Pengendali dan Prosesor Data Pribadi

Apakah itu Pengendali dan Prosesor Data Pribadi?

Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi. Prosesor Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan Data Pribadi atas nama Pengendali Data Pribadi. Pengendali dan Prosesor Data Pribadi memeiliki kewajiban yang diatur dalam UU Pelindungan Data Pribadi.

Apa Kewajiban Pengendali dan Prosesor Data Pribadi?

Dalam BAB VI UU PDP. Membahas tentang Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi dalam Pemrosesan Data Pribadi. Pengendali Data Pribadi dan Prosesor Data Pribadi meliputi Setiap Orang, Badan Publik, dan Organisasi Internasional. Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi. Dasar pemrosesan Data Pribadi yang wajib dipenuhi oleh Pengendali Data Pribadi meliputi:

  1. persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
  2. pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
  3. pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
  4. pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
  5. pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/atau
  6. pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.

Informasi Pengendali Data Pribadi

Apabila pemrosesan Data Pribadi berdasarkan persetujuan, Pengendali Data Pribadi wajib menyampaikan Informasi mengenai:

  1. legalitas dari pemrosesan Data Pribadi;
  2. tujuan pemrosesan Data Pribadi;
  3. jenis dan relevansi Data Pribadi yang akan diproses;
  4. jangka waktu retensi dokumen yang memuat Data Pribadi;
  5. rincian mengenai Informasi yang dikumpulkan;
  6. jangka waktu pemrosesan Data Pribadi; dan
  7. hak Subjek Data Pribadi.

Jika ada perubahan Informasi, Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan Informasi.

Bagaimana persetujuan Pemrosesan Data Pribadi?

Persetujuan pemrosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam. Persetujuan dapat disampaikan secara elektronik atau nonelektronik. Persetujuan secara elektronik atau tertulis mempunyai kekuatan hukum yang sama.

Jika persetujuan memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan:

  1. dapat dibedakan secara jelas dengan hal lainnya;
  2. dibuat dengan format yang dapat dipahami dan mudah diakses; dan
  3. menggunakan bahasa yang sederhana dan jelas.

Persetujuan yang tidak memenuhi ketentuan di atas dinyatakan batal demi hukum.

Klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan Data Pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari Subjek Data Pribadi dinyatakan batal demi hukum. Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi.

Bagaimana persetujuan Pemrosesan Data Pribadi Anak?

Pemrosesan Data Pribadi anak diselenggarakan secara khusus. Pemrosesan Data Pribadi anak wajib mendapat persetujuan dari orang tua anak dan/atau wali anak sesuai dengan ketentuan peraturan perundang-undangan.

Bagaimana persetujuan Pemrosesan Data Pribadi Penyandang Disabilitas?

Pemrosesan Data Pribadi penyandang disabilitas diselenggarakan secara khusus. Pemrosesan Data Pribadi penyandang disabilitas dilakukan melalui komunikasi dengan menggunakan cara tertentu sesuai dengan ketentuan perundang-undangan.

Pemrosesan Data Pribadi penyandang disabilitas sebagaimana dimaksud pada ayat (2) wajib mendapat persetujuan dari penyandang disabilitas dan/atau wali penyandang disabilitas sesuai dengan ketentuan peraturan perundang-undangan.

Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan. Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi.

Pengendali Data Pribadi wajib memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan. Dalam memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi Pengendali Data Pribadi wajib melakukan verifikasi.

Pengendali Data Pribadi wajib memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan pembaruan dan/atau perbaikan Data Pribadi. Pengendali Data Pribadi wajib memberitahukan hasil pembaruan dan/atau perbaikan Data Pribadi kepada Subjek Data Pribadi.

Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.

Pengendali Data Pribadi wajib memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi sesuai dengan jangka waktu penyimpanan Data Pribadi. Akses diberikan paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan akses.

Pengendali Data Pribadi wajib menolak memberikan akses perubahan terhadap Data Pribadi kepada Subjek Data Pribadi apabila membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain; berdampak pada pengungkapan Data Pribadi milik orang lain; dan/atau bertentangan dengan kepentingan pertahanan dan keamanan nasional.

