Oleh: Cintya Shifwah S dan Teresa Nikkita*
“Guna menghindari terjadi pelanggaran terhadap perlindungan data pribadi, Pengendali Data wajib memetakan dengan baik tujuan dari masing-masing pemrosesan data beserta jangka waktu pemrosesan”
Dengan berkembangnya teknologi informasi dan telah dimasukinya era digital, pengunggahan data pribadi dan akses data pribadi pada dunia maya makin banyak dan mudah untuk dilakukan. Hal ini tersebut tentunya membuka peluang untuk terjadinya penyalahgunaan atau kebocoran data pribadi pada perusahaan atau institusi.
Undang-Undang 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”), sendiri mengatur mengenai hal-hal terkait dengan perlindungan data pribadi seperti hak Subjek Data Pribadi, kewajiban Pengendali Data Pribadi dan dasar pemrosesan data pribadi. UU PDP sendiri jugamengatur ketentuan mengenai pelanggaran pemrosesan data pribadi dan sanksi administratif maupun pidanayang dapat dikenakan terhadap pelanggaran data pribadi.
Pelanggaran data pribadi yang dapat dikenakan sanksi berdasarkan UU PDP beragam. Namun, bercermin padastudi kasus yang ada, jenis pelanggaran yang paling sering terjadiyaitu terkait dengan perolehan persetujuan pemrosesan dan penghapusan data pribadi yang merupakan suatu kewajiban bagi Pengendali Data.
Persetujuan Pemrosesan Data Pribadi
UU PDP mewajibkan adanya dasar untuk setiap pemrosesan data pribadi. Salah satu dasar tersebut adalah untuk memperoleh persetujuan dari Subjek Data Pribadi.[2] Persetujuan yang dimaksud dapat diperoleh secara tertulis atau terekam.[3] Pengaturan mengenai persetujuan untuk pemrosesan data pribadi ini berkaca pada ketentuan yang ada dalam General Data Protection Regulation (“GDPR”), yang juga mewajibkan adanya persetujuan atau consent dari Subjek Data Pribadi.[4]
Dari persetujuan yang diperoleh dari Subjek Data Pribadi, Pengendali Data Pribadi juga wajib menyampaikan informasi seperti tujuan pemrosesan data pribadi, jangka waktu pemrosesan data pribadi, legalitas pemrosesan data pribadi dan informasi lainnya yang relevan[5] kepada Subjek Data Pribadi agar Subjek Data Pribadi mengetahui hal-hal apa saja yang disetujuidan sejauh apa pemrosesan terhadap data pribadinya dilakukan. Berkaitan dengan kewajiban pemerolehan persetujuan tersebut, seringkali Pengendali Data tidak teliti dalam mengajukan persetujuan pemrosesan data kepada Subjek Data, yang menyebabkan terjadinya pelanggaran data pribadi. Pengendali Data Pribadi dapat dikenakan sanksi administratif dalam bentuk peringatan, penghentian kegiatan, penghapusan atau pemusnahan data pribadi dan/atau denda.[6]
Terkait persetujuan pemrosesan data pribadi, Indonesia sendiri belum memiliki banyak kasus, namun kasus terhadap AA Ireland Limited dapat dijadikan contoh. Pada tahun 2017, Data Protection Commission (“DPC”), suatu otoritas pengawas di Irlandia untuk GDPR menerima keluhan dari seorang individu yang telah menerima pesan teks pemasaran yang tidak diminta dari AA Ireland Limited(“Pelapor”). Pada awalnya Pelapor tersebut mendapatkan penawaran harga dari penyedia asuransinya dan memutuskan untuk menelpon perusahaan asuransi lainnya agar mendapatkan penawaran harga yang lebih kompetitif. Salah satu perusahaan yang di telepon oleh Pelapor adalah AA Ireland Limited. Pelapor memberi tahu DPC bahwa dia telah secara tegas menyatakan kepada AA Ireland Limited bahwa Pelapor tidak ingin data pribadinya digunakan untuk tujuan pemasaran, namun sehari setelah panggilan tersebut, Pelapor menerima pesan teks dan panggilan yang bersifat komersial dari AA Ireland Limited. Saat DPC menyelidiki kasus ini lebih lanjut, AA Ireland Limited telah mengakui bahwa mereka belum memiliki persetujuan untuk mengirimkan pesan atau pun telepon yang bersifat komersial kepada Pelapor.[7]
Kasus tersebut bisa dijadikan contoh bahwa setiap Pengendali data pribadi wajib memperoleh persetujuan terlebih dahulu dari subjek data pribadi, khususnya terkait tujuan pemrosesan data yang dilakukanmengingat bahwa (i) Subjek Data berhak untuk mengetahui sejauh apa data pribadi mereka diproses; dan (ii) tujuan pemrosesan data akan menjadi salahsatu penentu dari jangka waktu pemrosesan data pribadi (jika telah mencapai tujuan pemrosesan dan masa retensi maka data pribadi harus dihapuskandan/atau dimusnahkan).
