Bagian I - Panduan Singkat Untuk Memahami Data Pribadi - Jenis Dan Hak Subjek Data
Bagian I - Panduan Singkat Untuk Memahami Data Pribadi - Jenis Dan Hak Subjek Data
com
Sebagai informasi latar belakang, RUU tersebut pertama kali digagas oleh pemerintah pada tahun 2014[3] dan seiring
berjalannya waktu, banyak penyesuaian dilakukan pada strukturnya, yang pada akhirnya menghasilkan RUU yang ada
saat ini, dengan total 76 pasal dan 16 bab yang membahas bidang-bidang berikut: 1) Ketentuan umum; 2) Prinsip; 3)
Jenis Data; 4) Hak Subjek Data (“Subjek”); 5) Pengolahan data; 6) Kewajiban Pengendali Data (“Pengendali”); 7) Transfer
data; 8) Sanksi administratif; 9) Institusi; 10) Kerjasama internasional; 11) Partisipasi publik; 12) Proses penyelesaian
sengketa; 13) Larangan penggunaan Data; 14) Ketentuan pidana; 15) Ketentuan pengalihan; dan 16) Ketentuan penutup.
Mengingat pentingnya perlindungan Data di dunia modern, legal research and analysis team Hukumonline
menawarkan seperangkat pedoman teknis yang berguna untuk Anda dan berbagai jenis entitas yang terkait dengan
Anda dalam peran Anda sebagai Pengendali atau Prosesor Data (“Prosesor”). Analisis kami di sini menawarkan
ringkasan dasar dari berbagai klasifikasi Data, serta hak-hak Subjek. Pedoman ini mengacu pada RUU PDP yang
diterbitkan melalui situs resmi DPR RI pada 20 September 2022, serta berbagai kerangka peraturan Indonesia yang ada
dan mencakup wawasan yang diperoleh dari praktisi Data yang beroperasi di Indonesia.
Seri empat bagian dari Indonesian Law Digest (“ILD”) ini akan membahas masalah perlindungan Data di Indonesia dan
selanjutnya akan berfokus pada topik khusus berikut:
Selain itu, berbagai kerangka regulasi Indonesia yang dibahas dalam rangkaian ILD ini meliputi hal-hal berikut:
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 1/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
Dengan latar belakang ini dan untuk memberikan analisis yang komprehensif dan pembahasan yang jelas mengenai
ketentuan perlindungan Data yang dibahas di bawah RUU, pedoman umum kami, seperti yang ditawarkan dalam edisi
ILD ini, telah dipecah menjadi beberapa bagian:
I. Pengendali dan Prosesor: Contoh dan Pedoman Penilaian Mandiri untuk Kepatuhan terhadap RUU PDP
A. Studi kasus
B. Penilaian Mandiri
II. Jenis Data: Bagaimana Klasifikasi Ini Berdampak pada Pemrosesan Data?
A. Konsep umum
B. Data umum
C. Data spesifik
III. Implementasi Hak Subjek oleh Pengendali: Ringkasan Singkat tentang Yang Harus Dilakukan dan yang Tidak
Boleh Dilakukan
I. Pengendali dan Prosesor: Contoh dan Pedoman Penilaian Mandiri untuk
Kepatuhan terhadap RUU PDP
Sebelum kita menyelami berbagai jenis Data dan hak Subjek, bagian pertama ini akan memberikan penjabaran
singkat mengenai hal-hal berikut: A) Studi kasus pihak-pihak yang diklasifikasikan sebagai Pengendali, Prosesor,
dan Subjek; dan B) Penilaian sendiri yang dilakukan oleh Pengendali dan Pemroses. Singkatnya, bagian berikut
menawarkan pemahaman dasar tentang peran dasar Pengendali, Prosesor, dan Subjek.
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 2/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
Perusahaan A mengadakan acara internal, yang melibatkan pihak-pihak dari berbagai divisi yang hadir sebagai
tamu. Perusahaan tersebut juga menggunakan jasa penyelenggara acara (“EO”) untuk membantu Perusahaan A
dalam pengelolaan pendaftaran tamu, yang mengharuskan tamu untuk menuliskan nama, nomor telepon, dan
alamat email mereka (secara kolektif disebut sebagai “Data Tamu”) dalam buku tamu yang disediakan oleh
Perusahaan A. Selain itu, perlu diketahui bahwa Perusahaan A telah menetapkan ketentuan sebagai berikut: 1)
Mengamanatkan bahwa EO harus mengelola Data Tamu mulai dari proses pendaftaran sampai dengan kompilasi
Data tersebut ke dalam satu PDF; 2) Melarang EO menggunakan Data Tamu untuk tujuan apa pun selain dari acara
yang bersangkutan.
