Kategori Data Pribadi yang Bersifat Spesifik (Special Categories)
Pasal 4 UU PDP mendefinisikan "data pribadi yang bersifat spesifik" sebagai kategori data yang memiliki sensitivitas tinggi karena berkaitan dengan aspek personal atau diskriminatif dari kehidupan subjek data. Kategori ini mencakup:
(1) data yang mengungkapkan asal-usul ras atau etnis,
(2) data yang mengungkapkan pandangan atau keyakinan filosofis, agama, atau ideologi,
(3) data yang mengungkapkan keanggotaan dalam organisasi atau asosiasi tertentu,
(4) data genetik,
(5) data biometrik untuk identifikasi,
(6) data kesehatan,
(7) data yang berkaitan dengan kehidupan seksual atau orientasi seksual,
(8) data kriminal atau tindakan pelanggaran, dan
(9) data anak-anak (di bawah 18 tahun, atau 17 tahun menurut UU PDP).
Rezim perlindungan untuk data spesifik ini jauh lebih ketat daripada data biasa. Peraturan ini didasarkan pada prinsip bahwa kategori data ini berpotensi tinggi untuk menimbulkan diskriminasi, stigma, atau harm terhadap subjek data jika diproses secara sembarangan. Oleh karena itu, UU PDP menetapkan persyaratan pemrosesan yang lebih tinggi, keamanan yang ditingkatkan, dan hak-hak subjek data yang lebih kuat.
Persyaratan Pemrosesan Data Spesifik
Pasal 20 UU PDP mengizinkan pemrosesan data spesifik hanya berdasarkan alasan tertentu:
(1) explicit consent dari subjek data (bukan regular consent, tetapi explicit consent dengan standar lebih tinggi),
(2) kewajiban hukum yang tegas berkaitan dengan data tertentu (misalnya, employer harus menyimpan informasi kesehatan karyawan untuk compliance dengan UU Ketenagakerjaan dan regulasi K3),
(3) perlindungan kepentingan vital subjek data atau orang lain dalam situasi emergency (misalnya, pemrosesan data kesehatan pasien kritis di rumah sakit), atau
(4) untuk pemrosesan yang dilakukan oleh organisasi tertentu dengan tujuan tertentu (misalnya, organisasi kesehatan yang memproses data kesehatan sebagai bagian dari layanan kesehatan).
Tidak dapat menggunakan legitimate interest (kepentingan yang sah) sebagai dasar hukum untuk memproses data spesifik, kecuali dalam keadaan sangat terbatas yang disahkan oleh peraturan. Consent bundling juga sangat dilarang untuk data spesifik—masing-masing kategori data spesifik yang berbeda harus memiliki explicit consent yang terpisah dan individual, bukan "satu consent untuk semua data."
Data Kesehatan
Data kesehatan adalah salah satu kategori paling sensitif. Pasal 20 memungkinkan pemrosesan data kesehatan hanya dalam beberapa kondisi:
(1) explicit consent dari subjek data,
(2) untuk tujuan kesehatan publik atau penelitian medis yang diatur dalam peraturan perundang-undangan lain (misalnya, UU Kesehatan No. 36 Tahun 2009), atau
(3) untuk pemenuhan kewajiban kontraktual dalam hubungan pasien-penyedia layanan kesehatan.
Fasilitas layanan kesehatan (rumah sakit, klinik, praktik dokter) memiliki kewenangan khusus untuk memproses data kesehatan sebagai bagian dari penyediaan layanan kesehatan (pemenuhan perjanjian). Namun, mereka tidak boleh mengungkapkan data kesehatan pasien kepada pihak ketiga tanpa explicit consent, kecuali untuk:
(1) operasi internal fasilitas kesehatan yang perlu untuk perawatan pasien,
(2) kewajiban hukum seperti pelaporan ke Kemenkes atau pemerintah daerah, atau
(3) keadaan emergency yang mengancam nyawa. Standar keamanan untuk data kesehatan juga sangat tinggi—harus mengenkripsi dalam transit dan at rest, membatasi akses hanya kepada staf medis yang perlu, dan memelihara audit trail lengkap tentang siapa mengakses data dan kapan.
