Klasifikasi Data Pribadi: Umum dan Spesifik
UU PDP membagi data pribadi menjadi dua kategori utama dengan implikasi regulasi yang berbeda. Data pribadi yang bersifat umum (Pasal 4) meliputi informasi yang relatif mudah diperoleh atau telah tersedia di publik, seperti nama lengkap, tempat dan tanggal lahir, alamat, agama atau kepercayaan, status perkawinan, pekerjaan, pendidikan, informasi kontak, dan identitas online. Kategori umum ini tidak berarti bahwa data tersebut dapat diproses tanpa perlindungan, tetapi bahwa standar perlindungan dasarnya mengikuti prinsip-prinsip umum UU PDP tanpa persyaratan tambahan yang ketat.
Data pribadi yang bersifat spesifik (Pasal 5) mencakup kategori data yang lebih sensitif dan memerlukan tingkat perlindungan yang lebih tinggi. Kategori-kategori ini adalah: (1) data kesehatan, (2) data biometrik, (3) data genetika, (4) pandangan politik, (5) keyakinan agama atau kepercayaan, (6) status keanggotaan organisasi tertentu, (7) data keuangan yang berkaitan dengan rekening dan aktivitas transaksi keuangan, dan (8) data tentang anak di bawah umur. Perbedaan fundamental antara umum dan spesifik adalah bahwa pemrosesan data spesifik memerlukan standar yang lebih ketat, persetujuan yang lebih eksplisit, dan mekanisme perlindungan yang lebih komprehensif.
| KONSEP KUNCI | Perbedaan kategori data (umum vs. spesifik) bukan hanya masalah klasifikasi semantik, tetapi menentukan: (1) jenis konsens yang diperlukan (implicit vs. explicit), (2) standar keamanan minimum, (3) hak-hak tambahan subjek data, (4) persyaratan dokumentasi, dan (5) tingkat sanksi jika terjadi pelanggaran. |
Kategori Data Spesifik dan Standar Perlindungan Diferensiasi
Data kesehatan (health data) mencakup informasi medis, status kesehatan mental, catatan vaksinasi, riwayat penyakit, hasil pemeriksaan laboratorium, resep obat-obatan, dan segala informasi yang berkaitan dengan diagnosa atau perawatan kesehatan. Dalam konteks operasional, data kesehatan tidak terbatas pada informasi yang dimiliki rumah sakit atau klinik, tetapi juga mencakup asuransi kesehatan yang menyimpan data medical claims, perusahaan farmasi yang menyimpan profil pengguna obat, dan bahkan perusahaan fintech yang mengumpulkan informasi kesehatan untuk underwriting produk asuransi.
Data biometrik mengacu pada data yang digunakan untuk identifikasi atau autentikasi individu berdasarkan ciri-ciri fisik atau perilaku unik. Contoh termasuk sidik jari, iris mata, wajah (facial recognition data), suara, dan pola gerak tubuh. Pemrosesan data biometrik untuk sistem keamanan akses atau absensi otomatis sangat umum dalam organisasi modern, tetapi UU PDP memberikan penekanan khusus pada perlindungannya karena karakteristiknya yang permanen dan tidak dapat diubah.
Data genetika mencakup informasi tentang genetik individu yang diperoleh melalui tes DNA atau analisis genetik. Kategori ini termasuk data yang paling sensitif karena dapat mengungkap predisposisi terhadap penyakit tertentu, hubungan keluarga biologis, dan latar belakang etnis atau keturunan. Pandangan politik dan keyakinan agama diakui sebagai data spesifik karena potensi diskriminasi atau stigmatisasi jika dikombinasikan dengan informasi lain.
Data keuangan yang berkaitan dengan rekening dan transaksi keuangan mencakup informasi tentang saldo rekening, riwayat transaksi, sumber dan penggunaan dana, cicilan kredit, dan aktivitas investasi. Data anak di bawah umur mendapat perlindungan khusus karena ketidakmampuan anak untuk memberikan consent yang bermakna (informed consent). UU PDP mendefinisikan anak di bawah umur sebagai mereka yang belum mencapai usia 21 tahun atau belum menikah, dan pemrosesan data anak hanya dapat dilakukan dengan persetujuan dari orang tua atau wali.
