Kondisi Pemicu Kewajiban Penghapusan (Pasal 16)
Pasal 16 UU PDP mengatur hak subjek data untuk meminta penghapusan data pribadi mereka, sering disebut sebagai "right to be forgotten" atau "hak untuk dilupakan". Penghapusan data bukan hanya tindakan administratif sederhana; ini adalah kewajiban operasional yang kompleks yang melibatkan identifikasi data, verifikasi kondisi pemicu, penghapusan teknis, dan koordinasi dengan pihak ketiga.
Kondisi pemicu penghapusan adalah situasi ketika organisasi secara hukum wajib menghapus data. Pertama, data pribadi tidak lagi diperlukan untuk mencapai tujuan pengumpulan data asli. Jika organisasi mengumpulkan data untuk keperluan verifikasi akun satu kali, dan verifikasi telah selesai, data itu tidak lagi diperlukan. Kedua, dasar hukum untuk pemrosesan tidak lagi ada. Jika pemrosesan berdasarkan consent dan subjek data menarik kembali consent, atau jika pemrosesan berdasarkan kontrak dan kontrak berakhir, organisasi harus menghapus data kecuali ada dasar hukum lain.
Ketiga, subjek data dapat menarik kembali consent yang diberikan sebelumnya atau mengajukan keberatan yang sah, dan tidak ada dasar hukum alternatif untuk terus memproses. Keempat, data pribadi telah diproses secara tidak sah (unlawful processing), misalnya karena organisasi tidak memiliki dasar hukum yang sah atau menggunakan data untuk tujuan yang tidak diungkapkan. Kelima, ada kewajiban hukum untuk menghapus data (misalnya, undang-undang antifraude yang mengharuskan penghapusan data palsu atau penipuan).
| KONSEP KUNCI | Hak penghapusan bukan hak absolut. UU PDP mengizinkan organisasi untuk menolak penghapusan jika ada dasar hukum yang sah untuk terus menyimpan data. Organisasi harus mengkategorikan data mereka berdasarkan kondisi pemicu penghapusan dan membangun proses yang dapat secara otomatis mengidentifikasi data yang memenuhi syarat untuk penghapusan saat dasar hukum berakhir. |
Pengecualian Hukum dari Kewajiban Penghapusan
UU PDP mengakui bahwa dalam beberapa situasi, kepentingan organisasi atau publik lebih berat daripada hak subjek data untuk meminta penghapusan. Organisasi dapat menolak penghapusan data jika: (1) ada kewajiban hukum untuk menyimpan data (misalnya, undang-undang perbankan mengharuskan penyimpanan catatan transaksi selama 5–10 tahun untuk audit dan anti-pencucian uang), (2) data diperlukan untuk kepentingan publik yang vital (misalnya, data kesehatan publik untuk pencegahan epidemi, atau data terkait kejahatan untuk penegakan hukum), (3) data diperlukan untuk melaksanakan tugas publik yang ditetapkan oleh undang-undang (misalnya, otoritas pajak menyimpan data pajak), (4) data adalah bagian dari arsip, penelitian, atau statistik untuk kepentingan publik, atau (5) data diperlukan untuk mendirikan, melaksanakan, atau membela klaim hukum.
Ketika organisasi menolak permintaan penghapusan, organisasi harus memberitahu subjek data secara tertulis dalam 3×24 jam dengan alasan spesifik penolakan, dasar hukum untuk penolakan, dan informasi tentang hak subjek data untuk mengajukan keluhan kepada LPDP. Organisasi harus sangat hati-hati dalam menerapkan pengecualian ini, karena penyalahgunaan pengecualian dapat mengakibatkan denda atau tindakan pelanggaran.
Prosedur Penghapusan Teknis dan Standar Keamanan
Penghapusan data adalah proses teknis yang harus memenuhi standar keamanan tinggi. Menghapus file dari desktop atau menghapus catatan dari antarmuka pengguna bukan penghapusan yang cukup; organisasi harus memastikan bahwa data tidak dapat dipulihkan melalui teknik forensik atau akses sistem backend. Ada tiga metode teknis utama untuk penghapusan aman:
Pertama, overwriting fisik: data asli ditimpa dengan data acak atau nol beberapa kali (standar Gutmann menggunakan 35 pass overwriting). Metode ini berguna untuk hard disk dan solid-state drives. Kedua, degaussing: menggunakan medan magnet kuat untuk menghapus data pada media penyimpanan magnetik. Metode ini cepat dan sangat efektif untuk hard disk lama tetapi tidak cocok untuk SSD modern. Ketiga, enkripsi kriptografi (cryptographic erasure): jika data dienkripsi dengan kunci enkripsi, menghapus kunci secara efektif membuat data tidak dapat diakses tanpa menghapus data fisik.
