Beberapa tahun lalu, data (termasuk data pribadi) sering diasosiasikan sebagai emas hitam yang baru (atau the new black gold). Hal ini karena data pribadi memiliki banyak kegunaan dan nilai ekonomi bagi mereka yang dapat memanfaatkannya.
Kita tentunya sudah sering menerima telepon dari nomor yang tidak dikenal ke telepon genggam kita. Pertanyaan yang sering timbul di benak kita adalah dari mana mereka mendapatkan nomor kita? Beberapa nomor telepon yang tidak dikenal bahkan bisa menyebutkan nama, alamat, dan beberapa data yang bagi kita bersifat pribadi. Ini adalah contoh kecil bahwa sejak dahulu, jauh sebelum pandemi Covid-19, data-data pribadi kita sudah menjadi objek penyalahgunaan, sebab belum ada satu pun peraturan khusus yang secara terperinci mengatur perlindungan atas data pribadi. Ketika pandemi Covid-19 melanda dan kita dipaksa untuk beralih ke dunia digital, kita melihat perlindungan data pribadi menjadi sesuatu yang tidak bisa dihindari, mengingat potensi penyalahgunaan yang semakin besar.
Pada tanggal 17 Oktober 2022, pemerintah mengesahkan Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) yang memberikan payung perlindungan atas data pribadi.
Melihat pentingnya perlindungan data pribadi, penulis membuat tulisan ini, agar kita dapat mengerti dan memahami ketentuan maupun prinsip dasar terkait perlindungan data pribadi, di antaranya hak-hak dan kewajiban kita sebagai subjek data pribadi, maupun hak-hak dan kewajiban-kewajiban mereka yang diberi mandat sebagai pengendali ataupun prosesor data pribadi.
Dasar Hukum
Perlindungan atas data pribadi termasuk dalam perlindungan hak asasi manusia yang dijamin negara, berdasarkan salah satu ketentuan UUD 1945, yang berbunyi, "Setiap orang berhak atas pelindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang berada di bawah kekuasaannya, serta berhak atas rasa aman dan pelindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi".
Atas dasar hal tersebut, UU PDP diundangkan dengan beberapa pertimbangan. Pertama, pelindungan data pribadi merupakan salah satu hak asasi manusia yang merupakan bagian dari pelindungan diri pribadi, sehingga diperlukan landasan hukum untuk memberikan keamanan atas data pribadi, berdasarkan Undang-Undang Dasar Negara Republik Indonesia Tahun 1945 (UUD 1945). Kedua, perlindungan data pribadi ditujukan untuk menjamin hak warga negara atas pelindungan diri pribadi, dan menumbuhkan kesadaran masyarakat, serta menjamin pengakuan dan penghormatan atas pentingnya pelindungan data pribadi. Pertimbangan lainnya adalah perkembangan teknologi informasi dan komunikasi yang melaju dengan pesat telah menimbulkan berbagai peluang dan tantangan di banyak bidang. Perkembangan ini mengakibatkan data pribadi seseorang sangat mudah dikumpulkan dan dipindahkan dari satu pihak ke pihak lainnya, tanpa sepengetahuan si empunya data pribadi.
Data Pribadi
UU PDP menjelaskan, data pribadi adalah data tentang orang perseorangan, yang teridentifikasi atau dapat diidentifikasi secara tersendiri, atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung, melalui sistem elektronik atau nonelektronik. Dengan kata lain, orang bisa paham bahwa data itu merefleksikan kita.
UU PDP sendiri membagi data pribadi menjadi dua, yaitu yang bersifat umum dan yang bersifat khusus. Data pribadi yang bersifat khusus adalah data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan perorangan pribadi, dan data lainnya, sesuai dengan ketentuan perundang-undangan. Contoh data pribadi yang bersifat khusus adalah rekam medis seseorang yang pernah dirawat di rumah sakit. Sedangkan data pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan data pribadi yang bila dikombinasikan mengidentifikasi seseorang. Contoh data pribadi yang bersifat umum adalah KTP kita.
Perlindungan terhadap data pribadi dalam UU PDP didefinisikan sebagai keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi, guna menjamin hak subjek data pribadi. Sedangkan kita, bahwa pada diri pribadi kita melekat data pribadi, adalah subjek data pribadi.
