Permasalahan terkait keamanan data pribadi menjadi isu global yang sangat penting pada saat ini (Sinta Dewi Rosadi, 2015: 1). Informasi mengenai individu sangatlah krusial. Untuk itu kita perlu memberikan serta memastikan keamanan terhadap data pribadi kita yang diproses oleh sebuah institusi.

Di Eropa, yakni dalam General Data Protection Regulation yang merupakan undang-undang Uni Eropa (UE) memberikan hak kepada kita sebagai subjek Data untuk memperoleh konfirmasi dari pengontrol mengenai data pribadi kita yang diproses (GDPR, 2016).

Hak tersebut dapat ditemukan dalam Pasal 15 GDPR. Berbicara mengenai hak akses, pernah terjadi kasus atas pelanggaran terhadap hak tersebut yang terjadi di Jerman. Kasus tersebut terjadi antara VQ dengan Land Hessen mengenai keabsahan penolakan yang dilakukan oleh Presiden Hessischer Landtag atas permohonan VQ mengenai akses ke data pribadi miliknya sebagaimana yang tertuang dalam Pasal 15 GDPR (Curia,2020).

Alasan penolakan yang dilakukan Presiden Hessischer Landtag karena prosedur petisi merupakan fungsi dari parlemen dan hal tersebut berada di luar cakupan Peraturan 2016/679 atau GDPR. Dengan kata lain, presiden menyatakan bahwa aturan regulasi tersebut tidak berlaku untuk kegiatan parlemen, termasuk prosedur petisi, sehingga VQ tidak memiliki hak untuk mengakses data pribadinya yang tercatat oleh komite petisi.

Oleh karena itu, pada tanggal 22 Maret 2013 VQ mengajukan gugatan terhadap keputusan Presiden Wiesbaden Parlemen Land Hessen ke Pengadilan Tata Usaha Wiesbaden, Jerman (Curia,2020).

Permasalahan Yang Timbul

Jelas. Permasalahan yang timbul dalam kasus tersebut adalah mengenai penolakan yang dilakukan oleh Presiden Hessischer Landtag serta mengenai definisi “pengendali” yang dimaksud dalam GDPR. Dalam putusannya, Majelis Hakim melakukan pertimbangan terhadap Pasal 4(7) dan Pasal 15 GDPR. Dalam Pasal 4(7) GDPR disebutkan bahwa definisi pengendali berarti perorangan atau badan hukum, otoritas publik, badan atau badan lain yang, sendiri atau bersama-sama dengan orang lain, menentukan tujuan dan cara pemrosesan data pribadi.

Sehingga oleh karena Komite Petisi tersebut melakukan pemrosesan terhadap data pribadi, maka harus dikategorikan sebagai “Pengendali” sebagaimana yang dimaksud dalam Pasal 4(7) GDPR. Oleh karena itu, maka Komite Petisi selaku pengendali memiliki kewajiban untuk menerima permohonan hak akses yang diajukan oleh VQ selaku subjek data.

Kesadaran Hukum

Sebagai kita ketahui, hak akses terhadap data pribadi tercantum dalam Pasal 15 GDPR. Hal tersebut merupakan kewajiban bagi Pengendali untuk melaksanakannya. Dalam hal ini, pengendali memiliki kewajiban untuk memberikan informasi kepada Subjek Data mengenai apakah data pribadi miliknya sedang diproses

Berdasarkan Pasal 15 GDPR informasi yang diberikan meliputi tujuan pemrosesan, kategori data pribadi yang diproses, penerima atau kategori penerima, rencana durasi penyimpanan atau kriteria definisinya, informasi tentang hak subjek data seperti pembetulan, penghapusan atau pembatasan pemrosesan, hak untuk menolak, instruksi tentang hak untuk mengajukan pengaduan kepada pihak berwenang, informasi tentang asal usul data, selama data tersebut tidak dikumpulkan dari subjek data itu sendiri, dan adanya keputusan otomatis mengambil proses, termasuk pembuatan profil, dengan informasi bermakna tentang logika yang terlibat serta implikasi dan dampak yang diharapkan dari prosedur tersebut.

Selaras dengan Indonesia, dimana hak akses telah dituangkan dalam Pasal 5 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Lebih lanjut dijelaskan dalam Pasal 32 yang menyatakan bahwa Pengendali memiliki kewajiban untuk memberikan hak akses kepada Subjek Data paling lambat 3x24 jam sejak diterimanya permintaan hak akses dari Subjek Data.

Writer:

Intan Reffina

Source:

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi

General Data Protection Regulation, diakses melalui https://gdpr.eu/what-is-gdpr/

Judgment of The Court (Third Chamber) In Case C‑272/19, CURIA - Documents (europa.eu)

Sinta Dewi Rosadi, 2015, Cyber Law: Aspek Data Pribadi Menurut Hukum Internasional, Regional, Dan Nasional, Refika Aditama, Bandung.

IBM, “What is the General Data Protection Regulation (GDPR)?”, diakses melalui https://www.ibm.com/cloud/compliance/gdpr-eu