Setelah acara selesai, EO wajib melakukan pencatatan Data Tamu melalui penggunaan laptop EO, sedangkan
transfer rekap Data Tamu akan dikirimkan ke bagian sumber daya manusia (HR) Perusahaan A dan selanjutnya akan
digunakan sebagai bagian dari penilaian pekerja.
Pertanyaan dasar berikut mungkin muncul sehubungan dengan contoh sederhana yang diuraikan di atas:
Pertanyaan Jawaban
Siapa Prosesornya? EO
Apakah Anda salah satu dari jenis entitas berikut? Ya: Lihat Pertanyaan 2
[4]
1. Perseorangan;
Pertanyaan 1 2. Korporasi;
3. Badan publik; dan/atau Tidak: Anda tidak perlu
4. Organisasi Internasional mematuhi RUU PDP.
Apakah Anda atau entitas Anda pernah melaksanakan Ya: Lihat Pertanyaan 3
kegiatan hukum di lokasi berikut?
1. Di dalam wilayah Indonesia; dan
2. Di luar wilayah Indonesia tetapi dengan cara-cara yang Tidak: Anda tidak perlu
[5] mematuhi RUU PDP.
Pertanyaan 2 telah menimbulkan dampak hukum di dalam lokasi-
lokasi berikut:
a. Di dalam wilayah Indonesia; dan/atau
b. Terhadap Subjek yang berkewarganegaraan
Indonesia tetapi berada di luar wilayah Indonesia.
Apakah Anda atau entitas Anda melakukan salah satu Ya: Anda tergolong telah
kegiatan berikut terkait dengan Data? melakukan pengolahan Data.
Lihat Pertanyaan 4
1. Pemrolehan dan pengumpulan;
2. Pengolahan dan penganalisisan;
[6]
Pertanyaan 3 3. Penyimpanan;
4. Perbaikan dan pembaruan; Tidak: Anda tidak perlu
mematuhi RUU PDP.
5. Penampilan, pengumuman, transfer, penyebaran atau
pengungkapan; dan/atau
6. Penghapusan atau pemusnahan.
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 3/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
Apakah Anda perseorangan yang melakukan salah satu Ya: Anda tidak perlu
kegiatan yang tercantum dalam Pertanyaan 3 di atas untuk mematuhi RUU PDP.
[7] keperluan pribadi atau rumah tangga?
Pertanyaan 4
Apakah Anda atau entitas Anda menetapkan tujuan yang Ya: Anda diklasifikasikan
mendasari pemrosesan Data, sekaligus memiliki kendali sebagai Pengendali. Lihat
atas pemrosesan Data? Pertanyaan 7
[8]
Pertanyaan 5
Apakah Anda atau entitas Anda memproses Data apa pun Ya: Anda diklasifikasikan
untuk dan atas nama Pengendali? sebagai Prosesor. Lihat
Pertanyaan 7
[9]
Pertanyaan 6
Apakah Anda atau entitas Anda telah diklasifikasikan Ya: Anda harus mematuhi
sebagai Prosesor atau Pengendali berdasarkan pertanyaan RUU PDP.
di atas?
[10]
Pertanyaan 7
Berdasarkan daftar periksa di atas, harus jelas bahwa jika Anda termasuk dalam kategori Pengendali atau
Prosesor, Anda harus mematuhi ketentuan perlindungan Data yang diatur dalam RUU PDP setelah RUU
tersebut diundangkan. Namun, karena topik yang berkaitan dengan peran Pengendali dan Prosesor akan
dibahas dalam edisi mendatang dari seri ILD ini, kami tidak akan membahasnya secara mendetail di sini.
1. Data yang berkaitan dengan perseorangan yang dapat dan dapat diidentifikasi secara independen atau
ketika digabungkan dengan informasi langsung atau tidak langsung lainnya melalui sistem elektronik
atau non-elektronik (“Definisi 1”); atau
2. Jenis Data tertentu yang keabsahannya dipertahankan, dipelihara, dan dijaga serta dilindungi
kerahasiaannya (“Definisi 2”).
