WhatsApp
WhatsApp

Kapan Perusahaan Wajib Menghapus atau Memusnahkan Data Pribadi Berdasarkan Undang-Undang Pelindungan Data Pribadi?

Perusahaan wajib menghapus atau memusnahkan data pribadi menurut Pasal 43 UU PDP serta implikasi administratif dan tanggung jawab perdata.

Muhammad Subhan | Advokat

2/9/20264 min baca

Kapan Perusahaan Wajib Menghapus atau Memusnahkan Data Pribadi Berdasarkan Undang-Undang Pelindungan
Kapan Perusahaan Wajib Menghapus atau Memusnahkan Data Pribadi Berdasarkan Undang-Undang Pelindungan

Pendahuluan

Dalam praktik korporasi, data pribadi kerap diperlakukan sebagai aset administratif yang dapat disimpan selama sistem masih berjalan. Data pelanggan lama, mantan karyawan, atau pengguna layanan tetap berada dalam server perusahaan meskipun hubungan hukumnya telah berakhir. Permasalahan muncul ketika penyimpanan tersebut tidak lagi memiliki tujuan yang sah atau tidak didukung kebijakan retensi yang jelas.

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) tidak mengenal konsep penyimpanan tanpa batas waktu. Retensi merupakan bagian dari siklus pemrosesan yang dibatasi secara hukum. Pada titik tertentu, penyimpanan bukan lagi bentuk pengelolaan, melainkan pelanggaran kewenangan.

Dasar Normatif

Pasal 43 UU PDP mengatur bahwa Pengendali Data Pribadi wajib menghapus dan/atau memusnahkan data pribadi apabila:

  1. Tujuan pemrosesan telah tercapai;

  2. Masa retensi telah berakhir;

  3. Terdapat permintaan dari Subjek Data Pribadi;

  4. Data diperoleh atau diproses secara melawan hukum; atau

  5. Tidak lagi memiliki dasar pemrosesan yang sah.

Norma ini bersifat imperatif. Penggunaan kata “wajib” dalam Pasal 43 ayat (1) menunjukkan perintah hukum yang tidak memberikan ruang diskresi. Begitu salah satu kondisi tersebut terpenuhi, kewenangan pengendali untuk mempertahankan data secara hukum berakhir.

Frasa “menghapus dan/atau memusnahkan” juga memiliki makna yuridis yang berbeda. Penghapusan berkaitan dengan penghilangan data dari sistem aktif dan akses operasional. Pemusnahan mengarah pada penghancuran permanen sehingga data tidak dapat dipulihkan kembali. Dalam konteks tata kelola digital, perbedaan ini relevan dalam menentukan tingkat finalitas pengakhiran pemrosesan.

Penafsiran Sistematik dalam Kerangka UU PDP

Pasal 43 tidak dapat dibaca secara terpisah. Secara sistematik, ketentuan tersebut berkaitan dengan prinsip pemrosesan data pribadi yang sah sebagaimana diatur dalam Pasal 16 UU PDP. Pemrosesan hanya sah apabila memiliki tujuan yang spesifik, eksplisit, dan terbatas. Ketika tujuan itu telah tercapai, legitimasi pemrosesan berakhir.

Masa retensi bukan konsep implisit. Pasal 21 ayat (1) huruf d UU PDP mewajibkan Pengendali Data menyampaikan jangka waktu retensi kepada Subjek Data. Artinya, retensi harus ditentukan sejak awal dan terdokumentasi. Dalam konstruksi normatif, retensi adalah pembatas temporal terhadap kewenangan pengendali. Tanpa batas waktu, kewenangan menjadi tidak terukur.

Keterkaitan dengan hak Subjek Data juga bersifat langsung. Pasal 8 UU PDP memberikan hak kepada Subjek Data untuk mengakhiri pemrosesan dan menghapus data pribadi. Hak tersebut menguatkan bahwa data pribadi tetap melekat pada individu. Pengendali hanya memiliki kewenangan terbatas berdasarkan dasar hukum tertentu.

Dalam konteks akuntabilitas, Pasal 43 juga harus dibaca bersama kewajiban pengendali untuk membuktikan bahwa pemrosesan dilakukan sesuai hukum. Kegagalan menghapus data setelah dasar pemrosesan berakhir bukan sekadar kelalaian administratif, melainkan pelanggaran tata kelola yang dapat diuji secara hukum.

Analisis Unsur Pelanggaran

Dalam perspektif litigasi, pelanggaran kewajiban penghapusan dapat dianalisis melalui unsur-unsur.

Pertama, objek yang dilindungi adalah data pribadi sebagaimana didefinisikan dalam Pasal 1 angka 1 UU PDP, yaitu setiap data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi.

