Dalam era digital yang serba terkoneksi, data pribadi telah menjadi aset berharga sekaligus rentan. Indonesia, melalui Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP), telah mengambil langkah maju untuk memastikan hak-hak individu atas data mereka terlindungi. Namun, untuk benar-benar memahami bagaimana UU PDP bekerja, penting untuk menelaah secara mendalam apa saja yang menjadi ruang lingkupnya. Siapa yang dilindungi? Data apa saja yang termasuk? Dan di mana saja undang-undang ini berlaku? Artikel ini akan mengupas tuntas cakupan UU PDP agar Anda lebih cerdas dalam mengelola dan melindungi data pribadi Anda.
Apa Itu UU PDP?
Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP) adalah payung hukum utama di Indonesia yang mengatur hak dan kewajiban terkait pengolahan data pribadi. Disahkan pada tanggal 17 Oktober 2022, UU ini bertujuan untuk melindungi setiap individu dari penyalahgunaan data pribadinya, sekaligus memberikan kepastian hukum bagi pengendali dan prosesor data. Lahirnya UU PDP ini merupakan respons terhadap kebutuhan mendesak akan regulasi yang komprehensif di tengah maraknya kasus kebocoran data dan penyalahgunaan informasi pribadi di berbagai sektor.
Siapa yang Diatur dan Dilindungi oleh UU PDP?
Ruang lingkup UU PDP mencakup tiga entitas utama yang saling berinteraksi dalam ekosistem data:
1. Subjek Data Pribadi
Ini adalah individu pemilik data pribadi. UU PDP menegaskan hak-hak fundamental subjek data, termasuk hak untuk mendapatkan informasi, menarik persetujuan, mengajukan keberatan, menunda atau membatasi pemrosesan, hingga menuntut ganti rugi atas pelanggaran data pribadi.
2. Pengendali Data Pribadi
Pengendali data adalah setiap orang, badan publik, atau organisasi yang menentukan tujuan dan sarana pengolahan data pribadi. Mereka memiliki tanggung jawab utama untuk memastikan pengolahan data dilakukan sesuai dengan prinsip-prinsip UU PDP, seperti mendapatkan persetujuan, menjaga kerahasiaan, dan menerapkan langkah-langkah keamanan yang memadai.
3. Prosesor Data Pribadi
Prosesor data adalah pihak yang mengolah data pribadi atas nama pengendali data. Meskipun bekerja di bawah instruksi pengendali, prosesor juga memiliki kewajiban untuk menjaga keamanan dan kerahasiaan data serta bekerja sesuai dengan kontrak dan ketentuan UU PDP.
Data Apa Saja yang Dilindungi?
UU PDP mengklasifikasikan data pribadi menjadi dua kategori utama:
1. Data Pribadi Umum
- Nama lengkap
- Jenis kelamin
- Kewarganegaraan
- Agama
- Status perkawinan
- Data pribadi yang dikombinasikan untuk mengidentifikasi seseorang
2. Data Pribadi Spesifik
Kategori ini memerlukan perlindungan lebih ketat karena sifatnya yang sangat sensitif dan berpotensi menimbulkan diskriminasi atau kerugian serius jika disalahgunakan. Data pribadi spesifik meliputi:
- Data dan informasi kesehatan
- Data biometrik (misalnya sidik jari, pengenalan wajah)
- Data genetika
- Catatan kriminal
- Data anak
- Data keuangan pribadi
- Data kombinasi laiya yang dapat mengidentifikasi seseorang dan membutuhkan perlindungan ekstra
UU PDP memberikan perhatian khusus pada perlindungan data pribadi spesifik ini, dengan persyaratan yang lebih ketat dalam hal persetujuan dan pengamanan.
Di Mana UU PDP Berlaku? (Cakupan Teritorial)
Salah satu aspek penting dari UU PDP adalah cakupan teritorialnya yang luas, mencakup tidak hanya di dalam negeri tetapi juga situasi lintas batas. UU PDP berlaku untuk:
- Setiap orang, badan publik, atau organisasi yang melakukan perbuatan hukum pengolahan data pribadi di wilayah hukum Indonesia.
- Pengolahan data pribadi yang dilakukan oleh pengendali data pribadi atau prosesor data pribadi di luar wilayah hukum Indonesia, jika:
- memiliki akibat hukum di wilayah hukum Indonesia;
- berdampak pada subjek data pribadi warga negara Indonesia di luar wilayah hukum Indonesia; dan/atau
- untuk menawarkan layanan atau barang kepada subjek data pribadi warga negara Indonesia.
Ini berarti, perusahaan global yang mengumpulkan data warga negara Indonesia, meskipun beroperasi di luar negeri, tetap wajib mematuhi ketentuan UU PDP.
Aktivitas Pengolahan Data yang Dicakup
UU PDP mengatur seluruh siklus hidup pengolahan data pribadi, mulai dari awal hingga akhir. Aktivitas pengolahan data pribadi meliputi:
- Pengumpulan
- Analisis
- Penyimpanan
- Perbaikan dan pembaruan
- Penampilan atau penayangan
- Pengumuman
- Transfer
- Penyebarluasan
- Pemusnahan atau penghapusan
Setiap tahapan ini harus dilakukan sesuai dengan prinsip-prinsip perlindungan data, yaitu sah, adil, transparan, relevan, akurat, terbatas, dan aman.
Pengecualian dan Batasan Ruang Lingkup
Meskipun cakupaya luas, UU PDP juga memiliki pengecualian tertentu. Ketentuan UU PDP tidak berlaku untuk pengolahan data pribadi oleh perseorangan dalam kegiatan pribadi atau rumah tangga. Selain itu, pengolahan data pribadi untuk tujuan spesifik seperti kepentingan pertahanan dan keamanaasional, kepentingan proses penegakan hukum, kepentingan umum dalam penyelenggaraaegara, atau kepentingan riset ilmiah juga dapat memiliki perlakuan khusus, namun tetap dengan batasan dan perlindungan yang ketat untuk mencegah penyalahgunaan.
Kesimpulan
Memahami ruang lingkup perlindungan data pribadi dalam UU PDP adalah langkah krusial bagi setiap individu dan organisasi di Indonesia. UU ini memberikan kerangka hukum yang komprehensif untuk melindungi hak-hak individu atas data mereka, sekaligus menetapkan tanggung jawab bagi pengendali dan prosesor data. Dari jenis data yang dilindungi, pihak-pihak yang terlibat, hingga cakupan geografis dan aktivitas pengolahan data, UU PDP dirancang untuk menciptakan ekosistem digital yang lebih aman dan bertanggung jawab. Dengan memahami ruang lingkup ini, kita semua dapat berkontribusi pada perlindungan data pribadi yang lebih baik dan memanfaatkan potensi digital dengan lebih percaya diri.