Organisasi harus memiliki kebijakan penghapusan yang menentukan metode penghapusan untuk setiap jenis data dan media penyimpanan. Untuk data dalam database SQL atau NoSQL, organisasi harus menjalankan perintah DELETE yang diverifikasi melalui log transaksi. Untuk email, organisasi harus menggunakan fungsi penghapusan permanen (hard delete) bukan soft delete. Untuk backup dan archive, penghapusan harus mencakup semua salinan backup; data dalam backup lama harus dihapus saat backup mencapai akhir siklus retensinyanya.
Timeline Penghapusan dan Koordinasi dengan Pihak Ketiga
Organisasi harus menghapus data dalam 3×24 jam dari penerimaan permintaan penghapusan yang sah dan terverifikasi. Namun, kompleksitas meningkat ketika data telah dibagikan dengan pihak ketiga. Organisasi tidak hanya harus menghapus data dari sistem mereka sendiri, tetapi juga harus menginformasikan pihak ketiga yang menerima data sebelumnya untuk menghapus data dari sistem mereka.
Pasal 16 UU PDP mengharuskan organisasi untuk menginformasikan kepada penerima data tentang permintaan penghapusan. Prosedur ini disebut "downstream deletion notification". Organisasi harus memiliki pendaftaran yang jelas tentang siapa saja yang menerima data (processor, penerima dalam transfer internasional, partner bisnis) dan informasi kontak mereka. Ketika permintaan penghapusan diterima, organisasi harus dengan cepat menghubungi setiap penerima dan meminta mereka untuk menghapus data.
Tantangan praktis muncul dalam koordinasi ini. Jika penerima data tidak merespons atau menolak menghapus, organisasi masih bertanggung jawab kepada LPDP dan subjek data untuk memastikan penghapusan terjadi. Organisasi harus memiliki klausul kontraktual yang jelas dengan semua penerima data yang mengharuskan kepatuhan terhadap permintaan penghapusan. Organisasi juga harus membuat catatan usaha yang dilakukan untuk menginformasikan penerima, durasi waktu yang ditunggu, dan respons yang diterima.
| PENTING | Organisasi tidak dapat hanya "meminta" pihak ketiga untuk menghapus data dan kemudian tidak melakukan tindakan lanjutan. Organisasi harus memiliki mekanisme pengawasan untuk memastikan bahwa penerima data benar-benar menghapus data dalam waktu yang wajar. Jika penerima tidak mematuhi, organisasi dapat dipertanyakan oleh LPDP atas dasar kelalaian dalam mengawasi pemroses atau penerima data. |
Penghapusan vs. Pseudonymization dan Backup
Dalam beberapa kasus, organisasi dapat menggunakan pseudonymization (penggantian pengenal dengan pengganti) sebagai alternatif penghapusan fisik. Jika data dipseudonymize dengan cara yang tidak dapat dipulihkan kembali ke identitas asli, data tersebut secara hukum dianggap tidak lagi menjadi "data pribadi". Pseudonymization dapat mencakup penghapusan identif asli dan penggantian dengan ID hash atau acak. Namun, pseudonymization harus benar-benar tidak dapat dipulihkan; jika organisasi masih menyimpan pemetaan dari ID hash kembali ke identitas asli, data itu masih dianggap data pribadi.
Backup dan archive adalah area khusus perhatian. Organisasi biasanya menjaga backup sistem untuk pemulihan bencana. Data dalam backup dapat mencakup data yang seharusnya dihapus berdasarkan permintaan penghapusan. Jika backup dikopi dengan frekuensi tinggi (harian, mingguan), backup lama yang berisi data yang dihapus akan segera digantikan oleh backup baru tanpa data itu. Namun, jika backup disimpan selama berbulan-bulan atau bertahun-tahun untuk pemulihan jangka panjang, organisasi harus memiliki strategi untuk menangani permintaan penghapusan dalam konteks backup lama.
Praktik terbaik adalah: (1) mengenkripsi backup sehingga jika backup rusak atau dicuri, data tidak dapat diakses, (2) menyimpan backup hanya untuk durasi yang diperlukan untuk pemulihan bencana (biasanya 30–90 hari), (3) jika backup jangka panjang diperlukan untuk compliance, menggunakan pseudonymization pada data sensitif, atau (4) untuk permintaan penghapusan kritis, melakukan pencarian data dalam backup lama dan menghapus catatan individual jika dimungkinkan.