Selengkapnya dapat dibaca dalam cuplikan UU Pelindungan Data Pribadi BAB VI tentang Kewajiban Pengendali Data Pribadi dan Prosesor Data Pribadi dalam Pemrosesan Data Pribadi, di bawah ini:

BAB VI
KEWAJIBAN PENGENDALI DATA PRIBADI DAN PROSESOR DATA PRIBADI DALAM PEMROSESAN DATA PRIBADI

Bagian Kesatu
Umum

Pasal 19

Pengendali Data Pribadi dan Prosesor Data Pribadi meliputi:

  1. Setiap Orang;
  2. Badan Publik; dan
  3. Organisasi Internasional.

Bagian Kedua
Kewajiban Pengendali Data Pribadi

Pasal 20

  1. Pengendali Data Pribadi wajib memiliki dasar pemrosesan Data Pribadi.
  2. Dasar pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) meliputi:
    1. persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
    2. pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melakukan perjanjian;
    3. pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
    4. pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
    5. pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/atau
    6. pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.

Pasal 21

  1. Dalam hal pemrosesan Data Pribadi berdasarkan persetujuan sebagaimana dimaksud dalam Pasal 20 ayat (2) huruf a, Pengendali Data Pribadi wajib menyampaikan Informasi mengenai:
    1. legalitas dari pemrosesan Data Pribadi;
    2. tujuan pemrosesan Data Pribadi;
    3. jenis dan relevansi Data Pribadi yang akan diproses;
    4. jangka waktu retensi dokumen yang memuat Data Pribadi;
    5. rincian mengenai Informasi yang dikumpulkan;
    6. jangka waktu pemrosesan Data Pribadi; dan
    7. hak Subjek Data Pribadi.
  2. Dalam hal terdapat perubahan Informasi sebagaimana dimaksud pada ayat (1), Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan Informasi.

Pasal 22

  1. Persetujuan pemrosesan Data Pribadi dilakukan melalui persetujuan tertulis atau terekam.
  2. Persetujuan sebagaimana dimaksud pada ayat (1) dapat disampaikan secara elektronik atau nonelektronik.
  3. Persetujuan sebagaimana dimaksud pada ayat (1) mempunyai kekuatan hukum yang sama.
  4. Dalam hal persetujuan sebagaimana dimaksud pada ayat (1) memuat tujuan lain, permintaan persetujuan harus memenuhi ketentuan:
    1. dapat dibedakan secara jelas dengan hal lainnya;
    2. dibuat dengan format yang dapat dipahami dan mudah diakses; dan
    3. menggunakan bahasa yang sederhana dan jelas.
  5. Persetujuan yang tidak memenuhi ketentuan sebagaimana dimaksud pada ayat (1) dan ayat (4) dinyatakan batal demi hukum.

Pasal 23

Klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan Data Pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari Subjek Data Pribadi dinyatakan batal demi hukum.

Pasal 24

Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi.

Pasal 25

  1. Pemrosesan Data Pribadi anak diselenggarakan secara khusus.
  2. Pemrosesan Data Pribadi anak sebagaimana dimaksud pada ayat (1) wajib mendapat persetujuan dari orang tua anak dan/atau wali anak sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 26

  1. Pemrosesan Data Pribadi penyandang disabilitas diselenggarakan secara khusus.
  2. Pemrosesan Data Pribadi penyandang disabilitas sebagaimana dimaksud pada ayat (1) dilakukan melalui komunikasi dengan menggunakan cara tertentu sesuai dengan ketentuan perundang-undangan.
  3. Pemrosesan Data Pribadi penyandang disabilitas sebagaimana dimaksud pada ayat (2) wajib mendapat persetujuan dari penyandang disabilitas dan/atau wali penyandang disabilitas sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 27

Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan.

Pasal 28

Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi.

Pasal 29

  1. Pengendali Data Pribadi wajib memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan.
  2. Dalam memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sebagaimana dimaksud pada ayat (1) Pengendali Data Pribadi wajib melakukan verifikasi.

