Analisis Persetujuan, Pelanggaran, dan Mekanisme Penegakan Hak atas Data Pribadi Berdasarkan Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi

Kenny Wiston

PENDAHULUAN

Tulisan ini membahas aspek hukum terkait persetujuan, bentuk pelanggaran, mekanisme pengaduan, contoh pelanggaran (termasuk penahanan ijazah pekerja), keabsahan persetujuan dalam rekrutmen kerja, sikap Mahkamah Agung, serta evaluasi dan rekomendasi perbaikan terhadap Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Analisis dilakukan berdasarkan ketentuan normatif dan praktik pelaksanaan, dengan penekanan pada perlindungan hak subjek data pribadi dan kewajiban pengendali data pribadi di Indonesia.

Definisi dan Syarat Persetujuan dalam UU PDP

• Persetujuan dalam konteks UU PDP merupakan pernyataan kehendak yang jelas, diberikan secara sadar, sukarela, dan tanpa paksaan oleh subjek data pribadi untuk mengizinkan pemrosesan data pribadinya.
• Berdasarkan Pasal 1 angka 1 dan Pasal 4 ayat (1) UU PDP, data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya.
• Persetujuan menjadi dasar utama legalitas pemrosesan data pribadi oleh pengendali data pribadi (Pasal 9 ayat (1) Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016).
• Persetujuan harus eksplisit dan dapat ditarik kembali kapan saja oleh subjek data pribadi (Pasal 9 UU PDP).
• Pemrosesan data pribadi tanpa persetujuan hanya dapat dilakukan jika terdapat dasar hukum lain, misalnya untuk kepentingan hukum tertentu (Pasal 15 UU PDP).

Dengan demikian, persetujuan merupakan syarat sah pemrosesan data pribadi, kecuali terdapat pengecualian berdasarkan ketentuan peraturan perundang-undangan.

Bentuk Pelanggaran Data Pribadi dan Mekanisme Pengaduan

• Bentuk pelanggaran data pribadi menurut UU PDP meliputi:
  • Memperoleh atau mengumpulkan data pribadi secara melawan hukum (Pasal 65 ayat (1)).
  • Mengungkapkan data pribadi secara melawan hukum (Pasal 65 ayat (2)).
  • Menggunakan data pribadi secara melawan hukum (Pasal 65 ayat (3)).
  • Membuat atau memalsukan data pribadi (Pasal 66).
  • Pemrosesan tanpa dasar hukum yang sah (Pasal 20, 21, 23).
  • Tidak memenuhi permintaan penghapusan/pemusnahan data (Pasal 43, 44).
  • Tidak memberikan akses atau hak-hak subjek data pribadi (Pasal 5-13).
  • Kegagalan pelindungan data pribadi yang mengakibatkan data terungkap atau diproses secara tidak sah (Pasal 46).
• Mekanisme pengaduan:
  • Pengaduan dapat diajukan ke lembaga pelindungan data pribadi yang ditunjuk Presiden (Pasal 58, 60).
  • Lembaga berwenang menerima aduan, melakukan pemeriksaan, dan menjatuhkan sanksi administratif (Pasal 60).
  • Penyelesaian sengketa dapat melalui arbitrase, pengadilan, atau lembaga alternatif (Pasal 64).
  • Subjek data pribadi berhak menggugat dan menerima ganti rugi (Pasal 12).
  • Pengendali wajib memberitahukan kegagalan pelindungan data pribadi dalam waktu 3 x 24 jam (Pasal 46).
  • Sanksi dapat berupa administratif, pidana, dan pidana tambahan (Pasal 57, 67, 68, 69).

Setiap pelanggaran dapat dilaporkan dan diselesaikan melalui mekanisme administratif, perdata, maupun pidana sesuai ketentuan UU PDP.

Contoh Pelanggaran Data Pribadi: Penahanan Ijazah Pekerja

• Menahan ijazah pekerja tanpa dasar hukum yang sah dan tanpa persetujuan eksplisit merupakan pelanggaran data pribadi (Pasal 65 ayat (1) dan (3) UU PDP).
• Ijazah merupakan dokumen yang memuat data pribadi dan wajib dilindungi (Pasal 1 angka 1, Pasal 4 ayat (3) UU PDP).
• Penahanan ijazah tanpa persetujuan eksplisit dapat dikategorikan sebagai perolehan, pengumpulan, atau penggunaan data pribadi secara melawan hukum.
• Pengendali data pribadi (pemberi kerja) wajib memproses data secara terbatas, spesifik, sah, dan transparan (Pasal 27 UU PDP).
• Jika pekerja meminta kembali ijazahnya dan ditolak tanpa alasan sah, hal ini melanggar hak subjek data pribadi untuk mengakses dan memperoleh salinan data pribadinya (Pasal 7 UU PDP).

Dengan demikian, penahanan ijazah pekerja tanpa dasar hukum dan persetujuan eksplisit merupakan pelanggaran data pribadi menurut UU PDP.

