
ByIntan Reffina
20 Feb 2024
Kasus VQ vs Land Hessen : Kelalaian dalam Pemenuhan Hak Akses
Permasalahan terkait keamanan data pribadi menjadi isu global yang sangat penting pada saat ini (Sinta Dewi Rosadi, 2015: 1). Informasi mengenai individu sangatlah krusial. Untuk itu kita perlu memberikan serta memastikan keamanan terhadap data pribadi kita yang diproses oleh sebuah institusi.
Di Eropa, yakni dalam General Data Protection Regulation yang merupakan undang-undang Uni Eropa (UE) memberikan hak kepada kita sebagai subjek Data untuk memperoleh konfirmasi dari pengontrol mengenai data pribadi kita yang diproses (GDPR, 2016).
Hak tersebut dapat ditemukan dalam Pasal 15 GDPR. Berbicara mengenai hak akses, pernah terjadi kasus atas pelanggaran terhadap hak tersebut yang terjadi di Jerman. Kasus tersebut terjadi antara VQ dengan Land Hessen mengenai keabsahan penolakan yang dilakukan oleh Presiden Hessischer Landtag atas permohonan VQ mengenai akses ke data pribadi miliknya sebagaimana yang tertuang dalam Pasal 15 GDPR (Curia,2020).
Alasan penolakan yang dilakukan Presiden Hessischer Landtag karena prosedur petisi merupakan fungsi dari parlemen dan hal tersebut berada di luar cakupan Peraturan 2016/679 atau GDPR. Dengan kata lain, presiden menyatakan bahwa aturan regulasi tersebut tidak berlaku untuk kegiatan parlemen, termasuk prosedur petisi, sehingga VQ tidak memiliki hak untuk mengakses data pribadinya yang tercatat oleh komite petisi.
Oleh karena itu, pada tanggal 22 Maret 2013 VQ mengajukan gugatan terhadap keputusan Presiden Wiesbaden Parlemen Land Hessen ke Pengadilan Tata Usaha Wiesbaden, Jerman (Curia,2020).
Permasalahan Yang Timbul
Jelas. Permasalahan yang timbul dalam kasus tersebut adalah mengenai penolakan yang dilakukan oleh Presiden Hessischer Landtag serta mengenai definisi “pengendali” yang dimaksud dalam GDPR. Dalam putusannya, Majelis Hakim melakukan pertimbangan terhadap Pasal 4(7) dan Pasal 15 GDPR. Dalam Pasal 4(7) GDPR disebutkan bahwa definisi pengendali berarti perorangan atau badan hukum, otoritas publik, badan atau badan lain yang, sendiri atau bersama-sama dengan orang lain, menentukan tujuan dan cara pemrosesan data pribadi.
Sehingga oleh karena Komite Petisi tersebut melakukan pemrosesan terhadap data pribadi, maka harus dikategorikan sebagai “Pengendali” sebagaimana yang dimaksud dalam Pasal 4(7) GDPR. Oleh karena itu, maka Komite Petisi selaku pengendali memiliki kewajiban untuk menerima permohonan hak akses yang diajukan oleh VQ selaku subjek data.
Kesadaran Hukum
Sebagai kita ketahui, hak akses terhadap data pribadi tercantum dalam Pasal 15 GDPR. Hal tersebut merupakan kewajiban bagi Pengendali untuk melaksanakannya. Dalam hal ini, pengendali memiliki kewajiban untuk memberikan informasi kepada Subjek Data mengenai apakah data pribadi miliknya sedang diproses
Berdasarkan Pasal 15 GDPR informasi yang diberikan meliputi tujuan pemrosesan, kategori data pribadi yang diproses, penerima atau kategori penerima, rencana durasi penyimpanan atau kriteria definisinya, informasi tentang hak subjek data seperti pembetulan, penghapusan atau pembatasan pemrosesan, hak untuk menolak, instruksi tentang hak untuk mengajukan pengaduan kepada pihak berwenang, informasi tentang asal usul data, selama data tersebut tidak dikumpulkan dari subjek data itu sendiri, dan adanya keputusan otomatis mengambil proses, termasuk pembuatan profil, dengan informasi bermakna tentang logika yang terlibat serta implikasi dan dampak yang diharapkan dari prosedur tersebut.
Selaras dengan Indonesia, dimana hak akses telah dituangkan dalam Pasal 5 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Lebih lanjut dijelaskan dalam Pasal 32 yang menyatakan bahwa Pengendali memiliki kewajiban untuk memberikan hak akses kepada Subjek Data paling lambat 3x24 jam sejak diterimanya permintaan hak akses dari Subjek Data.
Writer:
Intan Reffina
Source:
Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
General Data Protection Regulation, diakses melalui https://gdpr.eu/what-is-gdpr/
Judgment of The Court (Third Chamber) In Case C‑272/19, CURIA - Documents (europa.eu)
Sinta Dewi Rosadi, 2015, Cyber Law: Aspek Data Pribadi Menurut Hukum Internasional, Regional, Dan Nasional, Refika Aditama, Bandung.
IBM, “What is the General Data Protection Regulation (GDPR)?”, diakses melalui https://www.ibm.com/cloud/compliance/gdpr-eu
Popular Articles

WPDC 2025: Paving the Way for Data Privacy Policy
Linda Liona, Spsi, MPA.

Kepemimpinan Privasi
Assoc. Professor. Awaludin Marwan, SH, MH, MA, PhD

AI Deep Learning dan Pelindungan Data Pribadi
Adhi Prasetyo Utomo

Nasib DPO
Assoc. Professor. Awaludin Marwan, SH, MH, MA, PhD

Rezim Pelindungan Data Pribadi: Apa sajakah yang berubah?
Eryk Budi Pratama, M.Kom, M.M, CIPM, CIPP/E, FIP

Memperbincangkan RoPA
Assoc. Professor. Awaludin Marwan, SH, MH, MA, PhD

Diskursus AI, Keamanan Siber dan Privasi
Adith Aulia Rahman

Diskursus Filsafat Hukum Pelindungan Data Pribadi
Assoc. Professor. Awaludin Marwan, SH, MH, MA, PhD

Dinamika Kontrak Pelindungan Data Pribadi
Assoc. Professor. Awaludin Marwan, SH, MH, MA, PhD

Perjalanan dalam Menerapkan Pelindungan Data Pribadi (Maret 2024)
Eryk B.Pratama, M.Kom, M.M, CIPM, CIPP/E, FIP

Mengurai Makna Persetujuan Eksplisit: Studi Kasus Planet49
Intan Reffina, S.H.

DPA Belgia vs Facebook : Perselisihan Kepentingan dan Kewenangan
Ade Nuraini Rahmawati

Tantangan Implementasi Pelindungan Data Pribadi
Awaludin Marwan

Know Your Rights as a Data Subject According to the PDP Regulation.
Shafira Nadya Nathasya

Cross-Border Transfer of Personal Data.
Shafira Nadya Nathasya

Existence and Obligations of Personal Data Controllers Based on Regulation Number 27 of 2022
Alfina Nailul Maghfiroh

Company Data Leaked Due to Employee Actions, What is the Legal Basis?
Yanuar Ramadhana Fadhila