Orang tua memiliki hak hukum untuk mengakses, mengoreksi, dan meminta penghapusan data pribadi anak di sekolah berdasarkan Undang-Undang No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Ini bukan sekadar permintaan khusus — ini adalah hak yang dijamin oleh undang-undang. Sekolah sebagai pengendali data wajib memenuhi permintaan Anda dalam waktu paling lambat 72 jam sejak permintaan diterima. Artikel ini memandu Anda memahami 5 hak utama, prosedur pengajuan yang praktis, dan apa yang wajib dilakukan sekolah terhadap data anak Anda.
Sebagai orang tua, Anda mungkin belum menyadari seberapa banyak data pribadi anak yang disimpan oleh sekolah — mulai dari NISN, NIK, alamat rumah, foto, nilai akademik, catatan kesehatan dari UKS, hingga data pembayaran SPP. Memahami jenis-jenis data yang dikumpulkan sekolah adalah langkah pertama sebelum Anda bisa melindunginya.
Mengapa Orang Tua Perlu Peduli dengan Data Pribadi Anak di Sekolah
Setiap hari, sekolah mengumpulkan dan menyimpan ratusan hingga ribuan data siswa. Data ini mencakup informasi sensitif: nama lengkap, NIK, alamat rumah, nama orang tua, riwayat kesehatan, bahkan foto dan prestasi akademik. Ketika data ini tidak dikelola dengan benar, risikonya nyata — mulai dari penyalahgunaan untuk pemasaran pihak ketiga, pencurian identitas, hingga kebocoran data yang bisa merugikan anak Anda di masa depan.
Kenyataannya, banyak sekolah yang mengelola data siswa dengan standar keamanan minimal. Formulir pendaftaran difotokopi berkali-kali, data disimpan di laptop tanpa enkripsi, dan informasi siswa dibagikan ke pihak ketiga tanpa sepengetahuan orang tua. UU PDP hadir untuk mengakhiri praktik ini — memberi Anda sebagai orang tua kendali atas data anak Anda.
Dasar Hukum: Apa Kata UU PDP tentang Data Anak di Sekolah
UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi adalah payung hukum perlindungan data pertama di Indonesia. Untuk konteks sekolah, undang-undang ini menetapkan tiga hal penting:
- Sekolah adalah "pengendali data" — pihak yang menentukan tujuan dan cara pemrosesan data pribadi siswa. Ini berarti sekolah bertanggung jawab penuh atas keamanan data yang mereka kumpulkan.
- Orang tua adalah perwakilan "subjek data" — karena anak di bawah umur, orang tua atau wali yang sah memiliki hak penuh atas data pribadi anak. Semua hak subjek data dipegang oleh orang tua sampai anak cukup umur.
- Pemrosesan data harus berdasar persetujuan (consent) — sekolah wajib meminta izin eksplisit dari orang tua sebelum mengumpulkan, menggunakan, atau membagikan data pribadi anak. Persetujuan ini harus spesifik, diinformasikan, dan bisa ditarik kapan saja.
Untuk perspektif dari sisi sekolah, baca panduan kepatuhan UU PDP untuk sekolah yang menjelaskan kewajiban administratif dan teknis yang harus dipenuhi pengelola sekolah.
5 Hak Orang Tua Terhadap Data Anak di Sekolah
Hak Mengakses: Melihat Data Apa Saja yang Disimpan Sekolah
Anda berhak meminta salinan lengkap seluruh data pribadi anak yang disimpan oleh sekolah. Ini mencakup data di formulir pendaftaran, rapor, catatan kesehatan UKS, data pembayaran SPP, dan foto atau dokumen lain yang mengandung informasi pribadi anak. Sekolah wajib memberikan akses ini dalam format yang mudah dibaca — bisa berupa dokumen cetak atau file digital — tanpa biaya tambahan.
Template sederhana yang bisa Anda gunakan: "Kepada Bagian Administrasi [Nama Sekolah], saya orang tua/wali dari [Nama Anak, Kelas], memohon salinan seluruh data pribadi anak saya yang disimpan oleh sekolah, sesuai hak akses dalam UU PDP." Kirim via email resmi sekolah dan catat tanggal pengajuan.
