Pelaku usaha perlu memikirkan cara agar subyek data dapat melaksanakan hak-haknya. Misalnya, dengan cara menunjuk karyawan tertentu di dalam perusahaan untuk menjadi narahubung (contact person) dengan subyek data. Atau misalnya dengan membuat kebijakan internal tertentu yang mengatur mengenai cara-cara menangani permintaan-permintaan dari subyek data.
Sebagai contoh, permintaan untuk mengakses data pribadi, menghapus data pribadi, keberatan atas pemrosesan tertentu, dan lain-lain. Dengan adanya UU PDP, pelaku usaha harus siap untuk membangun mekanisme-mekanisme baru tersebut. Apabila pelaku usaha gagal dalam melindungi hak-hak subyek data, pelaku usaha dapat dianggap melanggar UU PDP, sehingga bisa dikenakan sanksi.
- Konsep Pengendali dan Pemroses Data Pribadi
Sering kali pemrosesan data pribadi di dalam perusahaan melibatkan banyak pihak. Tidak hanya departemen atau divisi di dalam perusahaan saja, tapi juga pihak-pihak di luar perusahaan. Merupakan praktik yang lazim apabila suatu perusahaan menunjuk atau mendelegasikan sebagian kegiatan pemrosesan kepada pihak lain. Hal ini bisa dilakukan karena beberapa hal. Salah satu, adalah kurangnya sumber daya (baik secara personel maupun infrastruktur) di dalam perusahaan untuk memproses data pribadi tersebut. UU PDP membedakan antara pihak yang memproses data pribadi untuk dirinya sendiri dan pihak yang ditunjuk untuk memproses untuk dan atas nama pihak lain.
UU PDP memperkenalkan konsep “pengendali data” dan “pemroses data”. Pengendali data adalah setiap pihak yang menentukan tujuan dan melakukan kendali atas data pribadi tersebut. Sedangkan pemroses data adalah setiap pihak memproses data pribadi untuk pengendali data pribadi. Sebagai ilustrasi sebagai berikut.
PT ABC mengumpulkan data pribadi milik konsumennya. Data tersebut nantinya akan digunakan untuk program loyalty, kepentingan marketing, atau penelitian untuk peningkatan produk tertentu. Dikarenakan keterbatasan sumber daya, PT ABC menunjuk pihak ketiga, PT XYZ, untuk memproses data pribadi ini sesuai dengan arahan dari PT ABC.
Di dalam deskripsi di atas, PT ABC merupakan “pengendali data” karena ia adalah pihak yang mengumpulkan dan menentukan tujuan pemrosesan. Sedangkan PT XYZ merupakan “pemroses data” karena hanya memproses sesuai dengan instruksi dan arahan dari PT ABC.
Pengendali data dan pemroses data memiliki tanggung jawab yang berbeda. Secara umum, pengendali data memiliki kewajiban yang lebih banyak. Mulai dari kewajiban dalam menentukan dasar pemrosesan data pribadi (misal: memperoleh persetujuan), menjamin hak-hak subyek data, menjaga kerahasiaan dan keamanan dan lain-lain. Sedangkan pemroses data, secara konsep, hanya bertanggung jawab sebatas instruksi dari pengendali data. Apabila pemroses data melakukan pemrosesan data di luar instruksi dari pengendali data pribadi, maka pemroses data dapat menjadi bertanggung jawab selayaknya pengendali data pribadi.