Kedua, subjek hukum adalah Pengendali Data Pribadi sebagaimana Pasal 1 angka 4 UU PDP, yaitu pihak yang menentukan tujuan dan kendali pemrosesan.

Ketiga, perbuatan berupa mempertahankan penyimpanan data setelah tujuan pemrosesan berakhir atau masa retensi habis.

Keempat, ketiadaan dasar pemrosesan yang sah. Apabila tidak lagi terdapat persetujuan, kontrak, kewajiban hukum, atau dasar legitimasi lain sebagaimana Pasal 20 UU PDP, maka penyimpanan lanjutan kehilangan alas hak.

Kelima, konsekuensi hukum. Pasal 57 UU PDP membuka ruang sanksi administratif berupa peringatan tertulis, penghentian sementara pemrosesan, penghapusan atau pemusnahan data, hingga denda administratif. Selain itu, Subjek Data yang dirugikan dapat mengajukan gugatan ganti rugi melalui rezim perdata umum.

Dalam konteks perbuatan melawan hukum, unsur pelanggaran norma, kesalahan atau kelalaian, kerugian, dan hubungan kausal menjadi parameter uji. Apabila data yang tidak dihapus kemudian bocor atau disalahgunakan sehingga menimbulkan kerugian, maka hubungan antara kelalaian retensi dan kerugian menjadi titik pembuktian utama.

Ilustrasi Kasus

Misalnya, sebuah perusahaan menyimpan data mantan pelanggan setelah kontrak berakhir. Tidak terdapat kebijakan retensi yang menetapkan batas waktu penyimpanan. Ketika Subjek Data mengajukan permintaan penghapusan, perusahaan menolak dengan alasan data masih berada dalam arsip internal.

Secara sistematik, alasan tersebut tidak memenuhi kriteria dasar pemrosesan yang sah. Tujuan pemrosesan telah berakhir. Masa retensi tidak ditentukan secara normatif. Permintaan penghapusan telah diajukan. Dalam kondisi demikian, kewajiban Pasal 43 menjadi berlaku. Penolakan tanpa dasar hukum sektoral yang jelas berpotensi menimbulkan sanksi administratif dan membuka ruang gugatan perdata.

Mekanisme Penyelesaian Sengketa

Sengketa terkait penghapusan data pribadi dapat ditempuh melalui permintaan resmi kepada Pengendali Data, somasi sebagai peringatan hukum, mediasi atau penyelesaian non-litigasi, serta gugatan perdata di Pengadilan Negeri sesuai kompetensi absolut peradilan umum.

Dalam praktik pembuktian, dokumentasi kebijakan retensi, catatan dasar pemrosesan, serta rekam jejak respons terhadap permintaan Subjek Data menjadi elemen sentral. Ketiadaan dokumentasi dapat memperkuat indikasi pelanggaran kewajiban akuntabilitas.

Penutup

UU PDP menegaskan bahwa penyimpanan data pribadi tidak dapat dilakukan tanpa batas waktu. Pasal 43 membentuk norma imperatif yang membatasi kewenangan Pengendali Data berdasarkan tujuan pemrosesan dan masa retensi.

Dalam rezim pelindungan data pribadi, kewenangan memproses data selalu disertai kewajiban untuk mengakhirinya secara sah. Pengaturan retensi yang jelas dan mekanisme penghapusan yang terdokumentasi bukan sekadar praktik tata kelola, melainkan instrumen mitigasi risiko tanggung jawab administratif dan perdata.

Catatan Redaksional

Artikel ini disusun sebagai informasi umum dan tidak dimaksudkan sebagai nasihat hukum atau janji hasil tertentu.

Referensi

  1. Republik Indonesia. (2022). Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. Lembaran Negara Republik Indonesia Tahun 2022 Nomor 196, Tambahan Lembaran Negara Republik Indonesia Nomor 6820.er. https://peraturan.bpk.go.id/Home/Details/229798/uu-no-27-tahun-2022

  2. European Parliament and Council of the European Union. (2016). Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 (General Data Protection Regulation). Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2016/679/oj

  3. De Hert, P., & Papakonstantinou, V. (2016). The new General Data Protection Regulation: Still a sound system for the protection of individuals? Computer Law & Security Review, 32(2), 179–194. https://doi.org/10.1016/j.clsr.2016.02.006

Ilustrasi Perlindungan Data Pribadi. Gambar/Canva.

© 2024. MSP Law Office | Ubi Jus Ibi Remedium

Alamat
Jalan Monumen Perjuangan,
Tamanan, Bantul, Yogyakarta

Kontak
+62 851 9000 9959
msplawoffices@gmail.com

Konsultasi Tanpa Biaya