Pasal 30

  1. Pengendali Data Pribadi wajib memperbarui dan/atau memperbaiki kesalahan dan/atau ketidakakuratan Data Pribadi paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan pembaruan dan/atau perbaikan Data Pribadi.
  2. Pengendali Data Pribadi wajib memberitahukan hasil pembaruan dan/atau perbaikan Data Pribadi kepada Subjek Data Pribadi.

Pasal 31

Pengendali Data Pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.

Pasal 32

  1. Pengendali Data Pribadi wajib memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi sesuai dengan jangka waktu penyimpanan Data Pribadi.
  2. Akses sebagaimana dimaksud pada ayat (1) diberikan paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan akses.

Pasal 33

Pengendali Data Pribadi wajib menolak memberikan akses perubahan terhadap Data Pribadi kepada Subjek Data Pribadi dalam hal:

  1. membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek Data Pribadi dan/atau orang lain;
  2. berdampak pada pengungkapan Data Pribadi milik orang lain; dan/atau
  3. bertentangan dengan kepentingan pertahanan dan keamanan nasional.

Pasal 34

  1. Pengendali Data Pribadi wajib melakukan penilaian dampak Pelindungan Data Pribadi dalam hal pemrosesan Data Pribadi memiliki potensi risiko tinggi terhadap Subjek Data Pribadi.
  2. Pemrosesan Data Pribadi memiliki potensi risiko tinggi sebagaimana dimaksud pada ayat (1) meliputi:
    1. pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap Subjek Data Pribadi;
    2. pemrosesan atas Data Pribadi yang bersifat spesifik;
    3. pemrosesan Data Pribadi dalam skala besar;
    4. pemrosesan Data Pribadi untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap Subjek Data Pribadi;
    5. pemrosesan Data Pribadi untuk kegiatan pencocokan atau penggabungan sekelompok data;
    6. penggunaan teknologi baru dalam pemrosesan Data Pribadi; dan/atau
    7. pemrosesan Data Pribadi yang membatasi pelaksanaan hak Subjek Data Pribadi.
  3. Ketentuan lebih lanjut mengenai penilaian dampak Pelindungan Data Pribadi diatur dalam Peraturan Pemerintah.

Pasal 35

Pengendali Data Pribadi wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan:

  1. penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
  2. penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.

Pasal 36

Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menjaga kerahasiaan Data Pribadi.

Pasal 37

Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi.

Pasal 38

Pengendali Data Pribadi wajib melindungi Data Pribadi dari pemrosesan yang tidak sah.

Pasal 39

  1. Pengendali Data Pribadi wajib mencegah Data Pribadi diakses secara tidak sah.
  2. Pencegahan sebagaimana dimaksud pada ayat (1) dilakukan dengan menggunakan sistem keamanan terhadap Data Pribadi yang diproses dan/atau memproses Data Pribadi menggunakan sistem elektronik secara andal, aman, dan bertanggung jawab.
  3. Pencegahan sebagaimana dimaksud pada ayat (2) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 40

  1. Pengendali Data Pribadi wajib menghentikan pemrosesan Data Pribadi dalam hal Subjek Data Pribadi menarik kembali persetujuan pemrosesan Data Pribadi.
  2. Penghentian pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan penarikan kembali persetujuan pemrosesan Data Pribadi.

Pasal 41

  1. Pengendali Data Pribadi wajib melakukan penundaan dan pembatasan pemrosesan Data Pribadi baik sebagian maupun seluruhnya paling lambat 3 x 24 (tiga kali dua puluh empat) jam terhitung sejak Pengendali Data Pribadi menerima permintaan penundaan dan pembatasan pemrosesan Data Pribadi.
  2. Penundaan dan pembatasan pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dikecualikan dalam hal:
    1. terdapat ketentuan peraturan perundang-undangan yang tidak memungkinkan dilakukan penundaan dan pembatasan pemrosesan Data Pribadi;
    2. dapat membahayakan keselamatan pihak lain; dan/atau
    3. Subjek Data Pribadi terikat perjanjian tertulis dengan Pengendali Data Pribadi yang tidak memungkinkan dilakukan penundaan dan pembatasan pemrosesan Data Pribadi.
  3. Pengendali Data Pribadi wajib memberitahukan telah dilaksanakan penundaan dan pembatasan pemrosesan Data Pribadi kepada Subjek Data Pribadi.

