Selain itu, terdapat pula tujuan pemrosesan data, deskripsi subjek data dan kategori data pribadi. Lalu, terdapat juga infromasi kategori penerima data, kepada siapa data pribadi telah atau akan diberikan termasuk penerima negara ketiga atau organisasi internasional. Terdapat juga informasi berupa identifikasi negara ketiga atau organisasi internasional tersebut dan dokumentasi pengamanan yang sesuai.
Pria yang juga Associate Director for Cybersecurity and Data Privacy & Protection, Deloitte itu menilai, bila memungkinkan dibuatkan perkiraan batas waktu untuk penghapusan (periode retensi) dari berbagai kategori data dan gambaran umum tentang langkah-langkah keamanan teknis dan organisasi. Dia menekankan kunci pelindungan data pribadi paling utama terletak pada komitmen petinggi perusahaan khususnya tingkat direksi.
Dengan komitmen kuat, direksi tersebut memperkuat program PDP dengan pengalokasian anggaran dan sumber daya manusia. Nantinya, dengan adanya kepatuhan yang kuat dari perusahaan maka berdampak terhadap budaya kerja karyawan dalam pelindungan data pribadi. Eryk menjelasakan, program PDP bagi perusahaan dapat berdampak terhadap kepercayaan konsumen.
“Jika kompetitor makin maju karena punya teknologi pelindungan data yang mutakhir sehingga konsumen akan lari ke kompetitor tersebut. UU PDP ini tinggal hitungan waktu, ada satu tahun lebih untuk grass period, sehingga saat ini merupakan momen yang bagus untuk lihat secara internal kekurangannya apa. Kalau ada yang kurang segera persiapkan, bikin kontrol, prioritaskan yang basic dulu seperti privacy notice sebagai bentuk transparansi dan ROPA,” ungkap Eryk.
Sebelumnya, Wakil Ketua Asosiasi Praktisi Perlindungan Data Indonesia (APPDI) Danny Kobrata menerangkan pentingnya persetujuan dari pemilik data sebagai dasar pemrosesan data oleh perusahaan. Syarat persetujuan, formulir persetujuan, dan perubahan kebijakan privasi mesti dikomunikasikan terlebih dulu sebelum terjadinya perubahan informasi. Menurutnya, syarat persetujuan mesti eksplisit dibuat dalam bahasa Indonesia yang mudah dibaca, dan di mengerti.
“Untuk persetujuan yang tidak memenuhi persyaratan akan dianggap batal demi hukum,” imbuhnya.
Partner pada Kantor Hukum K&K Advocates menerangkan pemrosesan data pribadi harus memenuhi ketentuan adanya persetujuan yang sah sesuai dengan tujuan penggunaan data,. Bahkan, ada yang harus berdasarkan perjanjian atau kontrak. Serta pengendali data wajib menjaga kerahasiaan data pribadi. Selain itu, pemilik data pribadi berhak untuk mengakhiri pemrosesan, menghapus dan atau memusnahkan data pribadi miliknya.
“Di antara syarat sah pemrosesan data pribadi adalah persetujuan, perjanjian, legal obligation, vital interest, pelaksanaan kewenangan, pelayanan publik, legitimate interest,” pungkasnya.