UU PDP dalam Hierarki Regulasi Indonesia
UU PDP No. 27 Tahun 2022 berdiri sebagai undang-undang horizontal yang mengatur perlindungan data pribadi secara menyeluruh di Indonesia, tetapi bukan berarti bahwa UU PDP merupakan satu-satunya regulasi yang mengatur data pribadi. Sebaliknya, Indonesia memiliki ekosistem regulasi yang kompleks dengan berbagai undang-undang sektoral yang juga mengandung ketentuan-ketentuan khusus tentang perlindungan data pribadi. UU ITE No. 11 Tahun 2008 (sebagaimana telah diubah dengan UU No. 19 Tahun 2016) mengatur keamanan transaksi elektronik dan perlindungan data dalam konteks elektronik, UU Perbankan No. 7 Tahun 1992 mengatur kerahasiaan data nasabah di sektor perbankan, dan UU Kesehatan No. 36 Tahun 2009 mengatur rekam medis dan privasi pasien.
Posisi UU PDP adalah melengkapi dan memperkuat kerangka perlindungan yang sudah ada dalam regulasi sektoral. UU PDP tidak menghapus ketentuan-ketentuan dalam UU ITE atau UU Perbankan, tetapi menambahkan lapisan perlindungan yang lebih komprehensif dan sistematis. Prinsip yang berlaku adalah bahwa jika terdapat pertentangan antara UU PDP dan regulasi sektoral, maka regulasi yang menetapkan standar perlindungan yang lebih tinggi (lebih ketat) yang akan berlaku. Ini dikenal sebagai prinsip lex specialis derogat legi generali dalam interpretasi hukum Indonesia, di mana regulasi yang lebih khusus dapat menambah atau mengkhususkan aturan yang lebih umum.
| KONSEP KUNCI | UU PDP bertindak sebagai "payung regulasi" yang menetapkan standar minimum perlindungan data pribadi. Regulasi sektoral dapat menambahkan persyaratan yang lebih ketat, tetapi tidak dapat mengurangi standar yang ditetapkan UU PDP. Organisasi yang beroperasi di sektor dengan regulasi khusus harus memenuhi standar tertinggi yang berlaku di sektor mereka. |
Interaksi UU PDP dengan Regulasi Sektoral Utama
UU ITE No. 11 Tahun 2008 mengatur aspek keamanan siber, penandatanganan elektronik, dan transaksi elektronik. Hubungan antara UU ITE dan UU PDP adalah komplementer: UU ITE fokus pada keamanan infrastruktur dan transaksi elektronik, sementara UU PDP fokus pada perlindungan individu atas data pribadinya. Dalam praktik, implementasi keamanan yang dimandatkan oleh UU ITE (seperti enkripsi, autentikasi, dan audit log) juga mendukung pemenuhan kewajiban keamanan yang dituntut UU PDP.
UU Perbankan No. 7 Tahun 1992 mengatur prinsip rahasia perbankan (banking secrecy) yang melarang bank dan karyawannya untuk mengungkapkan data nasabah kecuali dalam kondisi tertentu. UU PDP memperluas kerangka ini dengan memberikan hak kepada subjek data untuk mengakses, memperbaiki, dan menghapus datanya, serta hak untuk mengetahui pemrosesan datanya. Dengan demikian, sebuah bank harus mematuhi baik kewajiban rahasia perbankan (UU Perbankan) maupun hak subjek data (UU PDP). Dalam kasus-kasus tertentu, ada ketegangan antara kedua kewajiban ini, misalnya ketika subjek data meminta akses ke data tetapi peraturan anti-pencucian uang melarang pengungkapan.
UU Kesehatan No. 36 Tahun 2009 mengatur hak pasien atas privasi dan kerahasiaan rekam medis. UU PDP menambahkan layer perlindungan dengan mengklasifikasikan data kesehatan sebagai data spesifik yang memerlukan perlindungan tertinggi, memerlukan explicit consent untuk pemrosesan apapun, dan memberikan hak kepada pasien untuk mengetahui siapa yang mengakses rekam medis mereka. Dalam praktik rumah sakit dan klinik, implementasi harus memastikan kepatuhan terhadap kedua UU ini.
| Regulasi Sektoral | Tahun | Fokus Utama | Interaksi dengan UU PDP |
|---|---|---|---|
| UU Perbankan | 1992 | Rahasia nasabah, keamanan dana | UU PDP memperkuat hak subjek akses & pengawasan |
| UU ITE | 2008/2016 | Keamanan elektronik, transaksi digital | UU PDP menetapkan standar untuk data dalam sistem digital |
| UU Kesehatan | 2009 | Rekam medis, privacy pasien | UU PDP mengklasifikasi kesehatan sebagai data spesifik |
| PBI 23/2021 | 2021 | Penyelenggaraan Layanan Pembayaran Digital | Compliance keamanan data pembayaran sesuai UU PDP |
| POJK 11/2022 | 2022 | Tata Kelola Teknologi Fintech | Implementasi UU PDP dalam operasional fintech |
| Peraturan BSSN | 2017 | Keamanan Siber dan Infrastruktur | Standar teknis keamanan data yang mendukung UU PDP |
Lembaga Perlindungan Data Pribadi (LPDP) dan Kewenangan Sektoral
Lembaga Perlindungan Data Pribadi (LPDP) didirikan berdasarkan Pasal 60 UU PDP dan memiliki kewenangan untuk melakukan pengawasan dan penegakan kepatuhan terhadap UU PDP secara keseluruhan. LPDP secara kelembagaan berada di bawah koordinasi Kementerian Komunikasi dan Informatika (KOMINFO), tetapi dalam menjalankan fungsinya, LPDP berkoordinasi dengan badan sektoral lainnya yang memiliki kewenangan pengawasan di bidang mereka masing-masing. Struktur ini menciptakan sistem pengawasan berjenjang: LPDP sebagai regulator utama, dan badan sektoral sebagai regulator tambahan dalam sektor mereka.
