Izin dan Larangan Terkait Data Pribadi di Rumah Sakit

MERUPAKAN hal yang sangat berisiko, jika Rumah Sakit dan layanan Kesehatan tidak mematuhi pelindungan data pribadi pascadiundangkannya UU 27/2022 tentang PDP.

Apalagi kasus-kasus kebocoran dan pelanggaran data pribadi menjadi isu serius di berbagai negara.

Data TechTarget, Inc. Xtelligent Healthcare Media (2023) menunjukan lebih dari 39 juta orang terkena dampak pelanggaran data layanan kesehatan pada paruh pertama 2023.

Seperti dipahami, rumah sakit dan layanan kesehatan adalah salah satu institusi yang sangat banyak bersentuhan dengan data pribadi.

Rumah sakit, misalnya, menurut UU PDP digolongkan sebagai Pengendali dan sekaligus bisa menjadi prosesor Data Pribadi.

Konsekuensinya RS harus menyesuaikan pengelolaan dan pemrosesan Data Pribadinya sesuai UU PDP paling lambat pada 17 Oktober 2024, sesuai masa transisi UU PDP.

UU PDP diproyeksikan sebagai dasar kepastian hukum yang kuat baik bagi pemrosesan, pemanfaatan data pribadi oleh korporasi, dan sekaligus pelindungan bagi para subjek data pribadinya.

Tulisan ini akan menguraikan tentang apa saja yang diizinkan dan dilarang sekaligus hal-hal dan strategi apa saja yang perlu dilakukan pengelola Rumah Sakit agar terhindari dari risiko pelanggaran UU PDP.

Diizinkan

Data pribadi pada prinsipnya boleh diproses dan digunakan di RS dan layanan Kesehatan. Data itu meliputi data pasien seperti No KTP, no telepon seluler, email, sampai data sensitif seperti riwayat kesehatan, kondisi psikologis, kejiwaan, perawatan, data asuransi pasien.

Hal penting adalah pemrosesan dan penggunaan data pribadi dilakukan sesuai UU PDP dan peraturan pelaksanaannya.

Keberadaan data pribadi, sudah barang tentu memiliki fungsi penting. Prinsipnya RS dan layanan Kesehatan akan sulit memberikan pelayanan dan tindakan terbaik tanpa data pribadi pasiennya secara benar.

Dan pasien pun tidak mungkin ditangani secara medis dengan optimal tanpa data pribadi yang lengkap.

Manajemen Data pribadi harus diproyeksikan menjadi dasar hubungan terpercaya antara pasien dan penyedia layanan kesehatan. Oleh karena itu, jaminan keamanan harus diberikan untuk melindungi data sensitif dari pengungkapan dan kemungkinan kebocoran.

UU PDP memuat ketentuan yang harus diperhatikan oleh RS dan layanan kesehatan yang meliputi:

Pertama, UU PDP mengklasifikasikan data pribadi menjadi data pribadi yang bersifat spesifik dan data pribadi yang bersifat umum (Pasal 4 UU PDP).

Data pribadi yang bersifat spesifik di antaranya meliputi data dan informasi kesehatan, data biometrik, data genetika, catatan kejahatan, data anak, data keuangan pribadi, dan/atau data lainnya sesuai dengan ketentuan peraturan perundang-undangan.

Sementara data pribadi yang bersifat umum meliputi, nama lengkap, jenis kelamin, kewarganegaraan, agama, status perkawinan, dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang.

Kedua, hal yang sangat prinsipil yang perlu dipahami pengelola adalah, setiap pemrosesan data pribadi harus memiliki dasar hukum (pasal 20 (2) UU PDP).

Dasar itu meliputi beberapa variabel, dari mulai persetujuan yang sah secara eksplisit dari subjek data pribadi untuk 1 (satu) atau beberapa tujuan tertentu.

Tujuan tertentu ini lazimnya sesuai yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi, misalnya melalui kebijakan privasi.

Berikutnya dasar hukum dapat pula berupa pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian.

Hal lain yang dapat dijadikan dasar pemrosesan adalah pemenuhan kewajiban hukum dari Pengendali Data Pribadi, sesuai dengan ketentuan peraturan perundang-undangan.

