PERGURUAN tinggi adalah badan hukum di bidang pendidikan yang menyimpan dan memproses data pribadi.
Dengan berlakunya Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), maka wajib menyesuaikan manajemen pemrosesan dan pelindungan dara pribadi sivitas akademikanya.
UU PDP sesungguhnya berlaku tidak hanya bagi perguruan tinggi dan korporasi pada umumnya, tetapi keberlakuannya menjangkau semua Pengendali Data Pribadi, termasuk badan hukum publik negara berupa kementerian dan lembaga.
Dengan demikian, Kementerian Pendidikan Kebudayaan, Riset, dan Teknologi sebagai kementerian yang membawahkan perguruan tinggi, juga berstatus sebagai Pengendali Data Pribadi yang tunduk pada UU PDP.
Sesuai dengan masa transisi UU PDP, perguruan tinggi wajib menyesuaikan pemrosesan dan pengendalian data pribadinya paling lambat tanggal 17 Oktober 2024, atau dua tahun setelah UU PDP diundangkan.
Baca juga: Kedaulatan Negara di Ruang Digital
Kepatuhan perguruan tinggi terhadap UU PDP menjadi penting untuk dipenuhi. Karena akan berdampak, di mana perguruan tinggi dapat memproses, sekaligus memanfaatkan data pribadi yang berada di bawah kendalinya untuk kepentingan institusi, dan sivitas akademikanya secara optimal.
Selain itu, kepatuhan juga akan menghindarkan perguruan tinggi dari kemungkinan sanksi UU PDP yang dapat sangat mengganggu operasional institusi itu, dan kemungkinan risiko lainnya berupa gugatan ganti rugi perdata pihak ketiga.
Sanksi UU PDP atas pelanggaran yang dilakukan badan hukum bervariasi.
Bab VIII tentang Sanksi Administratif dalam Pasal 57 UU PDP, mengatur tentang sanksi administratif berupa, peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, dan/atau denda administratif.
Selain itu sanksi berupa denda administratif, adalah hal yang sangat signifikan bagi Pengendali Data. Berupa denda administratif paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan, terhadap variabel pelanggaran. Jumlahnya tentu bisa sangat tinggi.
Sanksi administratif, nantinya akan dijatuhkan oleh Lembaga Pelaksana Pelindungan Data Pribadi, Lembaga yang akan dibentuk sebagai amanat UU PDP yang berada langsung di bawah Presiden. Lembaga itu sampai saat ini belum terbentuk.
Selain itu, UU PDP juga mengenal adanya sanksi pidana yang sifatnya ultimum remidium.
Sebagai pengendali data, UU PDP memberikan kemungkinan untuk pemrosesan data, prosesor data pribadinya ditangani sendiri oleh perguruan tinggi dimaksud, atau menunjuk pihak lain sesuai pasal 51 UU PDP.
Perguruan tinggi saat ini tentu telah memiliki pelaksana pengelola data sebagai unit eksisting yang termasuk menangani data pribadi.
Pascaberlakunya UU PDP, perguruan tinggi sebagai pengendali data tidak cukup hanya memiliki unit eksekutif manajemen data pribadi atau yang lazim disebut Chief Privacy Officer (CPO).