Tabel Perbandingan: Pengecualian Penghapusan Berdasarkan Regulasi
| Kategori Pengecualian | UU PDP Pasal 16 | GDPR Pasal 17(3) | Implikasi Praktis |
|---|---|---|---|
| Kewajiban Hukum Retensi | Ya, undang-undang perpajakan/perbankan | Ya, hukum Uni Eropa/negara anggota | Data disimpan dalam periode yang ditetapkan, kemudian dihapus |
| Kepentingan Publik Vital | Ya, kesehatan masyarakat, keamanan | Ya, vital interests kepentingan publik | Evaluasi case-by-case, dokumentasi alasan |
| Tugas Publik | Ya, fungsi administratif pemerintah | Ya, melaksanakan tugas publik | Organisasi publik dapat menolak berdasarkan wewenang hukum |
| Penelitian & Arsip Publik | Ya, penelitian ilmiah, statistik | Ya, purposes of archiving/research | Data dipertahankan dengan pseudonymization bila memungkinkan |
| Klaim Hukum | Ya, mendirikan/melaksanakan/membela hak hukum | Ya, menetapkan/menjalankan/membela klaim hukum | Data disimpan selama ada risiko litigasi, dihapus setelahnya |
| Kepentingan Sah Organisasi | Tidak eksplisit di Pasal 16 | Tidak diakui sebagai pengecualian | Organisasi harus menemukan dasar hukum lain untuk retensi |
Dokumentasi Penghapusan dan Bukti Kepatuhan
| Elemen Dokumentasi | Yang Harus Dicatat | Format & Media | Durasi Penyimpanan |
|---|---|---|---|
| Permintaan Penghapusan | Tanggal penerimaan, saluran (email/form), identitas pemohon (name, email, id), status verifikasi | Log sistem DSR atau spreadsheet terpusat | Minimal 2 tahun (untuk tujuan audit LPDP) |
| Verifikasi Identitas | Metode verifikasi (email, pertanyaan keamanan, KTP scan), hasil verifikasi, timestamp | Catatan dalam sistem manajemen hak subjek | Minimal 2 tahun |
| Pengecualian Diterapkan | Jika penghapusan ditolak, alasan spesifik dan dasar hukum, referensi pasal UU PDP | Notifikasi tertulis kepada subjek data + catatan internal | Minimal 2 tahun |
| Sistem yang Diakses | Daftar semua sistem database/aplikasi yang dicek untuk data, tanggal pencarian | Data mapping document + log akses | Minimal 2 tahun |
| Proses Penghapusan Teknis | Metode penghapusan (overwrite, degaussing, SQL DELETE), media yang dipengaruhi, tanggal eksekusi | Log database/backup system, sertifikat penghapusan teknis | Minimal 2 tahun |
| Notifikasi Downstream | Daftar pihak ketiga/processor yang diberitahu, tanggal notifikasi, respons yang diterima | Email log, catatan koordinasi internal | Minimal 2 tahun |
| Penyelesaian | Tanggal konfirmasi penghapusan selesai, waktu total respons vs. deadline 3×24 jam | Notifikasi konfirmasi kepada subjek data | Minimal 2 tahun |
Manajemen Konflik: Penghapusan vs. Retensi Regulasi
Skenario yang paling rumit muncul ketika ada konflik antara permintaan penghapusan dan kewajiban retensi regulasi. Misalnya, pelanggan bank meminta penghapusan rekam medis finansial mereka, tetapi undang-undang anti-pencucian uang (AML) menuntut penyimpanan catatan transaksi selama 5 tahun. Dalam situasi ini, undang-undang AML mengalahkan hak penghapusan, dan bank tidak dapat menghapus data.
Organisasi harus memiliki kebijakan dan sistem yang mengidentifikasi data yang tunduk pada kewajiban retensi regulasi. Kebijakan harus menyatakan dengan jelas bahwa dalam kasus konflik, organisasi akan mematuhi kewajiban retensi yang lebih ketat. Ketika subjek data mengajukan permintaan penghapusan untuk data yang tunduk pada retensi regulasi, organisasi harus menginformasikan subjek data bahwa penghapusan tidak dapat dipenuhi, alasannya, dan tanggal ketika data akan dihapus setelah periode retensi berakhir.