Data pribadi juga dapat diproses dalam rangka pemenuhan pelindungan kepentingan vital Subjek Data Pribadi, misalnya dalam keadaan darurat untuk penyelamatan pasien, pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi, berdasarkan peraturan perundang-undangan.

Terakhir alternatif dasar pemrosesan data pribadi adalah, pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.

RS dan layanan Kesehatan dapat memproses data pribadi dengan salah satu atau lebih dasar pemrosesan sebagaimana diatur pada pasal 20 (2) UU PDP tersebut.

Pengelola harus memproses data secara aman dengan sistem cyber security terpercaya sesuai dengan ketentuan Pasal 35 UU PDP. Pasal ini menegaskan bahwa Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya.

Upaya ini dilakukan melalui penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan yang bertentangan dengan ketentuan peraturan perundang-undangan dan penentuan tingkat keamanan, dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi, dalam pemrosesannya.

Larangan

Regulasi Pelindungan Data Pribadi bertujuan melindungi dan menjamin hak dasar warga negara, menjamin masyarakat mendapatkan pelayanan dari Korporasi, Badan Publik, Organisasi Internasional, dan Pemerintah, mendorong pertumbuhan ekonomi digital dan industri teknologi informasi dan komunikasi, serta mendukung peningkatan daya saing industri dalam negeri.

Oleh karena itu, proteksi data pribadi harus menjadi prioritas. Pelanggaran yang dilakukan oleh peretas atau siapapun akan dikenakan sanksi termasuk sanksi pidana.

Berikut adalah hal-hal yang dilarang dalam UU PDP:

Pertama, setiap Orang dilarang secara melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi (Pasal 65 ayat (1) UU PDP).

Kedua, setiap Orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya (Pasal 65 ayat (2) UU PDP).

Selanjutnya setiap Orang dilarang secara melawan hukum menggunakan Data Pribadi yang bukan miliknya (pada Pasal 65 ayat (3).

Ketiga, setiap Orang dilarang membuat Data Pribadi palsu atau memalsukan Data Pribadi dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian bagi orang lain (Pasal 66 UU PDP).

Sanksi

Hal yang perlu diwaspadai oleh RS dan layanan kesehatan, yakni UU PDP akan mengenakan sanksi baik pidana maupun administratif di samping terbukanya gugatan perdata.

Sanksi administratif dapat dikenakan bagi pengendali data yang melanggar UU PDP antara lain berupa denda administratif sebesar maksimal 2 persen dari penghasilan tahunan sesuai dengan variabel di samping sanksi administratif lainnya (Pasal 57 ayat (3) UU PDP).

Strategi

Agar data pribadi dapat digunakan dan terlindungi dengan baik, dan RS serta layanan kesehatan terhindar dari risiko hukum, maka harus memiliki ekosistem pemrosesan data pribadi andal.

Ukuran andal selain adanya dukungan teknologi, dukungan manajemen, kepatuhan atas regulasi, juga terpenuhinya standardisasi.

Standardisasi adalah unsur penting dan strategis. Sebagaimana telah saya tulis pada kolom Kompas.com dengan judul "Standardisasi dan Bukti Kepatuhan Hukum Pelindungan Data Pribadi".

Standar berbasis lembaga sertifikasi terpercaya, tidak hanya menciptakan tata kelola data yang baik dan good corporate governance, tetapi juga memberikan keyakinan yang baik bagi pasien, dokter, paramedis, dan pengelola.

Standar juga memberikan reputasi yang baik dan sekaligus bukti kepatuhan regulasi jika suatu ketika RS atau layanan Kesehatan terlilit kasus.

Di samping itu, RS yang memenuhi pasal 53 dan 54 UU PDP wajib memiliki Pejabat Petugas Pelindung Data Pribadi atau yang dikenal sebagai Data Protection Officer (DPO).

Di samping itu juga perlu menata dan melengkapi Chief Data Officer (CDO) eksistingnya dengan menambah fungsi Chief Privacy Officer (CPO).

RS juga perlu meninjau semua kebijakan privasi eksisting, unit organisasi pengelola, peraturan perusahaan, dan tata kelola data pribadi untuk disesuaikan dengan prinsip-prinsip dan materi muatan UU PDP.