Di tengah meningkatnya layanan digital, organisasi tidak cukup hanya mengumpulkan dan menyimpan data pribadi. Pemerintahan, BUMN/BUMD, dan perbankan juga perlu siap ketika pemilik data meminta penjelasan, akses, perbaikan, atau tindakan lain atas data pribadinya. Di sinilah Data Subject Access Request atau DSAR menjadi proses yang sangat penting. Secara praktik, DSAR merujuk pada mekanisme untuk memenuhi hak subjek data. Dalam UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi, hak subjek data diatur antara lain pada Pasal 5 sampai Pasal 13, termasuk hak untuk mendapatkan akses dan salinan data pribadi tentang dirinya.
Bagi organisasi, DSAR bukan sekadar urusan administratif. Proses ini menunjukkan apakah tata kelola data pribadi sudah berjalan dengan tertib, akuntabel, dan siap diaudit. Bahkan dalam praktik global, hak akses merupakan salah satu hak subjek data yang paling sering digunakan. GDPR melalui Article 15 juga menegaskan hak subjek data untuk memperoleh konfirmasi apakah datanya diproses, mengakses data tersebut, dan menerima informasi terkait pemrosesannya.
Mengapa DSAR Penting bagi Pemerintahan, BUMN/BUMD, dan Perbankan?
Ketiga sektor ini memproses data pribadi dalam jumlah besar dan dalam konteks yang sensitif. Instansi pemerintah mengelola data kependudukan, layanan publik, atau administrasi pegawai. BUMN/BUMD banyak menangani data pelanggan, mitra, dan karyawan. Sementara perbankan memproses data identitas, transaksi, hingga dokumen pendukung yang bernilai tinggi.
Ketika masyarakat, nasabah, pegawai, atau mitra meminta akses atas datanya, organisasi harus dapat merespons dengan tepat. Jika tidak, risikonya bukan hanya keluhan operasional, tetapi juga turunnya kepercayaan dan lemahnya pembuktian kepatuhan. UU PDP sendiri memberi hak kepada subjek data untuk memperoleh akses, salinan, memperbarui data, mengakhiri pemrosesan tertentu, menarik persetujuan, membatasi pemrosesan, hingga menggugat dan menerima ganti rugi dalam kondisi tertentu.
Apa Saja Bentuk Permintaan dalam DSAR?
Dalam implementasinya, DSAR bisa muncul dalam berbagai bentuk. Misalnya:
- permintaan untuk mengetahui apakah data pribadi sedang diproses,
- permintaan salinan data pribadi,
- permintaan koreksi atas data yang tidak akurat,
- permintaan penghentian atau pembatasan pemrosesan,
- permintaan penghapusan data sesuai ketentuan,
- permintaan penarikan persetujuan.
Artinya, organisasi perlu memandang DSAR sebagai proses lintas fungsi, bukan hanya tugas tim legal atau IT.
Risiko Jika Proses DSAR Masih Manual
Banyak organisasi sebenarnya sudah menerima permintaan terkait data pribadi, tetapi belum memiliki alur yang rapi. Permintaan sering masuk lewat email, surat, formulir umum, atau bahkan layanan pelanggan. Tanpa sistem yang jelas, beberapa masalah berikut mudah terjadi:
- Permintaan tidak tercatat dengan baik.
- Identitas pemohon tidak diverifikasi secara memadai.
- Permintaan diteruskan ke unit yang salah.
- Respons terlambat karena tidak ada SLA yang jelas.
- Dokumen pendukung tercecer.
- Organisasi kesulitan menunjukkan bukti penanganan saat audit.
Bagi sektor yang sangat diatur seperti pemerintahan dan perbankan, kondisi ini dapat menjadi titik lemah serius dalam tata kelola data pribadi.
Tahapan Penting dalam Penanganan DSAR
Agar proses DSAR berjalan tertib, organisasi perlu memiliki tahapan yang jelas.