| Kategori Data Spesifik | Definisi dan Contoh | Standar Perlindungan Tambahan | Sektor/Industri Utama |
|---|---|---|---|
| Data Kesehatan | Riwayat medis, diagnosa, resep, hasil lab | Explicit consent, enkripsi end-to-end, audit log lengkap | Healthcare, Asuransi, Farmasi, Fintech |
| Data Biometrik | Sidik jari, iris, wajah, suara, gait | Data retention minimal, akses terbatas, secure storage | Perbankan, Keamanan, Mobile Apps, HR |
| Data Genetika | Tes DNA, predisposisi penyakit, keturunan | Explicit consent spesifik, kontrol subjek ketat | Healthcare, Research, Forensik |
| Pandangan Politik | Afiliasi partai, donasi kampanye, voting | Proteksi dari profiling, transparansi penggunaan | Polling, Media, Organisasi Politik |
| Keyakinan Agama | Agama/kepercayaan, praktik religius, komunitas | Perlindungan dari diskriminasi, tidak ada profiling | Organisasi Keagamaan, HR, Survei Demografi |
| Data Keuangan | Saldo, transaksi, kredit, investasi, rekening | Compliance regulasi BI/OJK, audit trail lengkap | Perbankan, E-commerce, Fintech, Asuransi |
Implikasi Praktis Perbedaan Data Umum dan Spesifik
Perbedaan antara data umum dan spesifik memiliki implikasi praktis yang signifikan dalam hal persetujuan (consent). Untuk data pribadi yang bersifat umum, pengendali dapat menggunakan mekanisme consent yang lebih fleksibel, misalnya melalui checkbox yang memungkinkan consent untuk berbagai tujuan secara bersamaan. Sebaliknya, untuk data spesifik, UU PDP memerlukan explicit consent yang diberikan secara terpisah dan spesifik untuk setiap tujuan pemrosesan. Dalam praktik, ini berarti bahwa consent form untuk pemrosesan data kesehatan harus membedakan antara penggunaan untuk perawatan, penelitian, pemasaran, dan tujuan lain, dengan masing-masing mendapatkan checkbox atau mekanisme persetujuan terpisah.
Standar keamanan data (data security) juga berbeda berdasarkan kategori. Data spesifik memerlukan standar enkripsi yang lebih tinggi (misalnya encryption at rest dan in transit), pembatasan akses yang lebih ketat (principle of least privilege), dan audit log yang lebih detail untuk melacak setiap akses atau modifikasi. Organisasi harus mengimplementasikan kontrol teknis tambahan seperti tokenization, data masking, atau anonymization untuk data spesifik ketika data tersebut tidak diperlukan dalam bentuk aslinya. Untuk data keuangan khususnya, standar keamanan harus selaras dengan persyaratan yang diatur oleh Bank Indonesia dan OJK, yang dalam banyak kasus melebihi standar minimum UU PDP.
Hak-hak subjek data juga lebih luas untuk data spesifik. Misalnya, subjek data memiliki hak untuk mengetahui pemrosesan (right to know), tetapi untuk data spesifik, hak ini lebih diperkuat dengan persyaratan bahwa informasi tentang pemrosesan harus diberikan dalam bentuk yang lebih detail dan mudah dipahami. Subjek data juga memiliki hak untuk tidak dikenai profiling otomatis (automated decision-making) yang berbasis pada data spesifik tanpa intervensi manusia, kecuali dalam kondisi tertentu yang diatur dalam Pasal 27 UU PDP.
| PENTING | Organisasi yang beroperasi di sektor regulasi khusus (fintech, perbankan, healthcare) harus melakukan risk assessment untuk mengidentifikasi semua data spesifik dalam sistem mereka dan memastikan bahwa standar perlindungan yang sesuai telah diimplementasikan. Sering kali, organisasi mengelompokkan data ke kategori umum meskipun sebenarnya termasuk spesifik berdasarkan konteks penggunaan, sehingga mengakibatkan perlindungan yang inadekuat. |
Perbandingan dengan Regulasi Internasional
Perbandingan dengan GDPR menunjukkan bahwa kategori data spesifik dalam UU PDP secara substansial selaras dengan konsep "special categories of personal data" dalam GDPR (Pasal 9 GDPR). Keduanya mengakui data kesehatan, biometrik, genetika, pandangan politik, dan keyakinan agama sebagai kategori yang memerlukan perlindungan tinggi. Namun, ada beberapa perbedaan: GDPR mencakup data yang berkaitan dengan pelanggaran hukum pidana atau administratif, sementara UU PDP tidak secara eksplisit memasukkan kategori ini. Di sisi lain, UU PDP lebih luas dalam hal perlindungan data keuangan dan data anak, yang mendapat penekanan khusus mengingat konteks ekonomi dan demografi Indonesia.
PDPA Singapura (Personal Data Protection Act) menggunakan istilah yang sedikit berbeda ("sensitive personal data"), tetapi inti konsepnya sama. PDPA Thailand mencakup kategori data yang mirip, tetapi dengan beberapa nuansa berbeda dalam hal pandangan politik dan status keanggotaan organisasi. Organisasi multinasional yang beroperasi di berbagai yurisdiksi perlu membangun data classification scheme yang mengakomodasi persyaratan tertinggi dari semua yurisdiksi yang relevan.
| Aspek | Data Pribadi Umum | Data Pribadi Spesifik | Implikasi Implementasi |
|---|---|---|---|
| Consent Type | Implicit atau opt-in | Explicit dan terpisah per tujuan | Form design & consent flow berbeda |
| Encryption | Standard encryption | Enhanced encryption (AES-256) | Infrastruktur keamanan lebih robust |
| Access Control | Role-based access | Least privilege + detailed logging | Access management policy lebih ketat |
| Retention | Berdasarkan tujuan | Lebih pendek + justified destruction | Data lifecycle management lebih strict |
| Audit Trail | Akses penting saja | Semua akses/modifikasi tercatat | Monitoring dan compliance checking lebih intensif |
| Privacy Notice | Ringkas, general information | Detail, explaining special safeguards | Communication & transparency lebih dalam |