Undang-undang Pelindungan Data Pribadi (UU PDP) Telah Berlaku di Indonesia sejak bulan Oktober 2024 lalu. Salah satu yang mulai marak muncul di aplikasi-aplikasi baik berbasis web maupun smartphone adalah munculnya halaman consent. Pengguna disajikan halaman kebijakan privacy yang perlu discroll berkali-kali sampai muncul check box yang harus dicentang dan klik tombol tanda setuju .
Pertanyaannya, apakah semua pengumpulan data pribadi (nama, email, telpon, dll) harus ada consent? Jawabannya adalah TIDAK! Tapi ...
Dalam Undang-undang PDP, pasal 20 dinyatakan bahwa data controller (pengendali data pribadi) harus memiliki dasar pemrosesan data pribadi. Dalam GDPR istilahnya legal basis. Dan consent hanyalah salah satu dari 6 legal basis yang dibolehkan oleh PDP. Ke-enam dasar pemrosesan data pribadi adalah sebagai berikut: (Untuk memudahkan kita singkat 3C + 3I)
- Consent
- Contract
- Compliance
- Vital Interest
- Public Interest
- Legitimate Interest
Coba kita jabarkan satu persatu
Consent adalah persetujuan eksplisit dan sah dari subject data (yaitu individu yang datanya akan disimpan/diproses). Ada kata eksplisit dan sah dalam consent. Bukan consent sembarang consent, tapi consent yang eksplisit dan sah. Eksplisit artinya secara jelas disebutkan data apa yang diambil, untuk keperluan apa dan apakah data ini akan di-share kepada pihak ketiga.
Namun sebenarnya, di balik consent yang dibaca dan disetujui oleh pengguna, di belakang layar ada aplikasi consent management (seharusnya). Dengan consent management, kita bisa melihat user A kapan menyetujui consent? Dan lebih specific lagi consent yang mana? versi berapa? Kalau pengguna tersebut ingin mencabut consent, dia bisa cabut kapan saja dan bisa dilihat di dashboard consent management. Mungkin sebagian dari consent yang kita lihat hanya buat syarat aja agar terlihat peduli privacy, jangan-jangan di belakangnya tidak ada tersimpan data-data consent dari penggunanya.
Contract yang dibolehkan digunakan sebagai dasar pemrosesan data pribadi adalah kontrak yang mana subject data adalah salah satu pihaknya. Misalnya pada kontrak jual beli diperlukan nama, alamat dan nomor rekening. Maka permintaan data pribadi ini sudah sah tanpa harus ada consent. Legal basis contract ini juga dapat digunakan sebelum ada contract, yaitu ketika dibutuhkan data-data untuk membuat kontrak tersebut.
Contoh lain dari contract sebagai dasar pengumpulan pribadi adalah ketika perusahaan meminta karyawan menuliskan data-data pribadinya seperti NIK, NPWP dan nomor rekening.
Compliance yang dimaksud di sini adalah kepatuhan kepada undang-undang atau regulasi yang berlaku resmi seperti undang-undang pencucian uang yang mewajibkan pihak Bank untuk "know your customer". Ketika pihak Bank meminta kita menuliskan nama, NIK, nomor telpon dan alamat yang valid, secara sah Bank telah memenuhi dasar pemrosesan data pribadi, legal basis.
Vital Interest berurusan dengan masalah hidup atau mati dari subject data. Ketika dalam kondisi darurat pihak rumah sakit memerlukan data-data kesehatan dari subject data untuk melakukan tindakan darurat, maka dikatakan pihak rumah sakit telah memenuhi legal basis berupa Vital Interest. Pihak RS berhak meminta data-data yang dibutuhkan tersebut kepada anggota keluarga atau bahkan dari pihak lain seperti Rumah Sakit lainnya tentang riwayat penyakit si subject data
Untuk Public Interest sebagai legal basis pengumpulan data pribadi, data controller harus hati-hati. Tidak asal untuk kepentingan publik maka orang bebas mengumpulkan data, bagaimanapun bagusnya itu untuk publik. Public Interest di sini adalah kepentingan publik yang diatur oleh undag-undang! Misalnya, untuk keperluan pilpres atau pileg, panitia berhak mengumpulkan data-data seperti nama, NIK dan alamat.
Legitimate Interest lebih harus hati-hati lagi. Ini adalah dasar pemrosesan data pribadi yang paling fleksibel sekaligus paling tricky! Pihak perusahaan bisa argue bahwa pihaknya memiliki keperluan yang sah terkait operasional perusahaan tapi dia harus membuktikan kepada otoritas (kalau amit-amit nanti terjadi kasus dan otoritas meminta perusahaan menjelaskan legal basis pengumpulan data pribadi). Nah bisa jadi apa yang menurut perusahaan legitimate, tidak sah menurut aparat. Nah lho.