Muhammad Hafidzul Fikri
16 Desember, 2022
Pengendali data pribadi didefinisikan pada Pasal 1 angka 4 Undang-Undang No. 27 tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”) yang berbunyi “Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi”.
Artinya Pengendali data pribadi dapat berupa setiap orang yang dalam Undang-Undang ini diartikan sebagai orang perseorangan atau korporasi; berupa badan publik yang berarti lembaga Eksekutif, Legislatif, Yudikatif; berupa organisasi Internasional yang organisasinya diakui sebagai subjek hukum internasional dan mempunyai kapasitas untuk membuat perjanjian internasional.
Kewajiban Pengendali Data Pribadi terhadap Subjek Data Pribadi
1. Memiliki dasar Pemrosesan Data Pribadi (Pasal 20 ayat (1) UU PDP)
Kewajiban ini berdasarkan pasal 20 ayat (1) UU PDP, adapun yang dimaksud Pemrosesan Data Pribadi berdasarkan Pasal 20 ayat (2) antara lain: 1. Persetujuan yang sah dari Subjek Data Pribadi; 2. Pemenuhan kewajiban perjanjian (jika ada permintaan dari Subjek Data Pribadi dalam suatu perjanjian); 3. Pemenuhan kewajiban hukum; 4. Pemenuhan pelindungan kepentingan vital Subjek Data Pribadi; 5. Pemenuhan tugas; 6. Pemenuhan kepentingan yang sah;
2. Menyampaikan informasi tentang persetujuan Subjek Data Pribadi (Pasal 21 ayat (1) UU PDP)
Pengendali Data Pribadi wajib menyampaikan Informasi mengenai: a. legalitas dari pemrosesan Data Pribadi; b. tujuan pemrosesan Data Pribadi; c. jenis dan relevansi Data Pribadi yang akan diproses; d. jangka waktu retensi dokumen yang memuat Data Pribadi; e. rincian mengenai Informasi yang dikumpulkan; f. jangka waktu pemrosesan Data Pribadi; dan g. hak Subjek Data Pribadi.
3. Memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan Informasi (Pasal 21 ayat (2) UU PDP)
Pengendali Data Pribadi wajib memberitahukan kepada Subjek Data Pribadi sebelum terjadi perubahan informasi sebbagaimana yang dimaksud Pasal 21 ayat (1) UU PDP.
4. Menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi (Pasal 24 UU PDP)
Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi.
Kewajiban Pengendali Data Pribadi terhadap Data Pribadi
1. Melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan. (Pasal 27 UU PDP);
2. Melakukan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi. (Pasal 28 UU PDP);
3. Memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi. (Pasal 29 ayat (1) UU PDP);
4. Melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi. (Pasal 31 UU PDP);
5. Memberikan akses kepada Subjek Data Pribadi. (Pasal 32 ayat (1) UU PDP);
6. Melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan: (Pasal 35 UU PDP)
a. Penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
b. Penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.
7. Menjaga kerahasiaan Data Pribadi. (Pasal 36 UU PDP);
8. Melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi. (Pasal 37 UU PDP)
9. Melindungi Data Pribadi dari pemrosesan yang tidak sah. (Pasal 38 UU PDP)
10. Mencegah Data Pribadi diakses secara tidak sah. (Pasal 39 ayat (1) UU PDP)
11. Bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungiawaban dalam pemenuhan kewajiban pelaksanaan prinsip Pelindungan Data Pribadi. (Pasal 47 UU PDP)
Demikian penjelasan mengenai beberapa kewajiban penting Pengendali Data Pribadi baik terhadap Subjek data Pribadi maupun terhadap Data Pribadi.