Aturan Wajib bagi Pengendali Data Pribadi dalam UU PDP

Salah satu bentuk penyalahgunaan data pribadi yang kerap terjadi adalah pencurian data pribadi. Data pribadi yang dicuri umumnya diperjualbelikan di pasar gelap. Data ilegal tersebut nantinya dapat digunakan untuk melakukan tindak pidana.

Beberapa kejahatan yang mungkin dilakukan, antara lain pemerasan, penipuan, carding, klaim asuransi ilegal, dan lainnya. Ada beberapa kasus pencurian data pribadi yang sempat diperbincangkan publik, termasuk halnya dugaan data BPJS yang bocor beberapa waktu lalu. Jumlah data BPJS yang diduga bocor tersebut mencapai 279 juta data penduduk. Ironisnya, pemilik data pribadi bahkan tidak menyadari adanya penjualan data tersebut.

Berkaitan dengan pasal pencurian data pribadi ini, Rudi Natamiharja dalam jurnalnya mengungkapkan bahwa mekanisme pengumpulan data pribadi dapat dilakukan dengan sederhana. Sebagai contoh, konsumen memberikan data tanpa ada paksaan dan memberikan data dengan cara mengisi formulir pendaftaran. Adapun pengisian tersebut dilakukan dengan penuh kesadaran dan konsumen pun diminta untuk memberikan persetujuan secara terang-terangan, meski ada juga yang secara tersembunyi.

Baca juga:

• Dunia Usaha Siap Implementasikan UU PDP
• Wajib Tahu, Ini 9 Hak Pemilik Data Pribadi dalam UU PDP
• UU PDP: Kominfo Siapkan Standar Profesi DPO

Perlindungan Data Pribadi

Sebagai langkah melindungi data pribadi dan menjamin hak dasar warga negara terkait data pribadi, pemerintah mengesahkan Undang-Undang Pelindungan Data Pribadi atau UU PDP. Dalam UU PDP tersebut, diatur sejumlah ketentuan. Salah satunya mengenai larangan penyalahgunaan data pribadi beserta sanksinya.

UU PDP ini mengatur sejumlah kewajiban pengendali data pribadi dalam hal pemrosesan data. Adapun yang dimaksud dengan pengendali data pribadi ini meliputi setiap orang, badan publik, atau organisasi internasional yang bertindak dalam menentukan tujuan dan melakukan kendali dalam pemrosesan data pribadi.

Kewajiban-kewajiban yang harus dipenuhi pengendali data pribadi dan prosesor data pribadi adalah sebagai berikut.

1. Memiliki dasar pemrosesan data pribadi.
2. Menyampaikan informasi terkait pemrosesan data untuk mendapatkan persetujuan.
3. Mendapatkan persetujuan untuk memproses data secara tertulis atau terekam.
4. Memuat klausul permintaan pemrosesan data pribadi dengan persetujuan yang sah dalam perjanjian.
5. Menunjukkan bukti persetujuan dalam melakukan pemrosesan data pribadi.
6. Menyelenggarakan pemrosesan data pribadi anak secara khusus dengan persetujuan wali/orang tuanya.
7. Menyelenggarakan pemrosesan penyandang disabilitas secara khusus dengan persetujuan dari penyandang disabilitas atau walinya.
8. Melakukan pemrosesan data pribadi secara terbatas, spesifik, sah secara hukum, dan transparan.
9. Melakukan pemrosesan data sesuai dengan tujuannya.
10. Memastikan akurasi, kelengkapan, dan konsistensi data pribadi sesuai dengan ketentuan perundang-undangan.
11. Memperbarui dan/atau memperbaiki kesalahan atau ketidakakuratan data pribadi paling lambat 3 x 24 jam setelah menerima permintaan pembaruan dan/atau perbaikan data.
12. Melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi.
13. Memberikan akses kepada pemilik data sesuai dengan jangka waktu penyimpanan data pribadi.
14. Menolak untuk memberikan akses perubahan jika dinilai dapat membahayakan, berdampak pada data pribadi orang lain, serta bertentangan dengan pertahanan dan keamanan nasional.
15. Melakukan penilaian dampak pelindungan data pribadi atas data yang memiliki potensi risiko tinggi.
16. Melindungi dan memastikan keamanan data yang diprosesnya.
17. Menjaga kerahasiaan data pribadi dalam melakukan pemrosesan data pribadi.
18. Melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi.
19. Melindungi data pribadi dari pemrosesan tidak sah.
20. Mencegah data pribadi diakses secara tidak sah.
21. Menghentikan pemrosesan data pribadi jika Subjek Data Pribadi menarik kembali pemrosesan data pribadinya.
22. Melakukan penundaan dan pembatasan, baik sebagian atau seluruhnya, jika Subjek Data Pribadi memintanya.
23. Mengakhiri pemrosesan data pribadi jika telah mencapai masa retensi, tujuannya telah tercapai, atau terdapat permintaan dari Subjek Data Pribadi.
24. Menghapus data pribadi saat data tidak lagi diperlukan, adanya penarikan izin persetujuan pemrosesan, adanya permintaan untuk penghapusan, dan apabila data didapat dengan cara melawan hukum.
25. Memusnahkan data saat masa retensi telah habis, adanya permintaan, data tidak berkaitan dengan penyelesaian proses hukum, serta apabila data didapat dengan cara melawan hukum.
26. Memberitahukan penghapusan dan/atau pemusnahan data kepada Subjek Data Pribadi.
27. Menyampaikan pemberitahuan secara tertulis jika terjadi kegagalan pelindungan data pribadi.
28. Bertanggung jawab atas pemrosesan data pribadi dan menunjukkan pertanggungjawabannya dalam pemenuhan kewajiban.
29. Memberitahukan Subjek Data Pribadi jika terjadi penggabungan, pemisahan, pengambilalihan, peleburan, dan pembubaran pada badan hukum pengendali data pribadi.
30. Melaksanakan perintah lembaga dalam rangka penyelenggaraan pelindungan data pribadi sesuai dengan ketentuan UU PDP.

Kesulitan mengikuti perubahan berbagai peraturan? Pusat Data Hukumonline menyediakan versi konsolidasi yang menghimpun perubahan peraturan dalam satu naskah. Dapatkan akses Undang-Undang Pelindungan Data Pribadi secara lengkap dan bebas biaya di Pusat Data Hukumonline.