Bisnis

Sharing Data Pribadi antar Perusahaan, Bolehkah?

<i>Sharing</i> Data Pribadi antar Perusahaan, Bolehkah?

Pertanyaan

Saya ingin bertanya, bolehkah 2 atau lebih instansi yang berbeda, misalkan 2 atau lebih perusahaan ataupun juga antar anak perusahaan untuk berbagi data konsumen yang telah didapatkan oleh masing-masing entitas tersebut? Terima kasih.

Intisari Jawaban

circle with chevron up

Data pribadi dapat dipandang sebagai benda bergerak tidak berwujud yang mempunyai nilai ekonomis dan dapat dialihkan. Perlindungan data pribadi di Indonesia diatur dalam berbagai peraturan perundang-undangan mulai dari Undang-Undang Dasar Tahun 1945 hingga peraturan menteri.

Pemrosesan data pribadi seseorang (termasuk pengalihan, penyebarluasan atau pengungkapan) wajib dilakukan atas persetujuan pemilik data pribadi dan memenuhi keperluan yang telah ditentukan dalam peraturan perundang-undangan.

Penjelasan lebih lanjut dapat Anda klik ulasan di bawah ini.

Ulasan Lengkap

Pada dasarnya, suatu data pribadi, atau data konsumen dalam konteks pertanyaan Anda, dapat dibagikan dengan persetujuan yang sah dari pemilik data pribadi dengan memperhatikan peraturan perundang-undangan yang berlaku, termasuk mengenai pemrosesan data pribadi dan tujuan dari pembagian data pribadi tersebut. Lebih lanjut, untuk kepentingan relevansi jawaban dengan keadaan terkini di pasar atau industri, kami asumsikan bahwa data konsumen tersebut merupakan data yang tersimpan dan diproses secara elektronik.

Data Pribadi Sebagai Benda yang Dapat Dialihkan

Pasal 499 Kitab Undang-Undang Hukum Perdata (“KUH Perdata”), mengatur bahwa barang (zaak) merupakan sesuatu yang dapat menjadi objek hak milik. Dalam perkembangannya, yang dapat menjadi objek hak milik tersebut dapat berupa benda dan dapat pula berupa hak, seperti hak cipta, hak paten, dan lain–lain.

Sampai saat ini, tidak ada yang membatasi bahwa data pribadi tidak dapat dikategorikan sebagai benda. Walaupun tidak disebutkan secara eksplisit, data pribadi dapat dipandang sebagai benda bergerak tidak berwujud, serta memberikan pemegang data pribadi hak yang dapat dipertahankan kepada pihak-pihak lainnya. Bahkan, dalam prakteknya informasi mempunyai nilai ekonomis yang tinggi karena tidak semua pihak mampu untuk memproses dari suatu data yang mentah menjadi suatu informasi sesuai kebutuhannya.[1] Hal ini sejalan dengan sifat benda yang memiliki nilai ekonomis dan dapat dialihkan.[2]

Sesuai dengan sifat kebendaan yang telah diuraikan secara singkat sebelumnya, data pribadi milik konsumen dapat dialihkan oleh perusahaan kepada perusahaan lainnya. Namun, sebagai pihak yang mengelola data pribadi, perusahaan perlu memperhatikan peraturan perundang-undangan yang telah mengatur perlindungan data pribadi agar tidak melanggar hak-hak dari pemilik data pribadi terkait.

Perlindungan Data Pribadi di Indonesia

Secara konstitusional, negara melindungi privasi dan data pribadi setiap orang. Sebagaimana diatur dalam Pasal 28F Undang-Undang Dasar Tahun 1945 (“UUD 1945”) yang menyatakan:

Setiap orang berhak untuk berkomunikasi dan memperoleh informasi untuk mengembangkan pribadi dan lingkungan sosialnya, serta berhak untuk mencari, memperoleh, memiliki, menyimpan, mengolah, dan menyampaikan informasi dengan menggunakan segala jenis saluran yang tersedia.

Lebih lanjut dalam Pasal 28G ayat (1) UUD 1945, disebutkan:

Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.

