Dalam era digital, data pribadi menjadi aset penting bagi organisasi. Pemerintahan, BUMN/BUMD, dan perbankan mengelola data masyarakat, pegawai, nasabah, mitra, hingga pihak ketiga dalam jumlah besar.
Namun, semakin besar data yang dikelola, semakin besar pula tanggung jawab organisasi untuk melindunginya.
UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi atau UU PDP hadir sebagai dasar hukum yang mengatur hak Subjek Data Pribadi, kewajiban Pengendali Data Pribadi, kewajiban Prosesor Data Pribadi, pemrosesan data pribadi, transfer data pribadi, hingga sanksi.
Artinya, perusahaan tidak cukup hanya mengumpulkan dan menyimpan data. Perusahaan juga wajib memahami hak individu sebagai pemilik data pribadi.
Apa Itu Subjek Data Pribadi?
Subjek Data Pribadi adalah orang perseorangan yang pada dirinya melekat data pribadi.
Dalam konteks organisasi, Subjek Data Pribadi dapat berupa:
- Nasabah bank.
- Pegawai atau calon pegawai.
- Pelanggan layanan publik.
- Vendor atau mitra kerja.
- Masyarakat penerima layanan.
- Pengguna aplikasi atau sistem digital.
Misalnya, ketika sebuah bank menyimpan data nama, NIK, nomor rekening, alamat, data transaksi, dan informasi keuangan nasabah, maka nasabah tersebut adalah Subjek Data Pribadi.
Begitu pula ketika instansi pemerintahan mengelola data penduduk atau BUMD mengelola data pelanggan layanan air, transportasi, atau utilitas publik.
Mengapa Hak Subjek Data Pribadi Penting bagi Perusahaan?
Hak Subjek Data Pribadi penting karena data pribadi bukan sekadar informasi administratif. Data tersebut berkaitan dengan identitas, privasi, keamanan, dan hak individu.
Bagi perusahaan, pemenuhan hak Subjek Data Pribadi menjadi bagian dari tata kelola data yang baik. Jika hak ini diabaikan, organisasi dapat menghadapi risiko hukum, komplain publik, gangguan reputasi, hingga hilangnya kepercayaan masyarakat.
Hal ini sangat penting bagi sektor pemerintahan, BUMN/BUMD, dan perbankan karena ketiganya mengelola data yang bersifat luas, sensitif, dan berdampak langsung terhadap layanan publik maupun kepercayaan nasabah.
Hak Subjek Data Pribadi Menurut UU PDP
UU PDP mengatur hak Subjek Data Pribadi, termasuk hak untuk mendapatkan informasi, melengkapi dan memperbaiki data, mengakses data, mengakhiri pemrosesan, menghapus data, menarik persetujuan, mengajukan keberatan, hingga hak portabilitas data.
Berikut beberapa hak yang wajib dipahami perusahaan.
1. Hak Mendapatkan Informasi
Subjek Data Pribadi berhak mendapatkan informasi yang jelas mengenai pemrosesan data pribadinya.
Informasi tersebut dapat mencakup tujuan pemrosesan, dasar pemrosesan, identitas pihak yang memproses data, serta akuntabilitas pihak yang meminta atau menggunakan data.
Bagi perusahaan, ini berarti setiap pengumpulan data harus disertai pemberitahuan privasi yang jelas, mudah dipahami, dan tidak menyesatkan.
2. Hak Melengkapi dan Memperbaiki Data
Subjek Data Pribadi berhak melengkapi, memperbarui, atau memperbaiki data pribadi yang tidak akurat.
Contohnya, nasabah mengganti nomor telepon, pegawai memperbarui alamat, atau pelanggan meminta koreksi nama yang salah pada sistem.
Perusahaan perlu memiliki mekanisme perubahan data yang aman, terdokumentasi, dan dapat diverifikasi.
3. Hak Mendapatkan Akses dan Salinan Data
Subjek Data Pribadi berhak memperoleh akses dan salinan data pribadi tentang dirinya.
Dalam praktiknya, perusahaan harus mampu menjawab pertanyaan seperti:
- Data pribadi apa saja yang disimpan?
- Untuk apa data tersebut digunakan?
- Siapa saja pihak yang menerima atau memproses data tersebut?
- Berapa lama data tersebut disimpan?
Tanpa sistem pencatatan yang baik, permintaan akses data dapat menjadi sulit dipenuhi.
4. Hak Mengakhiri Pemrosesan, Menghapus, atau Memusnahkan Data
Subjek Data Pribadi dapat meminta agar pemrosesan data dihentikan, dihapus, atau dimusnahkan sesuai ketentuan yang berlaku.
Namun, perusahaan juga perlu menilai apakah data tersebut masih wajib disimpan berdasarkan regulasi lain. Misalnya, data transaksi keuangan di sektor perbankan mungkin masih memiliki kewajiban retensi tertentu.
Karena itu, perusahaan perlu memiliki kebijakan retensi data dan prosedur penghapusan data yang jelas.
5. Hak Menarik Kembali Persetujuan
Jika pemrosesan data dilakukan berdasarkan persetujuan, maka Subjek Data Pribadi berhak menarik kembali persetujuan tersebut.
Contohnya, pelanggan menarik persetujuan untuk menerima promosi, atau pengguna aplikasi meminta agar datanya tidak lagi digunakan untuk tujuan tertentu.
Perusahaan perlu memastikan sistemnya dapat mencatat kapan persetujuan diberikan, untuk tujuan apa, dan kapan persetujuan ditarik kembali.
