Menjelajahi Praktik Pemrosesan Data Pribadi di Indonesia

Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (“UU PDP”) menandai momen penting dalam komitmen Indonesia terhadap transparansi dan akuntabilitas dalam penanganan data pribadi oleh organisasi atau perusahaan. Disahkan untuk melindungi hak-hak individu, khususnya terkait kegiatan pengolahan data pribadi, UU PDP mewujudkan prinsip pengelolaan data yang bertanggung jawab.

Berdasarkan UU PDP, aktivitas pemrosesan data pribadi harus mematuhi standar yang ketat, memastikan aktivitas tersebut dilakukan dengan cara yang spesifik, sah secara hukum, dan transparan. Pemberlakuan undang-undang ini berfungsi sebagai tameng, menjaga privasi dan hak individu di era digital.

Salah satu landasan transparansi dalam UU PDP adalah kewajiban bagi pengontrol data pribadi untuk menyimpan Catatan Kegiatan Pemrosesan yang komprehensif (“ROPA”). Kewajiban ini, serupa dengan ketentuan Peraturan Perlindungan Data Umum Uni Eropa tahun 2018 (“GDPR”), menggarisbawahi pentingnya mendokumentasikan setiap langkah perjalanan pemrosesan data pribadi.

Memahami ROPA

Inti dari ROPA mencerminkan mitranya di bawah GDPR, yang berfungsi sebagai alat penting untuk menunjukkan kepatuhan terhadap undang-undang privasi yang berlaku. Pada dasarnya, ROPA bertindak sebagai catatan rinci atau jejak audit, memberikan pandangan transparan kepada pihak berwenang tentang bagaimana suatu organisasi mengelola pemrosesan data pribadi. Jika terjadi ketidakpatuhan, konsekuensinya bisa sangat parah, karena otoritas pengawas mempunyai kewenangan untuk mengenakan denda yang besar. Berdasarkan GDPR, denda ini bisa mencapai €20 juta atau sekitar US$20,3 juta, hal ini menunjukkan betapa pentingnya menjaga dokumentasi ROPA yang akurat dan terkini.

Temukan Dukungan Bisnis

Seperti penerapannya berdasarkan GDPR, ROPA berdasarkan UU PDP berfungsi sebagai inventarisasi dan pemetaan aliran data yang berasal dari pemrosesan data pribadi. Hal ini berfungsi sebagai ukuran akuntabilitas mendasar bagi organisasi, dan meletakkan dasar bagi kepatuhan terhadap peraturan perlindungan data di Indonesia. Ketidakpatuhan terhadap kewajiban berdasarkan UU PDP ini dapat mengakibatkan dikenakannya berbagai sanksi administratif, termasuk denda administratif paling banyak dua persen dari pendapatan tahunan perusahaan.

Namun, berbeda dengan ketentuan GDPR yang menyatakan kewajiban ROPA hanya berlaku untuk perusahaan atau organisasi dengan lebih dari 250 karyawan (atau kurang, tergantung pada kondisi tertentu), UU PDP mengamanatkan semua pengontrol dan pemroses data pribadi untuk menegakkan kewajiban ini. Penerapan yang luas ini menegaskan komitmen pemerintah Indonesia untuk menumbuhkan budaya transparansi dan akuntabilitas dalam aktivitas pemrosesan data pribadi di seluruh perusahaan atau organisasi dari segala ukuran.

Komponen ROPA

Meskipun UU PDP tidak merinci komponen wajib ROPA yang dilakukan oleh pengontrol data pribadi, pemerintah Indonesia akan menguraikan kewajiban ini lebih lanjut dalam peraturan pemerintahnya. Berdasarkan rancangan peraturan pemerintah terbaru tentang pelaksanaan UU PDP, pemerintah Indonesia membedakan komponen wajib ROPA antara yang dilakukan oleh pengontrol data pribadi dan yang dilakukan oleh pengolah data pribadi.

Menurut rancangan RUU terbaru, ROPA yang dilakukan oleh pengontrol data pribadi harus mencakup, namun tidak terbatas pada:

1. Nama dan rincian kontak pengontrol data pribadi, pengontrol data pribadi bersama, dan/atau pemroses data pribadi;
2. Kontak petugas perlindungan data pribadi;
3. Sumber pengumpulan dan tujuan pengiriman data pribadi;
4. Dasar pemrosesan data pribadi;
5. Tujuan pemrosesan data pribadi;
6. Jenis data pribadi;
7. Kategori subjek data pribadi;
8. Pihak selain pengendali data pribadi yang dapat mengakses data pribadi;
9. Pemenuhan hak subjek data pribadi;
10. Memetakan aliran data pribadi;
11. Jangka waktu penyimpanan; Dan
12. Langkah teknis dan organisasi untuk mengamankan data pribadi.

Selain itu, pemroses data pribadi yang ditunjuk oleh pengontrol data pribadi juga wajib melakukan ROPA, yang mencakup, namun tidak terbatas pada:

1. Nama dan kontak pengolah data pribadi;
2. Ruang lingkup kegiatan pemrosesan data pribadi;
3. Rincian transfer data pribadi; Dan
4. Gambaran umum tentang langkah-langkah organisasi dan teknis untuk melindungi data pribadi.