Pemrosesan Data Pribadi
Pemrosesan data pribadi menurut UU PDP sendiri didefinisikan sebagai aktivitas yang dilakukan pada suatu data pribadi, dan dilakukan melalui kegiatan pemerolehan dan pengumpulan, pengolahan dan analisis, penyimpanan, perbaikan dan pembaruan, penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan, dan/atau penghapusan atau pemusnahan.
UU PDP mensyaratkan kegiatan pemrosesan data pribadi sesuai dengan prinsip pengumpulan data pribadi dilakukan secara terbatas dan spesifik (tidak bisa dilakukan secara umum), sah secara hukum, dan transparan; dilakukan sesuai dengan tujuannya; dilakukan dengan menjamin hak subjek data pribadi; dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan; dilakukan dengan melindungi keamanan data pribadi dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan atau penghilangan data pribadi; dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan pelindungan data pribadi; pemusnahan dan/atau penghapusan data pribadi setelah masa retensi berakhir atau berdasarkan permintaan subjek data pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dilakukan secara bertanggung jawab, dan dapat dibuktikan secara jelas.
Selanjutnya dalam pemrosesan data pribadi, subjek data pribadi memiliki berbagai hak, di antaranya adalah mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan data pribadi, dan akuntabilitas pihak yang meminta data pribadi; melengkapi, memperbarui, dan/atau memperbaiki kesalahan dan/atau ketidakakuratan data pribadi tentang dirinya, sesuai dengan tujuan pemrosesan data pribadi; mendapatkan akses dan memperoleh salinan data pribadi tentang dirinya, sesuai dengan ketentuan peraturan perundang-undangan; mengakhiri pemrosesan, menghapus, dan/atau memusnahkan data pribadi tentang dirinya, sesuai dengan ketentuan peraturan perundang-undangan; dan berhak menarik kembali persetujuan pemrosesan bata pribadi tentang dirinya, yang telah diberikan kepada pengendali data pribadi.
Dari uraian ini, jelas terlihat adanya hak-hak subjek data pribadi yang harus dihormati. Di sisi lain, pengendali maupun prosesor data pribadi juga memilik kewajiban yang harus dipenuhi ketika mereka akan memproses data pribadi.
Pengendali dan Prosesor
Selain subjek data pribadi, ketika suatu data pribadi diproses, akan ada pihak-pihak yang terlibat, yaitu pengendali data pribadi maupun prosesor data pribadi. Pengendali data pribadi adalah setiap orang, badan publik, maupun organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Sedangkan yang dimaksud dengan prosesor data pribadi adalah setiap orang, badan publik, maupun organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi, atas nama pengendali data pribadi.
Ketika memproses suatu data pribadi, pengendali data pribadi wajib memiliki dasar pemrosesan data pribadi. Salah satu dasar terpenting adalah adanya persetujuan yang sah secara eksplisit—dalam bentuk tertulis atau terekam—dari subjek data pribadi—untuk satu atau beberapa tujuan tertentu—yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi.
Kemudian, siapakah yang dimaksud dengan prosesor data pribadi? Ada kalanya pengendali data pribadi menunjuk pihak lainnya untuk melakukan pemrosesan data pribadi dari suatu subjek data pribadi. Pihak inilah yang disebut prosesor data pribadi. Prosesor data pribadi juga memiliki beberapa hak dan kewajiban yang sama dengan hak dan kewajiban pengendali data pribadi, di antaranya adalah kewajiban menjaga keamanan dan melindungi kerahasiaan.
Secara umum, pengendali data pribadi memiliki kewajiban-kewajiban, melakukan pemrosesan data pribadi secara terbatas dan spesifik, sah secara hukum, transparan, dan sesuai dengan tujuan; memberikan akses kepada subjek data pribadi terhadap data pribadi yang diproses, beserta rekam jejak pemrosesan data pribadi, sesuai dengan jangka waktu penyimpanan data pribadi; melindungi dan memastikan keamanan data pribadi yang diprosesnya; menjaga kerahasiaan data pribadi; melindungi data pribadi dari pemrosesan yang tidak sah; mencegah data pribadi diakses secara tidak sah; dan juga menghentikan pemrosesan data pribadi dalam hal subjek data pribadi menarik kembali persetujuan pemrosesan data pribadi.
Berdasarkan uraian ini, jelas terlihat, kegiatan pemrosesan data pribadi tidak dapat dilakukan dengan prinsip sapu jagat, tanpa memperhatikan keamanan dan kerahasiaan. Dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 kali 24 jam kepada subjek data pribadi dan lembaga terkait.