Data Biometrik
Data biometrik—sidik jari, wajah, iris, suara—memiliki karakteristik unik: mereka tidak dapat diubah seperti password, dan sekali dikompromikan, orang tidak bisa meminta "ganti biometrik" baru. Penggunaan biometrik harus:
(1) berdasarkan explicit consent, dan
(2) hanya untuk tujuan identifikasi atau autentikasi yang spesifik (misalnya, akses ke device, akses ke kantor, verifikasi pembayaran).
Pasal 49 UU PDP melarang penggunaan biometrik untuk surveillance atau monitoring yang berkelanjutan tanpa consent yang sangat eksplisit. Contoh penggunaan yang dilarang: memasang facial recognition di public space untuk surveillance umum tanpa consent individu, atau menggunakan voice biometric untuk profiling suara seseorang untuk keperluan marketing. Penggunaan yang diperbolehkan: menggunakan fingerprint untuk unlock smartphone (user control), menggunakan wajah untuk biometric payment di toko (explicit at point of transaction), atau menggunakan biometric untuk akses fisik ke secure facility (employment contract dengan explicit consent).
Data Genetik
Data genetik adalah kategori paling sensitif karena mengungkapkan informasi tidak hanya tentang individu tetapi juga tentang keluarga biologis mereka. Pemrosesan data genetik memerlukan:
(1) explicit consent yang sangat spesifik (bukan bundled consent), dan
(2) justifikasi yang kuat mengapa pemrosesan diperlukan.
Contoh penggunaan data genetik yang dapat dipertanggungjawabkan:
(1) diagnostic genetic testing untuk penyakit spesifik dengan consent pasien dan oversight medical professional,
(2) genetic research yang dilakukan oleh institusi penelitian dengan ethics review board approval dan consent yang memenuhi standar penelitian, atau
(3) newborn screening untuk kondisi genetic yang dapat dicegah atau diobati dengan parental consent.
Penggunaan yang tidak dapat dipertanggungjawabkan:
(1) genetic profiling untuk purpose diskriminasi (insurance, employment),
(2) genetic testing tanpa medical reason hanya untuk curiosity atau direct-to-consumer genetic ancestry (tanpa proper consent dan storage security), atau
(3) sharing genetic data dengan pihak ketiga seperti pharmaceutical company untuk profit tanpa additional consent.
| KONSEP KUNCI | Untuk semua kategori data spesifik, prinsip dasar adalah: explicit consent bukan hanya formalitas—harus dikumpulkan hanya setelah subjek data telah menerima informasi lengkap tentang tujuan spesifik, siapa yang akan mengakses data, berapa lama akan disimpan, dan hak mereka untuk menolak atau menarik consent. Dokumentasi explicit consent harus timestamp dan auditable, dengan record lengkap tentang apa yang disepakati dan kapan. |
Data Anak-Anak (Di Bawah Umur)
Pasal 26 UU PDP menetapkan bahwa anak di bawah 17 tahun memerlukan perlindungan khusus. Data anak dianggap sebagai kategori data spesifik yang memerlukan explicit consent dari orang tua atau wali (bukan dari anak itu sendiri). Organisasi yang mengumpulkan data anak harus: (1) memverifikasi usia dengan cara yang dapat diandalkan (tidak hanya "tick a box"), (2) memverifikasi identitas orang tua atau wali (bukan hanya email yang diklaim sebagai orang tua), (3) memastikan orang tua memahami tujuan pemrosesan (bahasa yang mudah, bukan jargon legal), dan (4) menyimpan record verifikasi ini untuk audit dan compliance.