6. Hak Mengajukan Keberatan atas Pemrosesan Otomatis
Dalam layanan digital, banyak keputusan yang dapat diproses secara otomatis. Misalnya, penilaian kelayakan, segmentasi pelanggan, atau pemrofilan berbasis sistem.
Subjek Data Pribadi memiliki hak untuk mengajukan keberatan jika pemrosesan otomatis tersebut berdampak signifikan terhadap dirinya.
Bagi perusahaan, hal ini menuntut transparansi dalam penggunaan teknologi, termasuk kecerdasan buatan, analitik data, atau sistem penilaian otomatis.
7. Hak Membatasi atau Menunda Pemrosesan Data
Subjek Data Pribadi juga dapat meminta pembatasan atau penundaan pemrosesan data dalam kondisi tertentu.
Perusahaan perlu menyiapkan prosedur untuk menandai data yang sedang dibatasi pemrosesannya, agar data tersebut tidak digunakan secara keliru oleh unit lain.
8. Hak Menggugat dan Menerima Ganti Rugi
Jika terjadi pelanggaran dalam pemrosesan data pribadi, Subjek Data Pribadi dapat menggugat dan meminta ganti rugi sesuai ketentuan hukum.
Risiko ini perlu menjadi perhatian manajemen, terutama bagi organisasi yang mengelola data berskala besar dan berdampak tinggi.
9. Hak Portabilitas Data
Subjek Data Pribadi berhak memperoleh dan menggunakan data pribadinya, termasuk mengirimkan data tersebut kepada Pengendali Data Pribadi lain sepanjang sistem yang digunakan dapat saling berkomunikasi secara aman.
Hak ini penting bagi sektor digital dan keuangan, karena menuntut organisasi memiliki tata kelola data yang rapi, aman, dan dapat dipertanggungjawabkan.
Tantangan Perusahaan dalam Memenuhi Hak Subjek Data
Memenuhi hak Subjek Data Pribadi tidak selalu mudah. Banyak organisasi masih menghadapi tantangan seperti:
- Data tersebar di banyak sistem.
- Belum ada inventaris data pribadi.
- Tidak ada kanal resmi permintaan data.
- Belum ada SOP DSAR atau Data Subject Access Request.
- Tidak jelas siapa PIC pemrosesan permintaan.
- Bukti persetujuan belum terdokumentasi.
- Proses penghapusan dan retensi data belum baku.
Bagi pemerintahan, BUMN/BUMD, dan perbankan, tantangan ini dapat menjadi lebih kompleks karena melibatkan banyak unit kerja, sistem, vendor, dan regulasi sektoral.
Apa yang Harus Disiapkan Perusahaan?
Agar siap memenuhi hak Subjek Data Pribadi, perusahaan perlu membangun tata kelola PDP secara bertahap.
Beberapa langkah penting yang dapat dilakukan antara lain:
- Menyusun kebijakan pelindungan data pribadi.
- Membuat SOP permintaan Subjek Data Pribadi.
- Menyusun inventaris data pribadi.
- Membuat ROPA atau Record of Processing Activities.
- Menyiapkan DPIA untuk pemrosesan berisiko tinggi.
- Menata mekanisme persetujuan dan penarikan persetujuan.
- Menyediakan kanal resmi untuk pengajuan permintaan data.
- Mencatat seluruh proses pemenuhan permintaan sebagai bukti kepatuhan.
Dengan langkah tersebut, perusahaan tidak hanya terlihat patuh di atas dokumen, tetapi juga mampu membuktikan kepatuhan ketika terjadi audit, pemeriksaan, atau permintaan dari Subjek Data Pribadi.
Aplikasi Regula untuk Membantu Kepatuhan PDP
Pengelolaan hak Subjek Data Pribadi akan lebih efektif jika didukung oleh sistem yang terstruktur.
Aplikasi Regula dapat membantu organisasi dalam mengelola kepatuhan PDP, mulai dari GAP Assessment, ROPA, DPIA, hingga DSAR. Dengan sistem ini, perusahaan dapat mencatat proses, memantau tindak lanjut, dan menyimpan bukti kepatuhan secara lebih rapi.
Bagi pemerintahan, BUMN/BUMD, dan perbankan, penggunaan aplikasi PDP seperti Regula dapat menjadi langkah strategis untuk memperkuat tata kelola data pribadi dan meningkatkan kepercayaan publik.
Kesimpulan
Hak Subjek Data Pribadi menurut UU PDP wajib dipahami oleh setiap perusahaan. Hak ini mencakup hak atas informasi, akses data, perbaikan data, penghapusan data, penarikan persetujuan, pembatasan pemrosesan, keberatan atas pemrosesan otomatis, hingga portabilitas data.
Perusahaan perlu menyiapkan kebijakan, SOP, sistem pencatatan, dan mekanisme pemenuhan permintaan agar kepatuhan PDP dapat berjalan secara nyata.
Jika organisasi Anda ingin memastikan kesiapan dalam memenuhi hak Subjek Data Pribadi, segera lakukan konsultasi kepatuhan PDP bersama tim ahli. Anda juga dapat menggunakan Aplikasi Regula untuk membantu pengelolaan GAP Assessment, ROPA, DPIA, dan DSAR secara lebih terstruktur.
Apabila membutuhkan pendampingan PDP, tim kami siap membantu organisasi Anda menyusun tata kelola, dokumen, prosedur, dan sistem kepatuhan yang sesuai dengan kebutuhan sektor pemerintahan, BUMN/BUMD, maupun perbankan.