Secara tersirat, UUD 1945 menyatakan privasi sebagai hak asasi manusia. Setiap orang diberikan kebebasan untuk menyimpan informasi dan perlindungan atas data informasi (termasuk data pribadi) yang ada padanya.

Dalam Undang-undang Nomor 24 tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 tahun 2006 tentang Administrasi Kependudukan (“UU 24/2013”), data pribadi didefinisikan sebagai data perserorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.[3] Perlindungan atas data pribadi merupakan hak dari setiap penduduk.[4]

Lebih lanjut, Penjelasan Pasal 26 ayat (1) Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU 19/2016”) mengatur bahwa dalam pemanfaatan teknologi informasi, perlindungan data pribadi adalah salah satu bagian dari hak pribadi (privacy rights). Maka dari itu, penggunaan setiap informasi melalui media elektronik yang menyangkut data pribadi seseorang harus dilakukan atas persetujuan orang yang bersangkutan.[5] Dalam hal hak tersebut dilanggar, maka yang dirugikan dapat mengajukan gugatan atas kerugian.[6]

Sebagai peraturan turunan dari Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (“UU ITE”) dan perubahannya, Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik (“Permenkominfo 20/2016”) juga mengatur terkait perlindungan data pribadi. Perlindungan data pribadi dalam sistem elektronik mencakup perlindungan terhadap perolehan, pengumpulan, pengolahan, penganalisisan, penyimpanan, penampilan, pengumuman, pengiriman, penyebarluasan, dan pemusnahan data pribadi yang dilaksakanan berdasarkan asas perlindungan data pribadi yang baik, salah satunya yaitu berdasarkan persetujuan.[7]

Perusahaan memiliki hak untuk memanfaatkan data pribadi milik konsumen selama hal tersebut disetujui oleh konsumen pemilik data pribadi tersebut. Hal ini termasuk dalam pengolahan dan penganalisisan data yang tercantum dalam Pasal 12 Permenkominfo 20/2016, sebagai berikut:

Data Pribadi hanya dapat diolah dan dianalisis sesuai kebutuhan Penyelenggara Sistem Elektronik yang telah dinyatakan secara jelas saat memperoleh dan mengumpulkannya.

Oleh karena itu, aspek penting dalam memperoleh akses terhadap pemanfaatan data pribadi sesuai Permenkominfo 20/2016 adalah persetujuan dari pemilik data pribadi.

Selain itu,Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik (“PP 71/2019”) menekankan kembali mengenai perolehan dan pemanfaatan data. Pemrosesan data pribadi seseorang (termasuk pengalihan, penyebarluasan atau pengungkapan) wajib dilakukan atas persetujuan pemilik data pribadi dan memenuhi keperluan untuk:[8]

  1. Pemenuhan kewajiban perjanjian dalam hal pemilik data pribadi merupakan salah satu pihak atau untuk memenuhi permintaan pemilik Data Pribadi pada saat melakukan perjanjian;
  2. Pemenuhan kewajiban hukum dari pengendali data pribadi sesuai dengan peraturan perundang-undangan;
  3. Pemenuhan perlindungan kepentingan yang sah (vital interest) pemilik data pribadi;
  4. Pelaksanaan kewenangan pengandali data pribadi berdasarkan ketentuan peraturan perundang-undangan;
  5. Pemenuhan kewajiban pengendali data pribadi dalam pelayanan publik untuk kepentingan umum; dan/atau
  6. Pemenuhan kepentingan yang sah lainnya dari pengendali data pribadi dan/atau pemilik data pribadi.

Penyalahgunaan Data Pribadi

Jika terjadi kegagalan dalam pelindungan data pribadi, penyelenggara sistem elektronik (dalam hal ini perusahaan dalam pertanyaan Anda) wajib memberitahukan secara tertulis kepada pemilik data pribadi tersebut.[9] Kegagalan yang dimaksud adalah terhentinya sebagian atau seluruh fungsi sistem elektronik yang bersifat esensial,[10] yang pada praktiknya dapat menimbulkan kerugian seperti terjadinya kebocoran data atau pelanggaran privasi. Hal ini sesuai dengan ketentuan Pasal 3 ayat (2) dan (3) PP 71/2019 bahwa penyelenggara sistem elektronik bertanggung jawab terhadap penyelenggaraan sistem elektroniknya, kecuali dapat dibuktikan adanya keadaan memaksa, kesalahan, dan/atau kelalaian dari pengguna.

