Hak Atas Informasi Pemrosesan (Pasal 6–7)
Pasal 6 dan Pasal 7 UU PDP mewajibkan pengontrol data untuk memberikan informasi kepada subjek data pada saat pengumpulan data pribadi terjadi. Informasi ini harus diberikan dalam bahasa yang jelas, mudah dipahami, dan dapat diakses oleh subjek data. Ketika subjek data memberikan data mereka (secara aktif maupun pasif), organisasi harus segera mengungkapkan identitas pengontrol, tujuan pemrosesan, dasar hukum pemrosesan, jangka waktu penyimpanan data, penerima data, dan detail mengenai transfer internasional.
Identitas pengontrol harus mencakup nama lengkap atau nama badan hukum, alamat fisik, alamat email, nomor telepon, dan nama Data Protection Officer (DPO) jika ada. Tujuan pemrosesan harus spesifik: bukan hanya "kebutuhan bisnis umum" tetapi pernyataan konkret seperti "pemrosesan untuk verifikasi akun", "analisis perilaku konsumen untuk personalisasi konten", atau "pemenuhan kewajiban pajak". Dasar hukum harus jelas mengidentifikasi apakah pemrosesan berdasarkan consent (persetujuan), kontrak, kewajiban hukum, tugas publik, kepentingan vital, atau kepentingan sah.
Jangka waktu penyimpanan data harus spesifik (bukan "selamanya") atau kriteria untuk menentukan jangka waktu tersebut. Penerima data harus diidentifikasi dengan jelas: kategori mana saja yang akan menerima data (misalnya, "mitra pemasaran", "otoritas pajak", "pihak ketiga analitik"). Jika data akan ditransfer ke luar Indonesia, organisasi harus mengungkapkan tujuan transfer dan tingkat perlindungan data di negara tujuan.
| KONSEP KUNCI | Hak atas informasi pemrosesan adalah fondasi transparansi. Informasi harus diberikan "segera" saat pengumpulan tanpa penundaan yang tidak perlu. Organisasi harus menggunakan bahasa yang jelas, menghindari jargon hukum yang rumit, dan menyediakan format yang dapat diakses (cetak, digital, audio) sesuai kebutuhan subjek data. Ketiadaan informasi atau informasi yang tidak lengkap dapat menjadi dasar keluhan ke LPDP. |
Hak Akses (Pasal 12)
Pasal 12 mengatur hak akses (right of access). Setiap subjek data memiliki hak untuk mengakses data pribadi mereka kapan saja selama data masih disimpan oleh pengontrol. Hak akses ini tidak terbatas pada data yang dikumpulkan secara aktif oleh subjek data; ini mencakup semua data pribadi yang dimiliki organisasi tentang individu tersebut, termasuk data yang disimpulkan atau diturunkan (derived data) berdasarkan aktivitas mereka.
Permintaan akses harus direspons dalam 3×24 jam (tiga hari kerja). Organisasi harus memberikan salinan lengkap data pribadi dalam format yang mudah dipahami. Untuk data elektronik, ini dapat berupa dokumen digital (PDF, spreadsheet, atau file text). Untuk data dalam sistem basis data kompleks, organisasi dapat menyediakan laporan yang menggabungkan data dari berbagai sumber. Inti dari respons adalah bahwa subjek data dapat memahami data apa yang dipegang tentang mereka, bagaimana data digunakan, siapa yang mengaksesnya, dan berapa lama disimpan.
Prosedur verifikasi identitas adalah komponen penting dari proses akses. Organisasi harus memverifikasi bahwa permintaan berasal dari subjek data itu sendiri atau dari perwakilan yang berwenang (misalnya, wali orang tua untuk anak di bawah 17 tahun, kuasa hukum, atau penerima hak). Verifikasi dapat dilakukan melalui berbagai metode: perbandingan tanda tangan, verifikasi email dengan link unik yang dikirim ke alamat di catatan organisasi, pertanyaan keamanan yang dijawab dengan benar, atau identifikasi offline (menunjukkan KTP/paspor). Verifikasi harus seimbang: cukup ketat untuk mencegah akses tidak sah, tetapi tidak begitu ketat sehingga menjadi penghalang praktis.
Format Respons dan Alur Kerja Akses
Organisasi dapat merespons permintaan akses dalam berbagai format, asal format tersebut dapat dimengerti oleh subjek data. Format digital (PDF, dokumen Word, spreadsheet CSV/Excel) biasanya lebih efisien dan ramah lingkungan. Namun, subjek data dapat meminta salinan fisik, dan organisasi harus mengakomodasi permintaan ini (meskipun dapat mengenakan biaya wajar untuk penyalinan fisik dan pengiriman). Jika data melibatkan file multimedia (foto, audio, video), file-file ini harus disertakan dalam format asli atau format alternatif yang umum digunakan.
Organisasi harus mengembangkan alur kerja internal yang jelas untuk menangani permintaan akses. Alur kerja harus mencakup: (1) saluran intake untuk menerima permintaan (web form, email, media sosial, aplikasi mobile), (2) pencatatan permintaan dengan timestamp, (3) verifikasi identitas pemohon dalam waktu 24 jam, (4) pengumpulan data dari semua sumber yang relevan (database aplikasi, sistem CRM, sistem email, dokumen fisik), (5) redaksi data pihak ketiga jika diperlukan (data yang melibatkan hak privasi orang lain), (6) kompilasi respons dalam format yang jelas, dan (7) pengiriman respons sebelum berakhir 3×24 jam.