1. Penerimaan dan Pencatatan Permintaan
Setiap permintaan harus masuk ke kanal resmi dan langsung dicatat. Informasi minimal yang perlu direkam antara lain identitas pemohon, tanggal masuk, jenis permintaan, unit terkait, dan target waktu respons.
2. Verifikasi Identitas Pemohon
Tahap ini penting untuk memastikan bahwa data tidak diberikan kepada pihak yang salah. Verifikasi harus proporsional, cukup untuk memastikan identitas, tetapi tidak berlebihan.
3. Klasifikasi Jenis Permintaan
Tidak semua permintaan memiliki penanganan yang sama. Permintaan akses, koreksi, penghapusan, atau pembatasan pemrosesan memerlukan alur dan penanggung jawab yang bisa berbeda.
4. Koordinasi ke Unit Pemilik Data
Data pribadi sering tersebar di berbagai sistem dan unit kerja. Karena itu, DSAR perlu diteruskan secara terarah ke pemilik proses atau pemilik data yang relevan.
5. Review Kepatuhan dan Penyusunan Respons
Sebelum jawaban dikirim, organisasi perlu memastikan data yang diberikan sudah sesuai, lengkap, dan tidak melanggar ketentuan lain yang berlaku.
6. Dokumentasi dan Penutupan
Setelah respons diberikan, seluruh bukti penanganan perlu disimpan. Dokumentasi ini penting untuk audit trail, evaluasi internal, dan perbaikan proses ke depan.
Mengapa DSAR Perlu Didukung Sistem?
Saat volume permintaan meningkat, pengelolaan manual lewat email dan spreadsheet menjadi tidak cukup. Organisasi membutuhkan sistem yang dapat membantu:
- mencatat seluruh permintaan dalam satu dashboard,
- memantau status dan SLA,
- mengarahkan tugas ke unit terkait,
- menyimpan bukti verifikasi dan respons,
- menyediakan audit trail,
- menyiapkan laporan untuk evaluasi dan kepatuhan.
Pendekatan ini jauh lebih relevan bagi pemerintahan, BUMN/BUMD, dan perbankan yang membutuhkan keterlacakan proses dan koordinasi antarunit.
DSAR sebagai Bagian dari Sistem Kepatuhan yang Lebih Besar
DSAR tidak berdiri sendiri. Proses ini akan jauh lebih kuat jika terhubung dengan komponen tata kelola data pribadi lainnya, seperti:
RoPA
Membantu organisasi mengetahui data apa yang diproses, untuk tujuan apa, dan di unit mana.
DPIA
Membantu menilai risiko pemrosesan data, terutama untuk aktivitas yang berisiko tinggi.
Gap Assessment
Membantu melihat sejauh mana kesiapan kebijakan, prosedur, dan kontrol organisasi.
Dengan kata lain, DSAR adalah salah satu proses operasional yang menunjukkan apakah sistem perlindungan data pribadi benar-benar berjalan, bukan hanya tertulis di dokumen.
Kesimpulan
Data Subject Access Request adalah proses penting dalam sistem perlindungan data pribadi karena berkaitan langsung dengan hak subjek data, transparansi pemrosesan, dan kesiapan organisasi dalam merespons permintaan secara akuntabel. Untuk pemerintahan, BUMN/BUMD, dan perbankan, DSAR perlu dikelola secara tertib, terukur, dan terdokumentasi.
Jika proses ini masih dilakukan secara manual, risiko keterlambatan, miskomunikasi, dan lemahnya bukti kepatuhan akan semakin besar. Karena itu, organisasi perlu mulai membangun prosedur yang jelas dan mempertimbangkan penggunaan aplikasi PDP agar pengelolaan DSAR lebih cepat, rapi, dan mudah dipantau.
Ingin mengetahui kesiapan proses DSAR di organisasi Anda? Konsultasikan kebutuhan Anda sekarang. Jika diperlukan, proses DSAR juga dapat diperkuat melalui aplikasi PDP maupun pendampingan implementasi PDP agar kepatuhan tidak berhenti di kebijakan, tetapi benar-benar berjalan dalam operasional sehari-hari.