Pasal 42

  1. Pengendali Data Pribadi wajib mengakhiri pemrosesan Data Pribadi dalam hal:
    1. telah mencapai masa retensi;
    2. tujuan pemrosesan Data Pribadi telah tercapai; atau
    3. terdapat permintaan dari Subjek Data Pribadi.
  2. Pengakhiran pemrosesan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 43

  1. Pengendali Data Pribadi wajib menghapus Data Pribadi dalam hal:
    1. Data Pribadi tidak lagi diperlukan untuk pencapaian tujuan pemrosesan Data Pribadi;
    2. Subjek Data Pribadi telah melakukan penarikan kembali persetujuan pemrosesan Data Pribadi;
    3. terdapat permintaan dari Subjek Data Pribadi; atau
    4. Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
  2. Penghapusan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 44

  1. Pengendali Data Pribadi wajib memusnahkan Data Pribadi dalam hal:
    1. telah habis masa retensinya dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip;
    2. terdapat permintaan dari Subjek Data Pribadi;
    3. tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/atau
    4. Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.
  2. Pemusnahan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sesuai dengan ketentuan peraturan perundang-undangan.

Pasal 45

Pengendali Data Pribadi wajib memberitahukan penghapusan dan/atau pemusnahan Data Pribadi kepada Subjek Data Pribadi.

Pasal 46

  1. Dalam hal terjadi kegagalan Pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:
    1. Subjek Data Pribadi; dan
    2. lembaga.
  2. Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) minimal memuat:
    1. Data Pribadi yang terungkap;
    2. kapan dan bagaimana Data Pribadi terungkap; dan
    3. upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.
  3. Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi.

Pasal 47

Pengendali Data Pribadi wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.

Pasal 48

  1. Pengendali Data Pribadi berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum wajib menyampaikan pemberitahuan pengalihan Data Pribadi kepada Subjek Data Pribadi.
  2. Pemberitahuan pengalihan Data Pribadi sebagaimana dimaksud pada ayat (1) dilakukan sebelum dan sesudah penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum.
  3. Dalam hal Pengendali Data Pribadi berbentuk badan hukum melakukan pembubaran atau dibubarkan, penyimpanan, pentransferan, penghapusan, atau pemusnahan Data Pribadi dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.
  4. Penyimpanan, pentransferan, penghapusan, atau pemusnahan Data Pribadi sebagaimana dimaksud pada ayat (3) diberitahukan kepada Subjek Data Pribadi.
  5. Ketentuan lebih lanjut mengenai tata cara pemberitahuan sebagaimana dimaksud pada ayat (1), ayat (2), dan ayat (4) diatur dalam Peraturan Pemerintah.

Pasal 49

Pengendali Data Pribadi dan/atau Prosesor Data Pribadi wajib melaksanakan perintah lembaga dalam rangka penyelenggaraan Pelindungan Data Pribadi sesuai dengan Undang-Undang ini.

Pasal 50

  1. Kewajiban Pengendali Data Pribadi sebagaimana dimaksud dalam Pasal 30, Pasal 32, Pasal 36, Pasal 42, Pasal 43 ayat (1) huruf a sampai dengan huruf c, Pasal 44 ayat (1) huruf b, Pasal 45, dan Pasal 46 ayat (1) huruf a, dikecualikan untuk:
    1. kepentingan pertahanan dan keamanan nasional;
    2. kepentingan proses penegakan hukum;
    3. kepentingan umum dalam rangka penyelenggaraan negara; atau
    4. kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem keuangan yang dilakukan dalam rangka penyelenggaraan negara.
  2. Pengecualian sebagaimana dimaksud pada ayat (1) dilaksanakan hanya dalam rangka pelaksanaan ketentuan Undang-Undang.

Untuk lebih lengkap tentang UU Pelindungan Data Pribadi yang belum disahkan Pemerintah ini, sila baca di tautan ini.