Penghapusan Data Pribadi
UU PDP juga mengatur mengenai penghapusan data pribadi yang mewajibkan Pengendali Data Pribadi melakukan penghapusan data pribadi yang diperoleh, dalam hal (i) data pribadi tidak lagi diperlukan untuk mencapai tujuan pemrosesan; (ii) persetujuan telah ditarik kembali; (iii) terdapat permintaan penghapusan dari Subjek Data; atau (iv) data pribadi di proses dengan cara melawan hukum.[8] Ketentuan penghapusan data pribadi ini juga sejalan dengan GDPR yang juga mengatur mengenai kapan saja Pengendali Data Pribadi wajib menghapus data pribadi milik Subjek Data Pribadi.[9]
Pengendali Data Pribadi seringkali lalai untuk melakukan penghapusan data, khususnya dalam hal data pribadi tersebut sudah tidak lagi diperlukan untuk mencapai tujuan pemrosesan. Hal tersebut tentunya akan merugikan Subjek Data, karena dengan tidak dilakukannya penghapusan data mengakibatkan adanya keterbukaan akses terhadap data pribadi baik untuk Pengendali Data atau pihak ketiga terkait. Pengendali Data Pribadi yang melanggar ketentuan untuk penghapusan data pribadi juga dapat diberikan sanksi adminstratif berdasarkan ketentuan UU PDP.[10]
Agar dapat menggambarkan ketentuan untuk penghapusan data pribadi, dapat dilihat dari contoh kasus antara Pelapor dan Perusahaan yang menyediakan pelayanan online (“Perusahaan”). Pada tahun 2019, State Data Inspectorate (“DVI”), suatu otoritas perlindungan data nasional di Latvia menerima keluhan dari seseorang Pelapor tentang adanya pelanggaran Pasal 17 GDPR. Saat dilakukannya inspeksi oleh DVI kepada Perusahaan tersebut, ditemukan bahwa pada tahun 2018, Pelapor telah berulang kali meminta kepada Perusahaan untuk menghapus semua data pribadi yang dimiliki oleh Pelapor seperti nomor telepon yang digunakan Pelapor untuk membuat pesanan kepada Perusahaankarena transaksi yang dilakukan sudah selesai. Namun, respons yang di dapat oleh Pelapor dari Perusahaan terkait penghapusan data pribadinya adalah pesan yang bersifat komersial ke nomor telepon yang terdaftar di sistem Perusahaan. Pada akhirnya pada tahun 2019, DVI memberikan denda kepada Perusahaan tersebut sebesar 7000 euro.[11]
Kasus tersebut dapat menjadi ilustrasi yang baik terhadap penerapan kewajiban penghapusan data pribadi yang harus dilakukan Pengendali Data. Untuk memenuhi ketentuan UU PDP Pengendali Data wajib (i) memetakan dengan baik tujuan dari masing-masing pemrosesan data beserta jangka waktu pemrosesan; (ii) menetapkan mekanisme penghapusan data pribadi pada sistem yang akan dilakukan, sampai dengan pemusnahan data pribadi berdasarkan Data Retention Policy yang ada (mohon merujuk pada Client Alert Data Protection and Cyber - series #1 Bahar); dan (iii) membentuk supervisory team khusus, yang bertugas untuk mengawasi pelaksanaan penghapusan serta pemusnahan data pribadi.
Artikel ini tidak ditujukan sebagai nasihat atau opini hukum untuk tindakan tertentu serta tidak dimaksudkan untuk menciptakan hubungan yang mengikat secara hukum bagi siapapun. Jika anda ingin menindak lanjuti topik pembahasan terkait, silahkan menghubungi Kantor Bahar melalui busdev@bahar.co.id.
*Associate pada Kantor Bahar.
2 Pasal 20 ayat (2) huruf a UU PDP.
3 Pasal 22 ayat (1) UU PDP.
4 Pasal 6 ayat (1) huruf a GDPR.
5 Pasal 21 ayat (1) UU PDP.
6 Pasal 57 ayat (2) UU PDP.
7 “Prosecution of AA Ireland Limited”, dapat diakses pada https://www.dataprotection.ie/en/pre-gdpr/case-studies#201802 (diakses pada tanggal 5 Desember 2022).
8 Pasal 43 ayat (1) UU PDP.
9 Pasal 17 ayat (1) GDPR.
10 Pasal 57 ayat (1) UU PDP.
11 “The state data inspectorate applies a fine of 7,000 euros to an online store for violation of personal data processing”, dapat di akses pada https://www.dvi.gov.lv/lv/datu-valsts-inspekcija-piemero-7000-eiro-lielu-naudas-sodu-internetveikalam-par-personas-datu-apstrades-parkapumiem? (diakses pada tanggal 5 Desember 2022).