Hak Mengoreksi: Memperbaiki Data yang Salah atau Tidak Lengkap
Data yang tidak akurat bisa berdampak serius: notifikasi pembayaran ke nomor yang salah, rapor tertukar karena NISN keliru, atau komunikasi darurat yang gagal karena alamat tidak diperbarui. Anda berhak meminta koreksi data kapan saja tanpa biaya. Sekolah wajib memproses permintaan koreksi dan mengonfirmasi bahwa data sudah diperbaiki.
Prosedurnya sederhana: sampaikan secara tertulis data mana yang perlu dikoreksi, sertakan bukti pendukung (misalnya KK terbaru untuk koreksi alamat), dan minta konfirmasi tertulis bahwa koreksi sudah diterapkan.
Hak Menghapus: Kapan Orang Tua Bisa Meminta Data Dihapus
Anda berhak meminta penghapusan data pribadi anak dalam beberapa situasi: anak sudah pindah atau lulus dan data tidak relevan lagi, persetujuan yang Anda berikan sudah ditarik, atau data digunakan di luar tujuan awal. Pengecualian berlaku untuk data yang wajib disimpan untuk arsip akademik permanen — seperti nilai akhir dan ijazah — yang masa retensinya diatur oleh regulasi pendidikan.
Hak Membatasi Pemrosesan: Mencegah Penggunaan Data di Luar Tujuan
Jika Anda menemukan sekolah menggunakan data anak untuk tujuan yang tidak disetujui — misalnya membagikan data ke vendor buku, penyelenggara lomba, atau platform pembelajaran tanpa izin — Anda berhak meminta pembatasan pemrosesan. Ini berarti data tetap disimpan tapi tidak boleh digunakan sampai ada kejelasan.
Hak Menarik Persetujuan: Kapan dan Bagaimana
Persetujuan yang sudah Anda berikan bisa ditarik kapan saja. Konsekuensinya: sekolah harus menghentikan pemrosesan data untuk tujuan yang tercakup dalam persetujuan itu. Perlu dipahami bahwa penarikan persetujuan tidak berlaku surut — pemrosesan yang sudah terjadi sebelum penarikan tetap sah.
Prosedur Praktis: Cara Mengajukan Permintaan ke Sekolah
Mengajukan permintaan hak data tidak perlu konfrontatif. Berikut langkah-langkah yang praktis dan sopan:
- Tentukan data yang ingin diakses/dikoreksi/dihapus. Makin spesifik permintaan Anda, makin cepat diproses.
- Ajukan secara tertulis via email resmi sekolah. Email menciptakan jejak dokumentasi — penting jika sewaktu-waktu diperlukan.
- Sebutkan dasar hukum. Cantumkan frasa "sesuai hak subjek data dalam UU No. 27 Tahun 2022 tentang PDP" — ini menunjukkan Anda mengetahui hak Anda.
- Tentukan format respons yang diinginkan. Minta data dalam PDF, Excel, atau dokumen cetak sesuai kebutuhan.
- Catat tanggal dan simpan salinan. Sekolah wajib merespons maksimal 72 jam sejak permintaan diterima.
Apa yang Wajib Dilakukan Sekolah: Kewajiban Pengendali Data
Sekolah sebagai pengendali data memiliki kewajiban yang tidak bisa ditawar. Pertama, sekolah wajib menunjuk Data Protection Officer (DPO) — bisa kepala tata usaha, wakil kepala sekolah, atau staf yang ditugaskan khusus — yang menjadi kontak utama untuk semua urusan data pribadi. Kedua, sekolah wajib melakukan penilaian dampak perlindungan data (DPIA) untuk setiap sistem yang memproses data siswa dalam jumlah besar. Ketiga, jika terjadi kebocoran data, sekolah wajib melaporkan ke regulator dalam 72 jam dan memberitahu orang tua yang terdampak.
Untuk standar teknis yang harus dipenuhi, pelajari standar keamanan informasi data siswa yang mencakup enkripsi, kontrol akses, dan prosedur penanganan insiden.
Yang Boleh dan Tidak Boleh Dilakukan Sekolah dengan Data Siswa
- BOLEH: Mengumpulkan data yang relevan untuk administrasi akademik — NISN, alamat, kontak orang tua, riwayat kesehatan dasar untuk penanganan darurat.