Anak berusia 13-17 tahun (dalam beberapa konteks) dapat diberikan diskresioner untuk memberikan consent sendiri jika organisasi melakukan age verification yang robust. Namun, untuk anak di bawah 13 tahun, consent wajib dari orang tua tanpa diskresion. Platform digital yang melayani anak (social media, gaming, educational apps) harus memiliki mekanisme parental consent yang ketat—tidak boleh melewatkan verifikasi dengan alasan "user experience lebih baik."
Data Keuangan dan Financial Data
Meskipun tidak secara eksplisit disebut sebagai "data spesifik" dalam definisi Pasal 4, data keuangan atau financial data (nomor rekening bank, riwayat transaksi, credit score, hutang) memerlukan perlindungan tinggi karena sensitivitasnya terhadap diskriminasi dan fraud. Pemrosesan data keuangan harus:
(1) berdasarkan consent atau kewajiban hukum yang jelas,
(2) untuk tujuan yang sangat spesifik (misalnya, untuk pembayaran atau credit assessment), dan
(3) tidak boleh digunakan untuk tujuan yang tidak terkait tanpa consent tambahan.
Bank dan lembaga keuangan memiliki persyaratan compliance tambahan di bawah regulasi OJK (Otoritas Jasa Keuangan) tentang perlindungan konsumen dan anti-money laundering (AML). Pemrosesan data finansial juga sering melibatkan transfer data ke pihak ketiga (payment processor, credit bureau, fraud detection services), yang memerlukan agreement yang ketat tentang bagaimana pihak ketiga dapat menggunakan data.
Kewajiban Keamanan Ditingkatkan untuk Data Spesifik
Pasal 40 UU PDP mewajibkan organisasi untuk menerapkan keamanan yang memadai untuk semua data pribadi. Namun, untuk data spesifik, standar keamanan harus ditingkatkan secara signifikan. Ini mencakup:
(1) enkripsi end-to-end untuk data spesifik dalam transit dan at rest (bukan hanya standard encryption),
(2) access control yang ketat dengan principle of least privilege (hanya staff yang absolutely perlu dapat mengakses data spesifik),
(3) audit logging yang komprehensif mencatat setiap akses ke data spesifik dengan timestamp dan user identity,
(4) pemisahan sistem—data spesifik harus disimpan dalam sistem terpisah dengan kontrol akses yang lebih ketat, dan
(5) incident response plan yang spesifik untuk data spesifik dengan notifikasi ke LPDP jika terjadi breach.
Organisasi juga harus melakukan Data Protection Impact Assessment (DPIA) untuk setiap pemrosesan data spesifik yang baru atau yang mengubah cara pemrosesan. DPIA harus mengidentifikasi risiko-risiko khusus dari pemrosesan data spesifik dan menentukan safeguards yang tepat untuk mitigation.
| PENTING | Breach atau unauthorized disclosure dari data spesifik bukan hanya masalah compliance regulasi—ini adalah isu serius yang dapat menyebabkan harm fisik, finansial, atau emosional kepada subjek data (misalnya, disclosure data kesehatan HIV-positive, genetic data, atau data anak dapat memicu harassment atau discrimination). Organisasi harus menangani data spesifik dengan tingkat kehati-hatian tertinggi, dan incident response untuk data spesifik harus diprioritaskan. |
Pembatasan Pengungkapan (Disclosure) dan Sharing Data Spesifik
Pasal 53 UU PDP menetapkan bahwa pengungkapan data spesifik kepada pihak ketiga memerlukan:
(1) consent eksplisit dari subjek data,
(2) atau basis hukum lain yang kuat (kewajiban hukum, kepentingan vital).
Organisasi tidak boleh mengungkapkan data spesifik kepada pihak ketiga (processor, vendor, business partner) tanpa perjanjian tertulis yang jelas tentang bagaimana pihak ketiga akan menggunakan, melindungi, dan menghapus data. Perjanjian ini harus mencakup:
(1) tujuan pengungkapan yang spesifik,
(2) jenis data yang akan diakses,
(3) periode pengaksesan,
(4) persyaratan keamanan yang sama atau lebih tinggi dari controller, dan
(5) larangan penggunaan untuk tujuan lain selain yang disepakati.
Contoh situasi pengungkapan data spesifik yang dilarang:
(1) mengungkapkan data kesehatan karyawan kepada asuransi tanpa persetujuan karyawan,
(2) membagikan data genetik dengan pharmaceutical company tanpa explicit consent dan research ethics approval,
(3) mengungkapkan data anak kepada data broker untuk targeting iklan,
(4) membagikan data biometrik dengan law enforcement tanpa warrant atau compelling legal reason.
Data Processing Register untuk Data Spesifik
Organisasi harus memelihara register atau inventory yang detail tentang setiap pemrosesan data spesifik. Register ini harus mencakup:
(1) identifikasi data spesifik yang diproses (kategori, volume estimasi),
(2) tujuan spesifik dari pemrosesan,
(3) basis hukum (explicit consent, legal obligation, vital interest),
(4) pihak-pihak yang mengakses data (internal staff dan eksternal vendor),
(5) periode penyimpanan,
(6) safeguard keamanan yang diterapkan,
(7) tanggal mulai pemrosesan, dan
(8) status compliance dari pemrosesan tersebut.
Register ini harus direview secara berkala (minimal tahunan) untuk memastikan bahwa pemrosesan masih diperlukan, basis hukum masih valid, dan safeguard masih adequate. Jika ditemukan pemrosesan yang tidak memiliki basis hukum yang jelas atau tidak memenuhi requirements, organisasi harus segera mengambil remedial action—baik dengan mendapatkan consent yang proper, mengubah basis hukum, atau menghentikan pemrosesan.
Tabel berikut menunjukkan matrix pemrosesan data spesifik dengan basis hukum yang diperbolehkan:
| Kategori Data Spesifik | Explicit Consent | Legal Obligation | Vital Interest | Public Task | Legitimate Interest |
|---|---|---|---|---|---|
| Data Kesehatan | YA (standar) | YA (narrow) | YA (emergency) | YA (epidemiologi) | TIDAK (prohibited) |
| Data Biometrik (identifikasi) | YA (mandatory) | YA (limited) | YA (emergency) | TIDAK | TIDAK (prohibited) |
| Data Genetik | YA (mandatory) | YA (very narrow) | YA (emergency) | TIDAK | TIDAK (prohibited) |
| Data Anak (< 17 tahun) | YA (parental) | YA (child welfare) | YA (emergency) | YA (education) | TIDAK (prohibited) |
| Data Ras/Etnis | YA (if needed) | YA (affirmative action) | TIDAK | YA (equality) | TIDAK (prohibited) |
| Data Agama/Ideologi | YA (if disclosed) | YA (employment) | TIDAK | YA (protection) | TIDAK (prohibited) |
| Data Kriminal | TIDAK | YA (law enforcement) | TIDAK | YA (justice) | TIDAK (prohibited) |
Implementasi Praktis: Contoh Sektor-Spesifik
Dalam sektor kesehatan, rumah sakit harus: memverifikasi bahwa data pasien hanya diakses oleh staff medis yang perlu untuk treatment, mengenkripsi rekam medis digital, memiliki audit log akses, dan membatasi sharing eksternal hanya untuk kewajiban legal atau dengan explicit consent. Dalam sektor HR (human resources), perusahaan harus: memverifikasi usia karyawan dan kontraktual, menyimpan data kesehatan karyawan secara terpisah dengan akses terbatas ke departemen kesehatan kerja, dan tidak menggunakan data aborsi atau kondisi mental untuk keputusan employment tanpa justifikasi yang kuat. Dalam sektor fintech atau payment processing, organisasi harus: enkripsi nomor rekening, tidak sharing data finansial dengan marketing teams tanpa explicit consent, dan memiliki strict vendor agreements untuk third-party payment processors.