Perlu diketahui dalam pemrosesan data pribadi terdapat pihak luar yang ditunjuk oleh perusahaan penyedia layanan sebagai pengendali data. Pemroses data ini memproses data pribadi atas nama pengendali data. Selain itu, pemroses data juga bertindak atas instruksi pengendali data. Sehingga, saat terjadi kebocoran data pribadi yang disebabkan pemroses data maka tidak menjadi tanggung jawab pengendali data melainkan pemroses data tersebut.
Raditya menekanan pentingnya pemerintah bersama DPR segera mengesahkan Rancangan Undang-Undang Perlindungan Data Pribadi (PDP). Dia menjelaskan kehadiran aturan tersebut dapat menegaskan tanggung jawab masing-masing pihak terhadap data pribadi pengguna. Aturan tersebut juga dapat memberi sanksi kepada pihak yang melanggar kerahasiaan data pribadi pengguna.
Selain itu, RUU PDP juga akan mengatur data protection officer (DPO) yang diperlukan untuk pemrosesan data pribadi. DPO ini bertugas untuk memberikan sarat dan informasi kepada perusahaan untuk memastikan kepatuhan terhadap perlindungan data pribadi. Selain itu DPO juga diperlukan untuk memantau secara teratur dan sistematis data pribadi dengan skala besar. DPO juga mengkoordinasikan para pihak internal dan eksternal terkait untuk perlindungan data. “Kedepan banyak yang ingin jadi DPO, tapi tanggung jawabnya besar,” jelas Raditya.
Dalam kesempatan tersebut, Pengurus APPDI, Danny Kobrata juga mengatakan RUU PDP perlu segera disahkan. “Ketika ada UU PDP, Kemenkominfo enforcement-nya akan lebih tegas. Kewajiban-kewajiban banyak di pengendali data, pengendali data akan bertanggung jawab saat kebocoran data, pemroses data akan bertanggung jawab saat melakukan di luar instruksi,” jelas Danny.
Dia juga menjelaskan saat ini ketentuan penggunaan data masyarakat sangat bergantung pada pesetujuan. Menurutnya, dengan kehadiran UU PDP penggunaan data dapat dilakukan tanpa persetujuan pada kondisi tertentu. Dasar pemrosesan data pribadi antara dapat dilakukan berdasarkan kontrak, pemenuhan kewajiban hukum pengendali data, keadaan darurat atau vital, pemrosesan untuk pelayanan public dan kepentingan yang sah dari pengendali data (legitimate interest).
“Persetujuan bukan satu-satunya dasar untuk memproses data pribadi,” jelasnya.