UU ITE mengatur sanksi bagi pihak yang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu informasi elektronik dan/atau dokumen elektronik milik orang lain atau milik publik, yaitu berupa ancaman pidana penjara maksimal 8 tahun dan/atau denda maksimal Rp2 miliar.[11] Sanksi pidana penjara maksimal 9 tahun dan/atau denda maksimal Rp3 miliar juga diberlakukan bagi pihak yang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer informasi elektronik dan/atau dokumen elektronik kepada sistem elektronik orang lain yang tidak berhak.[12] Maka, perusahaan yang hendak membagikan data konsumen perlu memperhatikan peraturan perundang-undangan yang telah dijelaskan.

Kesimpulan

Dari penjelasan di atas, dapat disimpulkan bahwa perusahaan wajib untuk memberi tahu dan memperoleh persetujuan konsumen pemilik data pribadi dalam pengumpulan dan pememrosesan data pribadi, termasuk jika hendak mengalihkan, membagikan, atau mengungkapan data pribadi konsumen tersebut. Selain persetujuan, pembagian/pengalihan data pribadi juga wajib memperhatikan keperluan dari pembagian/pengalihan data pribadi tersebut sebagaimana diatur, antara lain, dalam PP 71/2019 yang telah kami kutip sebelumnya.

Perlu digarisbawahi, perusahaan bertanggung jawab atas pemrosesan data pribadi konsumen (termasuk pengalihan, penyebarluasan atau pengungkapannya) sehingga perusahaan perlu memastikan bahwa pemrosesan data pribadi telah sesuai dengan peraturan perundang-undangan yang berlaku.

Demikian jawaban kami, semoga bermanfaat.

Dasar Hukum:

  1. Undang-Undang Dasar Tahun 1945;
  2. Kitab Undang-Undang Hukum Perdata;
  3. Undang-Undang Nomor 23 tahun 2006 tentang Administrasi Kependudukan sebagaimana telah diubah dengan Undang-undang Nomor 24 tahun 2013 tentang Perubahan atas Undang-Undang Nomor 23 tahun 2006 tentang Administrasi Kependudukan;
  4. Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik sebagaimana telah diubah dengan Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik;
  5. Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik;
  6. Peraturan Menteri Komunikasi dan Informatika Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

Referensi:

  1. Makarim, E., Kompilasi Hukum Telematika. (Jakarta: Raja Grafindo Perkasa), 2003;
  2. Mariam Darus Badrulzaman, Mencari Sistem Hukum Benda Nasional. (Bandung: Alumni), 1983.

[1] Makarim, E., Kompilasi Hukum Telematika. Jakarta: Raja Grafindo Perkasa, 2003, hal. 3

[2] Mariam Darus Badrulzaman, Mencari Sistem Hukum Benda Nasional. Bandung: Alumni, 1983, hlm. 35.

[3] Pasal 1 angka 22 UU 24/2013

[4] Pasal 2 huruf c Undang-Undang Nomor 23 tahun 2006 tentang Administrasi Kependudukan (“UU Adminduk”)

[5] Pasal 26 ayat (1) UU 19/2016

[6] Pasal 26 ayat (2) UU 19/2016

[7] Pasal 2 ayat (1) dan ayat (2) huruf c Permenkominfo 20/2016

[8] Pasal 14 ayat (2) huruf e, ayat (3) dan ayat (4) PP 71/2019

[9] Pasal 14 ayat (5) PP 71/2019

[10] Penjelasan Pasal 24 ayat (1) PP 71/2019

[11] Pasal 32 ayat (1) jo. Pasal 48 ayat (1) UU ITE

[12] Pasal 32 ayat (2) jo. Pasal 48 ayat (2) UU ITE

Tags: