Saya ingin bertanya, bolehkah 2 atau lebih instansi atau perusahaan atau bahkan antar anak perusahaan berbagi data konsumen yang telah didapatkan oleh masing-masing? Terima kasih.
DAFTAR ISI
INTISARI JAWABAN
Pemrosesan data pribadi salah satunya adalah berbentuk transfer data pribadi. Transfer data pribadi adalah perpindahan, pengiriman, dan/atau penggandaan data pribadi baik secara elektronik maupun nonelektronik dari pengendali data pribadi kepada pihak lain. Transfer di sini dapat juga dikategorikan sebagai sharing data pribadi konsumen antar perusahaan selaku pengendali data pribadi sebagaimana Anda tanyakan.
Oleh karena itu, secara hukum, bolehkah transfer atau sharing data pribadi dilakukan antar perusahaan?
Penjelasan lebih lanjut dapat Anda baca ulasan di bawah ini.
ULASAN LENGKAP
Terima kasih atas pertanyaan Anda.
Artikel di bawah ini adalah pemutakhiran dari artikel dengan judul yang sama yang dibuat oleh Rizki Dwianda Rildo, S.H., M.H., LL.M dan pertama kali dipublikasikan pada Rabu, 21 Juli 2021.
Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.
Belajar Hukum Secara Online dari Pengajar Berkompeten Dengan Biaya TerjangkauMulai DariRp. 149.000
Data Pribadi Sebagai Benda yang Dapat Dialihkan
Sebelum menjawab pokok pertanyaan Anda tentang sharing data pribadi antar perusahaan, perlu Anda ketahui, Pasal 499 KUH Perdata mengatur bahwa barang (zaak) merupakan sesuatu yang dapat menjadi objek hak milik. Dalam perkembangannya, yang dapat menjadi objek hak milik tersebut dapat berupa benda dan dapat pula berupa hak, seperti hak cipta, hak paten, dan lain–lain.
Sampai saat ini, tidak ada yang membatasi bahwa data pribadi tidak dapat dikategorikan sebagai benda. Walaupun tidak disebutkan secara eksplisit, data pribadi dapat dipandang sebagai benda bergerak tidak berwujud, serta memberikan pemegang data pribadi hak yang dapat dipertahankan kepada pihak-pihak lainnya. Bahkan, dalam praktiknya informasi mempunyai nilai ekonomis yang tinggi karena tidak semua pihak mampu untuk memproses dari suatu data yang mentah menjadi suatu informasi sesuai kebutuhannya.[1] Hal ini sejalan dengan sifat benda yang memiliki nilai ekonomis dan dapat dialihkan.[2]
Sesuai dengan sifat kebendaan yang telah diuraikan secara singkat sebelumnya, data pribadi milik konsumen dapat dialihkan oleh perusahaan kepada perusahaan lainnya. Namun, sebagai pihak yang mengelola data pribadi, perusahaan perlu memperhatikan peraturan perundang-undangan yang telah mengatur pelindungan data pribadi agar tidak melanggar hak-hak dari pemilik data pribadi terkait.
Jenis-jenis Data Pribadi
Data pribadi adalah data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik.[3]
Apa saja yang tergolong data pribadi? Terdapat dua jenis data pribadi yaitu data pribadi yang bersifat umum dan data pribadi yang bersifat spesifik.[4]
Data pribadi yang bersifat umum meliputi nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.[5] Adapun data pribadi yang bersifat spesifik meliputi data dan informasi kesehatan, biometrik, genetika, catatan kejahatan, anak, keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.[6]
Pelindungan Data Pribadi di Indonesia
Dalam menjalankan pelindungan data pribadi di Indonesia terdapat dua pihak yang saling berkaitan, yaitu subjek data pribadi dan pengendali data pribadi. Subjek data pribadi adalah orang perseorangan yang pada dirinya melekat data pribadi.[7]
Sedangkan pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi. Setiap orang dalam hal ini adalah perseorangan atau korporasi, sedangkan badan publik berarti lembaga yang berkaitan dengan penyelenggaraan negara.[8]
Dengan ini, perusahaan dapat dikategorikan sebagai pengendali data pribadi karena melakukan kendali atas pemrosesan data pribadi konsumen, seperti pengumpulan data, pengolahan dan analisis, penyimpanan, transfer, penyebarluasan, dan lain-lain.[9]
Dalam menggunakan data pribadi, pada dasarnya subjek data pribadi berhak untuk mendapatkan informasi tentang kejelasan identitas, dasar kepentingan hukum tujuan permintaan dan penggunaan data pribadi, serta akuntabilitas pihak yang meminta data pribadi.[10]
Data pribadi yang digunakan oleh pihak lain wajib diketahui tujuan dan penggunaannya oleh pemilik data pribadi. Pengendali data pribadi wajib memperoleh persetujuan yang sah secara eksplisit dari subjek data pribadi untuk dapat memproses data pribadi.[11]
Selain mendapatkan persetujuan dari subjek data pribadi, pengendali data pribadi atau perusahaan perlu mempunyai dasar pemrosesan data pribadi yang meliputi:[12]
pemenuhan kewajiban perjanjian dalam hal subjek data pribadi merupakan salah satu pihak atau untuk memenuhi permintaan subjek data pribadi pada saat akan melakukan perjanjian;
pemenuhan kewajiban hukum dari pengendali data pribadi sesuai dengan ketentuan peraturan perundang-undangan;
pemenuhan pelindungan kepentingan vital subjek data pribadi;
pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan; dan/atau
pemenuhan kepentingan pengendali data pribadi dan hak subjek data pribadi.
Pengendali data pribadi untuk mendapatkan persetujuan penggunaan data pribadi wajib menyampaikan:[13]
legalitas pemrosesan data pribadi;
tujuan pemrosesan data pribadi;
jenis dan relevansi data pribadi yang akan diproses;
jangka waktu retensi dokumen yang memuat data pribadi;
rincian mengenai informasi yang dikumpulkan;
jangka waktu pemrosesan data pribadi; dan
hak subjek data pribadi.
Bentuk persetujuan pemrosesan data pribadi pun perlu dilakukan melalui persetujuan tertulis atau terekam baik secara elektronik ataupun nonelektronik. Dalam hal persetujuan memuat tujuan lain, juga harus memenuhi ketentuan:[14]
dapat dibedakan secara jelas dengan hal lain;
dibuat format yang dapat dipahami dan mudah diakses; dan
menggunakan bahasa yang sederhana dan jelas.
Dengan demikian, pada dasarnya setiap perusahaan selaku pengendali data pribadi mempunyai kewajiban untuk melindungi data pribadi konsumennya selaku subjek data pribadi ketika melakukan pemrosesan data pribadi, salah satunya melalui persetujuan pemrosesan data oleh konsumen.
Dapatkah Dua Perusahaan atau Lebih Sharing Data Pribadi Konsumen?
Perlu Anda ketahui bahwa salah satu bentuk dari pemrosesan data pribadi adalah transfer data pribadi. Adapun yang dimaksud dengan transfer adalah perpindahan, pengiriman, dan/atau penggandaan data pribadi baik secara elektronik maupun nonelektronik dari pengendali data pribadi kepada pihak lain.[15]
Menyambung pertanyaan Anda, kami asumsikan bahwa sharing data pribadi yang Anda maksud merupakan bentuk transfer data pribadi antara satu perusahaan ke perusahaan lain.
Lantas apakah transfer atau sharing data pribadi konsumen diperbolehkan? Menurut Pasal 55 ayat (1) UU PDP pengendali data pribadi dapat melakukan transfer data pribadi kepada pengendali data pribadi lainnya di wilayah hukum Indonesia.
Adapun dalam melakukan transfer data pribadi dan yang menerima transfer data pribadi wajib melakukan pelindungan data pribadi sebagaimana diatur di dalam UU PDP.[16]
Prinsip-prinsip pelindungan data pribadi yang wajib diperhatikan perusahaan selaku pengendali data pribadi adalah:[17]
pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan;
pemrosesan data pribadi dilakukan sesuai dengan tujuannya;
pemrosesan data pribadi dilakukan dengan menjamin hak subjek data pribadi;
pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan;
pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan tidak sah, pengungkapan tidak sah, pengubahan tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan data pribadi;
pemrosesan data pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan pelindungan data pribadi;
data pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan subjek data pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan; dan
pemrosesan data pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.
Jika pengendali data pribadi berbentuk badan hukum bubar atau dibubarkan maka transfer data pribadi dilaksanakan sesuai ketentuan peraturan perundang-undangan dan diberitahukan kepada subjek data pribadi.[18]
Dengan demikian, dapat kami sampaikan bahwa pada dasarnya transfer data pribadi antar perusahaan di wilayah Indonesia diperbolehkan sepanjang sesuai dengan ketentuan UU PDP, seperti adanya persetujuan subjek data pribadi yang telah sesuai dengan syarat-syarat untuk mendapatkan persetujuannya.
Selain itu, transfer atau sharing data pribadi antar perusahaan harus sesuai dengan prinsip pelindungan data pribadi seperti pelindungan dari pengaksesan tidak sah atau kebocoran data pribadi (pengungkapan tidak sah).
Demikian jawaban dari kami tentang sharing data pribadi antar perusahaan, semoga bermanfaat.