Tabel berikut merupakan gambaran umum dari berbagai peraturan yang ada yang mengadopsi definisi-
definisi di atas:
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 4/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
[11]
UU 23/2006 √
[12]
Perkominfo 20/2016 √
[13]
PP 40/2019 √
[14]
PP 71/2019 √
[15]
RUU PDP √
Dari segi Data itu sendiri, RUU PDP menetapkan dua klasifikasi Data: Data umum dan khusus, yang akan
diuraikan lebih lanjut pada bagian berikut.
RUU PDP mendefinisikan Data spesifik sebagai Data yang dapat berdampak signifikan terhadap Subjek
[17]
terkait dalam pemrosesannya. Contoh dampak tersebut, sebagaimana diatur dalam RUU tersebut, adalah
[18]
potensi tindakan diskriminasi dan kerugian besar yang dialami oleh Subjek. Seperti halnya Data umum,
RUU PDP menetapkan beberapa jenis Data yang termasuk dalam klasifikasi Data Tertentu, sebagaimana
tergambar lebih lanjut dalam mind map berikut:[19]
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 5/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
Selain jenis Data yang dibahas di atas, RUU PDP juga menyebutkan “Data bentuk lain” yang diklasifikasikan
dalam klasifikasi Data Tertentu. Belum ada penjelasan lebih lanjut mengenai bentuk Data lain tersebut,
namun dalam wawancara baru-baru ini dengan Legal Research and Analysis Team Hukumonline, Jodi
Utomo, praktisi perlindungan Data yang beroperasi di sektor jasa keuangan, menjelaskan bahwa Data
tersebut mengacu pada berbagai jenis Data yang secara khusus diatur dalam berbagai peraturan sektoral.
[20]
Data Spesifik dibahas di berbagai kerangka hukum yang ada terkait dengan berbagai hal, beberapa di
antaranya dibahas dalam tabel berikut:
Data Catatan
Mencakup:
1. Identitas pasien;
Rekam medis[21] 2. Hasil pemeriksaan fisik dan penunjang pasien;
3. Diagnosis, pengobatan, rencana layanan kesehatan tindak lanjut; dan
4. Nama dan tanda tangan petugas kesehatan yang bertanggung jawab
memberikan pelayanan kesehatan yang bersangkutan.
Mencakup:
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 6/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
Data individu:
1. Nama;
2. Nomor Induk Kependudukan (NIK);
3. Alamat;
4. Tanggal lahir dan/atau umur;
5. Nomor telepon;
6. Nama ibu kandung; dan/atau
7. Data lain yang disampaikan kepada penyedia jasa keuangan atau penyedia
jasa keuangan yang diberikan akses oleh konsumen.
Data korporasi:
Data dan/atau informasi yang
dimiliki oleh nasabah Pelaku 1. Nama perusahaan;
Usaha Jasa Keuangan (PUJK) 2. Alamat perusahaan;
[23] 3. Nomor telepon;
4. Daftar keanggotaan direksi dan komisaris, termasuk dokumen identitas
mereka (misalnya KTP, paspor atau izin tinggal);
5. Daftar pemegang saham; dan/atau
6. Data lain yang disampaikan kepada penyedia jasa keuangan atau penyedia
jasa keuangan yang diberikan akses oleh konsumen.
Dalam konteks Data ini, Jodi Utomo menyatakan keyakinannya bahwa jenis Data
yang terkait dengan korporasi, sebagaimana tercantum dalam poin (1) - (3) di atas,
tidak dapat diklasifikasikan sebagai Data, karena informasi tersebut berada dalam
domain publik.[24]Namun, penting untuk dicatat bahwa pemeliharaan
kerahasiaan Data adalah wajib bagi pelaku sektor keuangan seperti bank.[25]
Mencakup:[27]
Sehubungan dengan Data di atas, perlu diperhatikan bahwa pengolahan Data umum dan spesifik dapat
dibedakan. Meskipun persetujuan yang sah dan eksplisit menjadi dasar pemrosesan Data, RUU PDP
menetapkan bahwa pemrosesan Data anak dan/atau penyandang disabilitas harus diselenggarakan secara
khusus yang memerlukan persetujuan dari orang tua/wali dan/atau dari penyandang disabilitas/walinya.[29]
Terkait konteks pengolahan Data saat ini, Jodi Utomo juga menjelaskan kepada Hukumonline bahwa Data
spesifik saat ini sedang diproses oleh berbagai perusahaan di seluruh Indonesia sesuai dengan standar global
yang berlaku di bidang terkait.[30] Hal ini akan secara lebih lanjut dibahas dalam edisi mendatang dari seri
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 7/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
ILD ini.