Patut dicatat bahwa komponen wajib ROPA didasarkan pada rancangan peraturan pemerintah terbaru, yang belum diundangkan sehingga lemah dalam penegakan hukum. Namun mengingat kewajiban pemeliharaan ROPA sudah dituangkan dalam UU PDP, maka sebaiknya perusahaan berupaya sebaik mungkin untuk menyusun ROPA berdasarkan rancangan RUU terbaru. Hal ini akan membantu mereka menghindari pengenaan sanksi administratif akibat tidak adanya ROPA yang dilakukan oleh pengontrol data pribadi.

Dokumentasi ROPA

Hasil ROPA harus didokumentasikan dengan cermat, baik dalam format elektronik atau hard copy dan harus diperbarui secara berkala untuk mencerminkan setiap perubahan dalam komponen wajib yang digariskan oleh pemerintah. Pengontrol data pribadi diberi mandat untuk menyimpan catatan hasil ROPA, termasuk setiap amandemen berikutnya, dengan mematuhi peraturan perundang-undangan. Atas permintaan Lembaga PDP, pengelola data pribadi wajib melengkapi dokumen hasil ROPA. Selain itu, jika pengontrol data pribadi menunjuk pemroses data pribadi untuk aktivitas pemrosesan data pribadi, pemroses data pribadi harus memberikan informasi dan dokumentasi relevan yang diperlukan oleh pengontrol data pribadi untuk tujuan audit dan pengawasan.

Selain itu, subjek data pribadi mempunyai hak untuk mengakses dan mendapatkan salinan datanya, beserta catatan komprehensif tentang aktivitas pemrosesan yang melibatkan datanya, sebagaimana diatur dalam ketentuan undang-undang. Dalam hal ini, perusahaan harus siap memberikan akses yang diperlukan terhadap data pribadi yang diproses dan catatan aktivitas pemrosesan dalam jangka waktu 3 x 24 jam sejak tanggal permintaan oleh subjek data pribadi. Penyediaan informasi yang tepat waktu ini penting untuk menegakkan hak-hak individu dan memastikan transparansi dalam praktik pemrosesan data pribadi.

Bagaimana perusahaan melakukan ROPA

Pemerintah Indonesia tidak memberikan pedoman khusus atau proses langkah demi langkah bagi perusahaan untuk melakukan ROPA. Selain itu, tidak ada templat yang ditentukan untuk diikuti oleh pengontrol data pribadi dalam menjalankan ROPA mereka. Oleh karena itu, perusahaan mempunyai fleksibilitas untuk mengadopsi metode apa pun yang mereka anggap tepat dan menyelaraskan metodologi mereka dengan praktik terbaik global, seperti yang diuraikan dalam GDPR, yang biasanya melibatkan langkah-langkah berikut:

1. Identifikasi kegiatan pengolahan data: Awalnya, perusahaan perlu mengidentifikasi semua aktivitas pemrosesan data yang terjadi dalam organisasi. Hal ini memerlukan pemahaman tentang jenis data pribadi yang dikumpulkan, tujuan pengumpulan, pihak-pihak yang terlibat, dan metode pemrosesan.
2. Dokumentasi aliran data: Selanjutnya, setelah aktivitas pemrosesan data teridentifikasi, perusahaan harus mendokumentasikan aliran data pribadi di seluruh organisasi. Hal ini mencakup pemetaan titik pengumpulan, lokasi penyimpanan, mekanisme transfer, dan metode pemrosesan, serta keterlibatan pihak ketiga. Selain itu, perusahaan harus menyusun komponen wajib ROPA untuk mematuhi UU PDP. Memanfaatkan template ROPA atau perangkat lunak khusus dapat membantu mengatur informasi ini secara efisien.
3. Pemeliharaan dan pembaruan: Sangat penting bagi perusahaan untuk secara teratur memelihara dan memperbarui dokumentasi ROPA untuk mencerminkan perubahan dalam aktivitas pemrosesan data dan kewajiban peraturan. Hal ini memastikan bahwa ROPA tetap akurat dan terkini dari waktu ke waktu.
4. Penyimpanan dan aksesibilitas: Dokumentasi ROPA harus disimpan dengan aman, baik dalam bentuk elektronik atau fisik, untuk mencegah akses atau gangguan yang tidak sah. Selain itu, sistem ini harus mudah diakses oleh pemangku kepentingan terkait, seperti petugas perlindungan data dan otoritas pengatur, seperti lembaga PDP. Dalam kasus di mana perusahaan melibatkan pemroses data pribadi pihak ketiga, kolaborasi erat diperlukan untuk memastikan bahwa dokumentasi ROPA secara akurat mencerminkan aktivitas yang dilakukan oleh pemroses data pribadi. Hal ini mungkin melibatkan pertukaran informasi dan dokumentasi untuk tujuan audit dan pengawasan.

Tidak adanya pedoman ROPA yang spesifik memungkinkan perusahaan untuk menyesuaikan pendekatan mereka terhadap manajemen risiko dan pelaksanaan proyek dengan tetap mematuhi komponen wajib ROPA berdasarkan UU PDP. Perusahaan dapat memilih untuk melakukan ROPA secara manual menggunakan alat seperti Excel atau templat yang tersedia di internet, dan melakukan penyesuaian yang diperlukan untuk mematuhi UU PDP. Alternatifnya, mereka dapat memilih alat yang disediakan oleh penyedia layanan pihak ketiga yang khusus menangani perlindungan data pribadi dan selaras dengan UU PDP dan peraturan terkait lainnya di Indonesia. Alat-alat ini dapat memfasilitasi penerapan ROPA yang efektif dan efisien, sehingga memastikan kepatuhan terhadap UU PDP.