Dalam praktik, Bank Indonesia (BI) melalui Peraturan BI memiliki kewenangan untuk mengawasi kepatuhan terhadap UU PDP di sektor perbankan. Otoritas Jasa Keuangan (OJK) memiliki kewenangan serupa di sektor pasar modal, asuransi, dan fintech. Badan Siber dan Sandi Negara (BSSN) memiliki kewenangan atas keamanan siber dan infrastruktur kritis yang juga mencakup perlindungan data dalam sistem digital. Kementerian Kesehatan, Kementerian Dalam Negeri, dan kementerian lainnya juga memiliki kewenangan mengawasi kepatuhan UU PDP dalam domain masing-masing.
Sistem pengawasan multi-sektoral ini menciptakan tantangan koordinasi: organisasi yang beroperasi di lebih dari satu sektor dapat diperiksa oleh LPDP dan juga oleh badan sektoral mereka. Untuk menghindari konflik dan menciptakan konsistensi, LPDP telah membentuk tim koordinasi dengan badan-badan sektoral untuk membahas penafsiran UU PDP yang konsisten dan mekanisme pengawasan yang terkoordinasi. Meskipun demikian, dalam praktik, masih sering terjadi perbedaan interpretasi dan persyaratan yang berbeda-beda antara LPDP dan badan sektoral, sehingga organisasi perlu memiliki strategi kepatuhan yang fleksibel dan responsif.
| PENTING | Organisasi multi-sektor harus membangun compliance architecture yang mengidentifikasi tidak hanya LPDP sebagai regulator utama, tetapi juga badan sektoral yang relevan. Audit dan assessment kepatuhan harus melibatkan koordinasi dengan semua badan pengawas yang relevan untuk memastikan bahwa interpretasi UU PDP yang digunakan konsisten dan tidak bertentangan. |
Prinsip Lex Specialis dan Aplikasi Praktis
Prinsip lex specialis derogat legi generali berarti bahwa hukum yang lebih khusus (specific) mengalahkan hukum yang lebih umum (general). Dalam konteks UU PDP dan regulasi sektoral, prinsip ini diterapkan sebagai berikut: UU PDP adalah hukum umum (general law) yang berlaku untuk semua pemrosesan data pribadi, tetapi regulasi sektoral yang lebih spesifik dapat menambahkan persyaratan tambahan untuk sektor tertentu. Misalnya, UU Kesehatan adalah hukum yang lebih spesifik untuk data kesehatan, sehingga persyaratan tambahan yang diatur dalam UU Kesehatan (seperti persetujuan dari komite etik untuk penelitian) akan berlaku di samping persyaratan UU PDP.
Dalam praktik penerapan lex specialis, organisasi yang beroperasi di sektor tertentu harus melakukan compliance audit yang membandingkan persyaratan UU PDP dengan persyaratan regulasi sektoral, dan mengidentifikasi mana yang lebih ketat. Contoh konkret: UU PDP mensyaratkan explicit consent untuk data spesifik, tetapi UU Kesehatan untuk konteks penelitian klinis mensyaratkan informed consent yang melibatkan penjelasan terperinci dan waktu pertimbangan. Dalam hal ini, standar UU Kesehatan yang lebih tinggi akan berlaku, dan peneliti kesehatan harus melakukan kepatuhan terhadap standar yang lebih ketat ini.
| Skenario Multi-Regulasi | Regulasi yang Berlaku | Standar Mana yang Diikuti? | Contoh Kasus |
|---|---|---|---|
| Rumah sakit memproses data pasien | UU PDP + UU Kesehatan | Standar tertinggi (UU Kesehatan) | Consent pasien untuk penelitian kesehatan |
| Bank memproses data nasabah | UU PDP + UU Perbankan + PBI | Standar tertinggi (PBI untuk enkripsi) | Penyimpanan data transaksi dan audit log |
| Fintech memproses data pembayaran | UU PDP + PBI 23/2021 + POJK 11/2022 | Standar tertinggi (PBI & POJK) | Keamanan data pembayaran dan notifikasi |
| E-commerce memproses data konsumen | UU PDP + UU ITE | Standar tertinggi (keduanya komplementer) | Enkripsi + transparansi consent & hak akses |
| Asuransi memproses data kesehatan | UU PDP + POJK + UU Kesehatan | Standar tertinggi ketiga regulasi | Underwriting sesuai data protection standards |
| BUMN mengolah data PNS | UU PDP + UU ASN + regulasi sektoral | Standar tertinggi termasuk hak PNS | Data PNS dengan proteksi tambahan |