Untuk organisasi besar dengan banyak sistem data, pengumpulan data dapat menjadi tantangan. Tidak semua organisasi memiliki "single source of truth" yang terpusat. Data mungkin tersebar di CRM, sistem email, dokumen berbasis cloud, database e-commerce, atau sistem warisannya. Organisasi harus memiliki pemetaan data yang jelas (data mapping atau data inventory) yang mengidentifikasi di mana setiap jenis data disimpan dan siapa yang bertanggung jawab untuk mengaksesnya.
| PENTING | Organisasi tidak dapat menolak permintaan akses hanya karena data tersebar di berbagai sistem atau pengumpulan data memerlukan usaha signifikan. Kewajiban untuk merespons akses bersifat mutlak. Organisasi harus menginvestasikan dalam teknologi dan proses untuk memastikan dapat merespon akses secara efisien, bahkan dari sistem yang kompleks. Kegagalan untuk merespons dapat mengakibatkan hukuman dari LPDP. |
Penanganan Permintaan yang Berlebihan atau Tidak Berdasar
UU PDP memungkinkan organisasi untuk menolak atau menunda respons jika permintaan "berlebihan" atau "tidak berdasar". Permintaan berlebihan dapat didefinisikan sebagai permintaan yang mengajukan volume data yang sangat besar atau meminta akses berkali-kali dalam jangka waktu singkat tanpa perubahan kondisi. Permintaan tidak berdasar adalah permintaan yang jelas dimaksudkan untuk mengganggu operasi organisasi atau tidak memiliki dasar hukum yang sah.
Jika organisasi menolak permintaan karena alasan berlebihan atau tidak berdasar, organisasi harus memberitahu subjek data secara tertulis dalam 3×24 jam, dengan alasan spesifik untuk penolakan dan informasi tentang hak subjek data untuk mengajukan keluhan kepada LPDP. Organisasi harus hati-hati dalam menerapkan pengecualian ini, karena keputusan untuk menolak dapat menjadi subyek dari penyelidikan LPDP dan litigasi. Organisasi harus mendokumentasikan dengan cermat mengapa permintaan dianggap berlebihan (misalnya, "permintaan kelima dalam sebulan terakhir tanpa perubahan kondisi pemrosesan", atau "permintaan mengakses seluruh email selama 10 tahun yang akan menghasilkan file >50GB").
Tabel Perbandingan: Kewajiban Informasi di Titik Pengumpulan Data
| Elemen Informasi | UU PDP Pasal 6–7 | GDPR Pasal 13–14 | Opsional atau Wajib? |
|---|---|---|---|
| Identitas Pengontrol | Nama, alamat, email, telepon, DPO | Nama, alamat kontak, DPO | Wajib |
| Tujuan Pemrosesan | Spesifik, tidak umum | Spesifik, konkret | Wajib |
| Dasar Hukum | Consent, kontrak, kewajiban, tugas, vital, sah | Sama, plus artikel spesifik | Wajib |
| Jangka Waktu Penyimpanan | Spesifik atau kriteria | Spesifik atau kriteria | Wajib |
| Penerima Data | Kategori penerima yang jelas | Kategori penerima jelas | Wajib |
| Hak Subjek Data | Akses, hapus, keberatan, dll. | Akses, hapus, portabilitas, keberatan | Wajib |
| Transfer Internasional | Tujuan negara, tingkat perlindungan | Negara tujuan, mekanisme transfer | Wajib jika transfer terjadi |
Alur Kerja Respons Akses: Checklist Praktis
| Tahap Alur Kerja | Aktivitas | Durasi Maksimal | Bukti Kepatuhan |
|---|---|---|---|
| Intake | Terima permintaan akses dari saluran apa pun (email, form web, telepon). Catat waktu penerimaan dengan timestamp. | 2 jam | Log penerimaan permintaan dengan tanggal/waktu |
| Verifikasi Identitas | Verifikasi bahwa pemohon adalah subjek data atau perwakilan sah. Gunakan metode yang proporsional. | 24 jam | Catatan verifikasi (email konfirmasi, jawaban pertanyaan keamanan, cek KTP) |
| Pengumpulan Data | Identifikasi semua sistem yang berisi data subjek data. Kumpulkan dari sumber dengan koordinasi lintas tim. | 36 jam | Daftar sistem yang dicek, waktu pengumpulan per sistem |
| Redaksi & Kompilasi | Redaksi data pihak ketiga jika diperlukan. Kompilasi dalam format yang mudah dipahami. | 48 jam | Dokumen redaksi jika ada, format final respons |
| Pengiriman | Kirim respons kepada subjek data melalui saluran yang aman. Catat waktu pengiriman. | 72 jam | Email pengiriman, bukti penerimaan atau log unduhan |
| Dokumentasi | Catat permintaan, respons, waktu, dan bukti kepatuhan dalam sistem manajemen hak subjek data. | Segera | Rekam permintaan dalam DSR management system |
Integrasi Hak Akses dengan Hak Atas Informasi
Hak akses (Pasal 12) dan hak atas informasi (Pasal 6–7) saling terkait namun berbeda. Hak atas informasi adalah kewajiban proaktif organisasi untuk mengungkapkan informasi saat pengumpulan data. Hak akses adalah hak reaktif subjek data untuk meminta akses ke data mereka kapan saja. Praktik terbaik adalah mengintegrasikan kedua hak ini dalam operasi organisasi.
Saat penerimaan respons akses, organisasi dapat menyertakan ringkasan informasi pemrosesan (dari Pasal 6–7) sebagai bagian dari respons. Ini membantu subjek data memahami tidak hanya data apa yang dimiliki organisasi, tetapi juga bagaimana data digunakan, siapa yang mengaksesnya, dan berapa lama disimpan. Dengan mengintegrasikan informasi ini, organisasi dapat membuat proses respons akses lebih komprehensif dan meningkatkan kepercayaan subjek data.