Disahkannya Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) membuka peluang bagi individu untuk memperoleh keadilan dan pelindungan hukum dari tindakan penyalahgunaan data pribadi. Mengingat data pribadi berkaitan erat dengan hak atas privasi individu, UU PDP mendefinisikan Pelindungan Data Pribadi sebagai keseluruhan upaya untuk melindungi Data Pribadi dalam rangkaian pemrosesan Data Pribadi guna menjamin hak konstitusional subjek Data Pribadi. Hak Subjek Data Pribadi tersebut meliputi hak mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum, tujuan permintaan dan penggunaan Data Pribadi, dan akuntabilitas pihak yang meminta Data Pribadi tetapi juga hak menggugat, menerima ganti rugi atas pelanggaran pemrosesan Data Pribadi tentang dirinya dan lain sebagainya. Akan tetapi, hak-hak tertentu dikenakan pembatasan yang diatur dalam Pasal 15 ayat (1) UU PDP.
UU PDP turut mengatur mengenai kewajiban Pengendali Data Pribadi seperti sebelum memproses Data Pribadi, Pengendali Data Pribadi diwajibkan untuk memperoleh dasar pemrosesan Data Pribadi sesuai ketentuan Pasal 20 ayat (1) UU PDP. Rincian dasar pemrosesan Data Pribadi diatur dalam Pasal 20 ayat (2) yang salah satunya meminta persetujuan yang sah dan ekplisit dari Subjek Data Pribadi. Tata cara permintaan persetujuan harus memperhatikan ketentuan Pasal 22 UU PDP. Namun, terhadap Data Pribadi anak dan penyandang disabilitas yang diselenggarakan secara khusus mengikuti ketentuan Pasal 25 dan Pasal 26 UU PDP. Persetujuan yang tidak sah berakibat pada dinyatakan batal demi hukum. Subjek Data Pribadi dapat menarik kembali dan Pengendali Data Pribadi wajib menghentikan pemrosesan Data Pribadi paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan penarikan kembali persetujuan tersebut.
Selain itu, kewajiban Pengendali Data Pribadi lainnya yaitu menolak memberikan akses perubahan, mengakhiri pemrosesan menghapus serta memusnahkan Data Pribadi. UU PDP turut mengatur mekanisme jika terjadi kegagalan Pelindungan Data Pribadi yang mana jika terjadi maka Pengendali Data wajib menyampaikan pemberitahuan tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada Subjek Data Pribadi dan Lembaga. Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi. Berdasarkan Pasal 50 ayat (1) UU PDP kewajiban Pengendali Data Pribadi dapat dikecualikan untuk kepentingan pertahanan dan keamanan nasional, kepentingan proses penegakan hukum, kepentingan umum dalam rangka penyelenggaraan negara, atau kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.
Perlu diperhatikan pula ketentuan Pasal 65 dan Pasal 66 UU PDP yang mengatur larangan terhadap individu untuk memperoleh Data Pribadi, mengungkapkan Data Pribadi, menggunakan Data Pribadi yang bukan miliknya, dan membuat Data Pribadi palsu atau memalsukan Data Pribadi. Pelanggaran atas larangan tersebut akan dikenakan pidana penjara, denda, hingga pembayaran ganti rugi.
Penulis: Cathryna Gabrielle Djoeng, SH.