Keempat, menyiapkan sistem yang melindungi privasi. Menurut Lintang, sistem perlindungan data pribadi harus terintegrasi dari perancangan sistem dan perlindungan yang harus disediakan dari awal. Pendekatan untuk mengurangi ketergantungan pada perlindungan kebijakan menitikberatkan kepada usaha perlindungan yang dimulai dari teknologi itu sendiri.
Menurut Lintang, kerap kali pengumpul data terlambat menerapkan hal ini karena secara masif melakukan penambangan data pribadi dengan dalil meningkatkan inovasi teknologi. Kelima, kewajiban untuk menilai dampak. Dalam kerangka perlindungan data secara nasional, ada penilaian atau evaluasi dampak yang harus dilakukan lebih dahulu sebelum memproses data pribadi. Hal ini dilakukan untuk mengurangi resiko atas penyalahgunaan hak yang berpotensi menghambat kebebasan individu termasuk pemrosesan data pribadi yang sensitif terhadap pengambilan kebijakan, profiling, dan memantau tuang publik.
Keenam, memiliki staf perlindungan data pribadi. Lintang menyebutkan elemen kunci untuk memastikan berlangsungnya mekanisme yang akuntabel adalah adanya lembaga pemantau. Bagi pengontrol dan pemroses data, sangat penting untuk merangsang kewajiban yang memastikan adanya kewajiban perlindungan. “Hal ini termasuk adanya pihak atau staf khusus yang bertugas melindungi data dan berkewajiban untuk memantau implementasi regulasi,” ujar Lintang.
Ketujuh, memberitahukan adanya kebocoran data. Pengumpul dan pemroses data berkewajiban untuk memberitahukan pihak yang berwenang dan subyek data apabila terjadi kebocoran data. Delapan, kewajiban pengumpul dan pemroses data adalah memastikan perlindungan data pada transfer data secara internasional. Apabila pada praktiknya terjadi transfer data pribadi ke luar negeri, hal ini tidak serta merta menurunkan tingkat perlindungan atas data pribadi individu.
Setiap transfer data pribadi ke negara lain diijinkan maka penerima data harus memberikan perlindungan sekurang-kurangnya setara dengan hukum nasional pengirim data. “Penilaian ini dapat dilakukan oleh otoritas pengawas atau pihak independen,” ujar Lintang seraya menyatakan bahwa kedelapan kewajiban itu merupakan prinsip dalam perlindungan data pribadi. (Baca: Seluk-beluk Refund dalam Aspek Hukum Jual-Beli)
Kerangka Hukum Nasional
Sementara kerangka hukum nasional sendiri mengatur kewajiban penyedia sistem elektronik dalam Peraturan Pemerintah PP No.71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, serta Permenkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.
Pasal 14 ayat (1) PP 71/2019 mengatur kewajiban penyelenggara sistem elektronik berupa menjalankan pemrosesan data pribadi sesuai dengan prinsip perlindungan data pribadi. Sementara Pasal 14 ayat (5) PP 71 berbunyi, jika terjadi kegagalan terhadap perlindungan data pribadi yang dikelolanya, PTSE memiliki kewajiban untuk memberitahukan secara tertulis kepada pemilik data.