–20). Subjek data dapat menolak keputusan yang didasarkan sepenuhnya pada pemrosesan otomatis jika keputusan tersebut menghasilkan efek hukum atau dampak signifikan lainnya. Hak kesembilan adalah hak mendapatkan kompensasi atau ganti rugi (Pasal 67). Jika subjek data menderita kerugian materi atau immateri akibat pelanggaran UU PDP, mereka berhak mengajukan klaim ganti rugi kepada pengontrol data atau pemroses data.
Timeline Respons dan Kerangka Implementasi
Mayoritas hak memiliki timeline respons 3×24 jam (tiga hari kerja) yang dimulai dari penerimaan permintaan yang sah. Ini termasuk hak akses (Pasal 12), hak penghapusan (Pasal 16), hak portabilitas (Pasal 18), dan hak untuk menghentikan pemrosesan (Pasal 15). Organisasi dapat memperpanjang waktu respons jika permintaan sangat kompleks atau volumenya tinggi, namun perpanjangan harus dikomunikasikan kepada subjek data dengan alasan yang jelas.
Hak atas informasi pemrosesan (Pasal 6–7) tidak memiliki timeline respons eksplisit, tetapi informasi harus disampaikan "segera" saat pengumpulan data dan dalam format yang mudah diakses. Untuk hak keberatan atas pemrosesan otomatis (Pasal 19–20), organisasi harus "segera" memberikan kesempatan kepada subjek data untuk keberatan. Ganti rugi (Pasal 67) tidak memiliki timeline respons tertentu, tetapi klaim harus diajukan dalam batas waktu yang ditentukan hukum perdata.
| PENTING | Ketiadaan timeline respons tidak berarti organisasi dapat menunda hak atas informasi atau hak keberatan otomatis. "Segera" berarti tanpa penundaan yang tidak perlu dan sepatutnya. Organisasi harus menetapkan SLA internal yang ketat (idealnya 24 jam) untuk memastikan kepatuhan proaktif, bahkan untuk hak tanpa timeline hukum eksplisit. |
Tabel Perbandingan: Hak UU PDP vs. GDPR
| Hak Subjek Data | UU PDP (Pasal) | GDPR (Pasal) | Timeline Respons |
|---|---|---|---|
| Hak Atas Informasi | Pasal 6–7 | Pasal 13–14 | Segera saat pengumpulan |
| Hak Akses | Pasal 12 | Pasal 15 | 3×24 jam (dapat diperpanjang) |
| Hak Penghapus | Pasal 16 | Pasal 17 | 3×24 jam (dapat diperpanjang) |
| Hak Portabilitas | Pasal 18 | Pasal 20 | 3×24 jam (dapat diperpanjang) |
| Hak Keberatan Otomatis | Pasal 19–20 | Pasal 22 | Segera tanpa penundaan |
| Hak Kompensasi | Pasal 67 | Pasal 82 | Sesuai gugatan perdata |
Pengecualian Umum dan Keseimbangan Hak
Meskipun UU PDP memberikan hak yang kuat kepada subjek data, undang-undang juga mengizinkan organisasi untuk menerapkan pengecualian dalam situasi tertentu. Pengecualian ini dirancang untuk menyeimbangkan hak individu dengan kepentingan publik, keamanan nasional, penegakan hukum, dan operasi bisnis yang sah.
Pengecualian umum meliputi: (1) kewajiban hukum untuk menyimpan data (misalnya, catatan pajak harus disimpan selama 5–10 tahun), (2) kepentingan publik yang vital (misalnya, keamanan nasional atau kesehatan masyarakat), (3) tugas publik yang ditetapkan oleh peraturan perundangan, (4) penelitian dan pengarsipan untuk kepentingan publik, dan (5) klaim hukum atau pertahanan hukum (data diperlukan sebagai bukti). Organisasi harus mendokumentasikan dengan cermat dasar hukum untuk setiap penolakan atau pembatasan hak, karena Lembaga Perlindungan Data Pribadi (LPDP) dapat menginvestigasi keputusan ini.
Komparasi Detil Hak Subjek Data: UU PDP vs. Regulasi Global
| Dimensi Perbandingan | UU PDP | GDPR (EU) | PIPEDA (Kanada) |
|---|---|---|---|
| Trigger Utama Hak | Pengumpulan data apapun | Pemrosesan apapun | Pengumpulan untuk kegiatan komersial |
| Timeline Respons Default | 3×24 jam untuk akses/hapus | 30 hari (dapat diperpanjang 60 hari) | 30 hari untuk akses (perpanjang max 30 hari) |
| Hak Portabilitas Ruang Lingkup | Data berbasis consent/kontrak saja | Data berbasis consent/kontrak saja | Data yang dapat diidentifikasi (lebih luas) |
| Perlindungan Profiling Otomatis | Pasal 19–20 (keputusan signifikan) | Pasal 22 (efek hukum atau dampak serupa) | Tidak ada hak eksplisit untuk profiling |
| Ganti Rugi Kerugian | Pasal 67 (melalui LPDP atau pengadilan) | Pasal 82 (tanggung jawab ketat), perdata langsung | Tidak ada ganti rugi materi, integritas lebih |
| Biaya Respons Hak | Gratis untuk hak dasar | Gratis, dapat dikenakan biaya untuk maniupulasi | Dapat dikenakan biaya moderat |
| Opsi Keberatan Umum | Pasal 15 (pembatasan pemrosesan) | Pasal 21 (keberatan dasar kepentingan sah) | Keberatan untuk pemasaran langsung saja |
Implikasi Praktis untuk Organisasi
Implementasi efektif dari sembilan hak subjek data memerlukan investasi signifikan dalam infrastruktur teknologi, proses operasional, dan pelatihan staf. Organisasi harus membangun sistem manajemen permintaan hak subjek data (DSR management system) yang dapat menerima, memverifikasi, memproses, dan mendokumentasikan setiap permintaan. Sistem ini harus mengintegrasikan dengan sistem penyimpanan data utama untuk mengidentifikasi data yang sesuai dengan cepat.
Selain infrastruktur teknis, organisasi memerlukan kejelasan terkait peran dan tanggung jawab dalam merespons hak. Ini termasuk penetapan owner untuk setiap fungsi (intake, verifikasi, pengumpulan data, pemenuhan, dokumentasi), SLA internal yang ketat, dan eskalasi prosedur untuk permintaan kompleks. Pelatihan staf adalah kunci: penerimaan telepon, email, dan saluran lain harus terlatih untuk mengenali permintaan hak subjek data dan merutenya dengan benar ke tim yang tepat. Tanpa mekanisme intake yang solid, organisasi berisiko melewatkan permintaan atau merespons terlambat.