Keabsahan Persetujuan yang Disyaratkan dalam Rekrutmen Kerja

• Persetujuan yang diberikan sebagai syarat melamar kerja harus memenuhi unsur kejelasan, kebebasan, dan eksplisit (Pasal 20, 22, 23 UU PDP).
• Permintaan persetujuan harus terpisah dari hal lain, mudah dipahami, dan menggunakan bahasa sederhana (Pasal 22 ayat (4) UU PDP).
• Persetujuan yang tidak memenuhi ketentuan tersebut batal demi hukum (Pasal 22 ayat (5), Pasal 23 UU PDP).
• Persetujuan tidak boleh menjadi syarat mutlak yang memaksa pelamar menyerahkan data pribadi di luar kebutuhan yang relevan dan proporsional (Pasal 27, 28 UU PDP).
• Jika persetujuan diberikan karena tidak ada pilihan lain, maka persetujuan tersebut dianggap tidak sah.

Dengan demikian, persetujuan dalam rekrutmen kerja hanya sah jika memenuhi seluruh unsur kejelasan, kebebasan, dan eksplisit sesuai ketentuan UU PDP.

Sikap Mahkamah Agung atas Kasus Pelindungan Data Pribadi

• Hingga 14-07-2025, Mahkamah Agung belum mengeluarkan putusan yurisprudensi atau pedoman khusus terkait kasus pelindungan data pribadi berdasarkan UU PDP.
• Penyelesaian sengketa pelindungan data pribadi dapat dilakukan melalui arbitrase, pengadilan, atau lembaga alternatif (Pasal 64 ayat (1) UU PDP).
• Lembaga pelindungan data pribadi sebagaimana diamanatkan Pasal 58 dan 60 UU PDP masih dalam proses pembentukan dan penguatan kewenangannya.
• Sebagian besar pengaduan dan penyelesaian sengketa PDP masih berada pada tahap administratif dan belum sampai tingkat kasasi di Mahkamah Agung.

Dengan demikian, belum terdapat preseden Mahkamah Agung yang dapat dijadikan rujukan utama dalam perkara PDP.

Evaluasi dan Rekomendasi Perbaikan UU PDP

• Kepastian kelembagaan dan kewenangan: Lembaga pelindungan data pribadi (Pasal 58, 60) perlu segera dibentuk dan diatur secara teknis melalui Peraturan Presiden dan Peraturan Pemerintah.
• Pengaturan persetujuan: Standar “kebebasan” dan “eksplisit” dalam pemberian persetujuan perlu ditegaskan agar tidak terjadi penyalahgunaan (Pasal 20, 22, 23).
• Sanksi administratif dan pidana: Diperlukan pengaturan teknis mengenai tata cara penjatuhan sanksi, besaran denda, dan mekanisme penegakan (Pasal 57, 61).
• Mekanisme penyelesaian sengketa: Perlu pengaturan rinci mengenai tata cara, yurisdiksi, dan koordinasi antar lembaga (Pasal 64).
• Pengaturan transfer data ke luar negeri: Diperlukan kejelasan daftar negara tujuan dan mekanisme penilaian (Pasal 56).
• Keterlibatan masyarakat dan edukasi: Penguatan program edukasi dan advokasi masyarakat (Pasal 63).
• Sinkronisasi dengan peraturan sektoral: Diperlukan harmonisasi dan penegasan lex specialis agar tidak terjadi konflik norma.

Perbaikan utama meliputi percepatan pembentukan lembaga, penegasan standar persetujuan, pengaturan teknis sanksi dan penyelesaian sengketa, kejelasan transfer data lintas negara, penguatan edukasi masyarakat, serta harmonisasi dengan peraturan sektoral.

KESIMPULAN

Berdasarkan analisis di atas, dapat disimpulkan bahwa persetujuan merupakan dasar legalitas utama pemrosesan data pribadi, dan pelanggaran terhadap hak subjek data pribadi dapat dilaporkan melalui mekanisme administratif, perdata, maupun pidana. Penahanan ijazah pekerja tanpa dasar hukum dan persetujuan eksplisit merupakan pelanggaran data pribadi. Persetujuan dalam rekrutmen kerja hanya sah jika diberikan secara bebas dan eksplisit. Mahkamah Agung belum memiliki yurisprudensi terkait PDP, dan perbaikan UU PDP diperlukan pada aspek kelembagaan, pengaturan persetujuan, sanksi, penyelesaian sengketa, transfer data, edukasi, dan harmonisasi regulasi.

1. Segera lakukan percepatan pembentukan dan penguatan lembaga pelindungan data pribadi.
2. Pastikan setiap pemrosesan data pribadi, khususnya dalam hubungan kerja, didasarkan pada persetujuan yang sah, eksplisit, dan bebas, serta penuhi hak subjek data pribadi sesuai ketentuan UU PDP.