Relevansinya bagi Gereja
Ketika mengunjungi rumah teman di cluster perumahan yang berbeda, atau ketika mengunjungi rekan di perkantoran yang memiliki akses masuk yang ketat, sering kali kita diminta untuk meninggalkan KTP, atau mereka meminta untuk memfotokopi KTP kita. Ketika kita dengan sukarela menyerahkan KTP, bisa dianggap kita sudah memberikan persetujuan data pribadi kita untuk diproses.
Kita semua tahu dan paham tujuan pengumpulan KTP ini baik, agar siapa yang berkunjung dapat terdata. Ketika ini dilakukan, prinsip-prinsip yang disebutkan di atas sudah dipenuhi, yaitu dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan, serta dilakukan sesuai dengan tujuannya. Pemrosesan data pribadi ini juga sudah memiliki dasar, yaitu ketika kita setuju untuk menyerahkan KTP kita. Kita juga paham, kewajiban perlindungan data pribadi akan melekat kepada mereka yang mengumpulkan KTP. Mungkin yang menjadi pertanyaan bagi kita, apakah mereka yang meminta KTP kita, sebagai pengendali data pribadi ataupun prosesor data pribadi, dapat memastikan bahwa semua prinsip dan kewajiban pemrosesan data pribadi dipenuhi dan tidak melanggar UU PDP.
Apabila kita mengkhawatirkan tujuan dan cara data pribadi itu diproses, kita masih memiliki hak untuk untuk menolak, tentunya dengan berbagai macam konsekuensinya. Dalam hal kita menolak menyerahkan KTP atau tanda pengenal ketika akan memasuki suatu cluster atau gedung pertemuan, kita bisa mengatur ulang tempat pertemuan, agar berada di ruang yang tidak mensyaratkan pemrosesan data pribadi.
Namun, ada kalanya kita tidak memiliki pilihan ketika data pribadi kita diminta, misalnya ketika melakukan pembukaan rekening bank atau melakukan registrasi ketika berobat di rumah sakit. Dalam hal ini, yang bisa kita lakukan adalah memahami hak dan kewajiban sebagai subjek data pribadi, dan juga hak dan kewajiban dari mereka yang bertindak sebagai pengendali data pribadi dan atau prosesor data pribadi. Ketika kita melihat penyimpangan dari prinsip yang telah dibahas di atas, kita mengetahui tindakan apa yang bisa kita lakukan sebagai subjek data pribadi.
Kemudian, apa relevansinya bagi gereja? Salah satu elemen penting dalam kehidupan bergereja adalah database jemaat, yang berisi data pribadi jemaat. Gereja—sebagai pengendali data pribadi dan/atau sebagai prosesor data pribadi—juga terikat dengan ketentuan perlindungan data pribadi. Gereja harus memperhatikan beberapa ketentuan penting, di antaranya menjelaskan tujuan suatu pemrosesan data pribadi jemaat, sehingga mereka mengerti tujuan pengumpulan data pribadi, wajib menjaga kerahasiaan dan melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data, wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dan wajib menghentikan pemrosesan data pribadi dalam hal subjek data pribadi menarik kembali persetujuan pemrosesan data pribadi. Hal ini juga berlaku dalam pemrosesan data pribadi oleh badan-badan pelayanan gereja. Jemaat tentunya harus merasa nyaman ketika mereka memercayai gereja untuk memproses data pribadi mereka.
Gereja tidak dapat berdalih tidak terikat ketentuan UU PDP, terlebih apabila di kemudian hari terjadi kebocoran data pribadi. Gereja juga tidak dapat berdalih tidak perlu melakukan tindakan yang perlu untuk menjaga keamanan data pribadi jemaat yang dipercayakan kepada gereja, termasuk mengalihkan data pribadi tanpa persetujuan subjek data pribadi.
Penutup
Penulis memahami, sebagian besar dari kita awam dan tidak familiar dengan ketentuan UU PDP. Namun, penulis berharap tulisan ini dapat membuka mata kita, bahwa ketika data pribadi kita diproses, kita sebagai subjek data pribadi memiliki hak dan kewajiban yang melekat. Demikian pula mereka yang diberi mandat sebagai pengendali data pribadi dan/atau prosesor data pribadi wajib memastikan, data pribadi yang dipercayakan kepada mereka dilindungi dengan baik, dan digunakan sesuai dengan tujuan pengumpulannya.
*Penulis adalah anggota GKI Gading Serpong, seorang praktisi hukum dan partner pada kantor hukum ADCO Law.