- BOLEH: Menggunakan data untuk komunikasi resmi — notifikasi pembayaran, pengumuman sekolah, laporan perkembangan akademik.
- TIDAK BOLEH: Membagikan data ke pihak ketiga (vendor, sponsor, platform komersial) tanpa persetujuan eksplisit orang tua.
- TIDAK BOLEH: Mempublikasikan foto siswa dengan nama lengkap dan data pribadi di media sosial atau website sekolah tanpa izin.
- TIDAK BOLEH: Menjual atau memperdagangkan data siswa dalam bentuk apapun — ini pelanggaran serius dengan sanksi pidana.
Pertanyaan yang Harus Diajukan Orang Tua ke Sekolah tentang Data Anak
Di awal tahun ajaran, jangan ragu mengajukan pertanyaan-pertanyaan ini ke sekolah untuk memastikan data anak Anda dikelola dengan benar:
- Siapa yang bertanggung jawab mengelola data siswa di sekolah ini?
- Di mana data siswa disimpan — di server lokal, cloud, atau campuran?
- Apakah sekolah memiliki kebijakan privasi tertulis yang bisa saya baca?
- Apakah ada pihak ketiga yang mengakses data siswa (vendor aplikasi, platform belajar, dll.)?
- Bagaimana prosedur sekolah jika saya ingin mengakses atau mengoreksi data anak saya?
Membangun Komunikasi Positif dengan Sekolah tentang Privasi Data
Perlindungan data bukan tentang konfrontasi — ini tentang kolaborasi antara orang tua dan sekolah. Sekolah yang baik justru akan menghargai orang tua yang peduli dengan privasi data. Mulailah dengan nada positif: sampaikan bahwa Anda mendukung digitalisasi sekolah, tapi ingin memastikan perlindungan data berjalan sesuai aturan. Banyak orang tua tidak sadar bahwa membangun komunikasi efektif sekolah-orang tua justru bisa dimulai dari diskusi tentang privasi data.
Jika Anda merasa perlu panduan lebih lanjut dari perspektif keluarga, baca juga panduan keamanan data untuk orang tua yang membahas langkah-langkah praktis melindungi data anak di era digital.
Pertanyaan yang Sering Diajukan
Apakah semua data anak di sekolah dilindungi UU PDP?
Ya. UU PDP melindungi semua data pribadi — informasi yang dapat mengidentifikasi seseorang secara langsung maupun tidak langsung. Ini mencakup NISN, NIK, nama lengkap, alamat, foto, data kesehatan, prestasi akademik, dan data pembayaran. Bahkan data yang tampak sepele seperti nama orang tua masuk dalam cakupan perlindungan.
Berapa lama sekolah wajib merespons permintaan akses data?
Berdasarkan UU PDP pasal 32, pengendali data wajib menanggapi permintaan subjek data paling lambat 3×24 jam (72 jam) sejak permintaan diterima. Jika membutuhkan waktu lebih lama karena kompleksitas, sekolah wajib memberitahu Anda tentang perpanjangan waktu beserta alasannya.
Apa yang bisa saya lakukan jika sekolah menolak permintaan akses data?
Langkah pertama: minta penolakan secara tertulis beserta alasannya. Langkah kedua: eskalasi ke kepala sekolah atau yayasan. Langkah ketiga: jika tetap ditolak tanpa dasar hukum yang sah, Anda bisa mengajukan pengaduan ke lembaga pengawas PDP yang ditunjuk pemerintah. Dokumentasikan semua komunikasi.
Apakah sekolah boleh memajang foto anak di media sosial?
Hanya dengan persetujuan eksplisit orang tua. Tanpa izin, publikasi foto yang memuat data pribadi anak (nama, kelas, kegiatan) adalah pelanggaran UU PDP. Sekolah seharusnya meminta formulir persetujuan publikasi di awal tahun ajaran dan menghormati pilihan orang tua yang tidak setuju.
Bagaimana jika anak saya pindah sekolah — bagaimana nasib datanya?
Anda berhak meminta data anak dihapus dari sistem sekolah lama setelah proses pindah selesai. Pengecualian: arsip akademik permanen seperti nilai dan ijazah yang wajib disimpan sesuai regulasi. Untuk data administratif dan non-akademik, sekolah wajib menghapusnya dalam waktu yang wajar setelah Anda mengajukan permintaan.