RUU PDP memberi Subjek berbagai hak, sebagaimana terangkum dalam mind map berikut (“Mind Map Hak
Subjek”):[33]
Namun, perlu dicatat bahwa RUU PDP juga menyatakan bahwa sejumlah hak yang diuraikan di atas (yang
ditandai dengan tanda bintang) tidak berlaku dalam beberapa keadaan, sebagai berikut:[34]
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 8/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
Subjek. Sehubungan dengan itu, berbagai hak yang ditebalkan dalam Mind Map Hak-Hak Subjek di atas akan
dilaksanakan melalui pengajuan permohonan tercatat (misalnya pengajuan secara tertulis dilengkapi
dengan log tertentu) kepada Pengendali yang bersangkutan secara elektronik atau manual oleh Subjek.[35]
Karena RUU PDP sendiri tidak mengatur informasi lebih lanjut mengenai hal-hal tersebut, Jodi Utomo
berpendapat bahwa Pengendali harus menyiapkan langkah-langkah tertentu guna memfasilitasi Subjek
untuk dapat mengajukan permohonan yang dijelaskan di atas, yang harus mencakup setidaknya hal-hal
berikut:[36]
Perlu digarisbawahi bahwa penunjukan DPO akan diperlukan jika diperlukan dalam RUU PDP dan hal ini
akan dibahas lebih lanjut dalam ILD edisi mendatang. Selanjutnya, selain berbagai tindakan yang diuraikan di
atas, Pengendali mungkin ingin memanfaatkan teknologi manajemen privasi yang mencakup pemetaan
data dan pengelolaan hak Subjek. Namun, sistem tersebut hanya ditujukan untuk percepatan persyaratan
pemrosesan data, yang berarti bahwa kepemilikan sistem tersebut saat ini tidak wajib di bawah RUU tetapi
dapat mempercepat DPO dalam pelaksanaan perannya.[37](KS)
[1]
CNN Indonesia, “DPR Resmi Sahkan UU Perlindungan Data Pribadi”, sebagaimana diakses melalui:https://www.cnnindonesia.com/nasional/20220920104816-
[2]
Untuk informasi lebih lanjut tentang hal ini, lihat Hukumonline: “Selangkah Lagi RUUPelindunganData Pribadi Bakal Disahkan”.
[3]Kompas.com, “RUU Perlindungan Data Pribadi Akan Diajukan Masuk Prolegnas Prioritas DPR”, sebagaimana diakses
[4]
Pasal 1 (7 - 8) dan 2 (1), RUU PDP.
[5]
Pasal 2 (1), RUU PDP.
[6]
Pasal 16 (1), RUU PDP.
[7]
Pasal 2 (2), RUU PDP.
[8]
Pasal 1 (4), RUU PDP.
[9]
Pasal 1 (5), RUU PDP.
[10]
Pasal 20 - 52, RUU PDP.
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 9/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
[11]
Pasal 1 (22), UU 23/2006.
[12]
Pasal 1 (1), Perkominfo 20/2016.
[13]
Pasal 1 (3), PP 40/2019.
[14]
Pasal 1 (29), PP 71/2019.
[15]
Pasal 1 (1), RUU PDP.
[17]
Penjelasan, Pasal. 4 (1), RUU PDP.
[18]
Ibid.
[20]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[24]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[25]Ibid.
[30]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[31]
Pasal 1 (6), RUU PDP.
[32]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[36]Berdasarkan wawancara dengan Jodi Utomo yang dilakukan pada 23 September 2022.
[37]Ibid.
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 10/11
10/24/22, 8:37 AM Bagian I - Panduan Singkat untuk Memahami Data Pribadi: Jenis dan Hak Subjek Data - Hukumonline.com
https://pro.hukumonline.com/a/lt6333f84201698/bagian-i---panduan-singkat-untuk-memahami-data-pribadi--jenis-dan-hak-subjek-data 11/11