Apa saja kewajiban penting yang perlu diperhatikan di dalam UU PDP? Kemudian, apakah terdapat sanksi jika kewajiban tersebut tidak dilaksanakan berdasarkan UU PDP?
DAFTAR ISI
INTISARI JAWABAN
Pelindungan data pribadi adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi,
Pengendali data pribadi maupun prosesor data pribadi memiliki kewajiban penting dalam melakukan pemrosesan data pribadi.
Lantas, sanksi apa yang diberikan bagi pengendali data pribadi maupun prosesor data pribadi apabila tidak menjalankan kewajiban sesuai ketentuan UU PDP?
Penjelasan lebih lanjut dapat Anda baca ulasan di bawah ini.
ULASAN LENGKAP
Terima kasih atas pertanyaan Anda.
Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.
Di dalam UU PDP dikenal istilah pengendali data pribadi dan prosesor data pribadi. Pengendali data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.[1]
Sedangkan prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.[2]
Pengendali data pribadi dan prosesor data pribadi mempunyai kewajiban yang harus ditaati sehubungan dengan pelindungan data pribadi. Apa saja kewajiban-kewajiban tersebut?
Belajar Hukum Secara Online dari Pengajar Berkompeten Dengan Biaya TerjangkauMulai DariRp. 149.000
Kewajiban Pengendali Data Pribadi dalam Melindungi Data Pribadi
Perlu Anda ketahui bahwa upaya pelindungan data pribadi adalah keseluruhan upaya untuk melindungi data pribadi dalam rangkaian pemrosesan data pribadi guna menjamin hak konstitusional subjek data pribadi.[3]
Dalam melakukan pemrosesan data pribadi, pengendali data pribadi wajib memenuhi ketentuan-ketentuan sebagai berikut:
Pengendali data wajib memiliki dasar pemrosesan data pribadi yang meliputi:[4]
persetujuan yang sah secara eksplisit dari subjek data pribadi untuk 1 atau beberapa tujuan tertentu yang telah disampaikan oleh pengendali data pribadi kepada subjek data pribadi;
pemenuhan kewajiban perjanjian dalam hal subjek data pribadi merupakan salah satu pihak atau untuk memenuhi permintaan subjek data pribadi pada saat akan melakukan perjanjian;
pemenuhan kewajiban hukum dari pengendali data pribadi sesuai dengan ketentuan peraturan perundang-undangan;
pemenuhan pelindungan kepentingan vital subjek data pribadi;
pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan pengendali data pribadi berdasarkan peraturan perundang-undangan; dan/atau
pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan pengendali data pribadi dan hak subjek data pribadi.
Dalam hal pemrosesan data pribadi berdasarkan persetujuan, pengendali data pribadi wajib menyampaikan informasi mengenai:[5]
legalitas dari pemrosesan data pribadi;
tujuan pemrosesan data pribadi;
jenis dan relevansi data pribadi yang akan diproses;
jangka waktu retensi dokumen yang memuat data pribadi;
rincian mengenai informasi yang dikumpulkan;
jangka waktu pemrosesan data pribadi; dan
hak subjek data pribadi
Klausul perjanjian yang di dalamnya terdapat permintaan pemrosesan data pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari subjek data pribadi dinyatakan batal demi hukum.[6]
Dalam melakukan pemrosesan data pribadi, pengendali data pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh subjek data pribadi;[7]
Pengendali data pribadi wajib melakukan pemrosesan data pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan;[8]
Pengendali data pribadi wajib melakukan pemrosesan data pribadi sesuai dengan tujuan pemrosesan data pribadi;[9]
Pengendali data pribadi wajib memastikan akurasi, kelengkapan, dan konsistensi data pribadi sesuai dengan ketentuan peraturan perundang-undangan;[10]
Pengendali data pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi;[11]
Pengendali data pribadi wajib memberikan akses kepada subjek data pribadi terhadap data pribadi yang diproses beserta rekam jejak pemrosesan data pribadi sesuai dengan jangka waktu penyimpanan data pribadi;[12]
Dalam melakukan pemrosesan data pribadi, pengendali data pribadi wajib menjaga kerahasiaan data pribadi;[13]
Pengendali data pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali pengendali data pribadi;[14]
Pengendali data pribadi wajib melindungi data pribadi dari pemrosesan yang tidak sah;[15]
Pengendali data pribadi wajib mencegah data pribadi diakses secara tidak sah;[16]
Pengendali data pribadi wajib bertanggung jawab atas pemrosesan data pribadi dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip pelindungan data pribadi.[17]
Pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan:[18]
penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.
Jika Pengendali Data Pribadi Gagal Melindungi Data Pribadi
Dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi dan lembaga.[19]
Pemberitahuan tertulis tersebut minimal harus memuat:[20]
data pribadi yang terungkap;
kapan dan bagaimana data pribadi terungkap; dan
upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pengendali data pribadi.
Bahkan dalam hal tertentu pengendali data pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan pelindungan data pribadi.[21]
Kewajiban Prosesor Data Pribadi
Adapun kewajiban prosesor data pribadi diantaranya meliputi:
Dalam hal pengendali data pribadi menunjuk prosesor data pribadi, prosesor data pribadi wajib melakukan pemrosesan data pribadi berdasarkan perintah pengendali data pribadi;[22]
Prosesor data pribadi dapat melibatkan prosesor data pribadi lain dalam melakukan pemrosesan data pribadi;[23]
Prosesor data pribadi wajib mendapatkan persetujuan tertulis dari pengendali data pribadi sebelum melibatkan prosesor data pribadi lain;[24]
Dalam hal prosesor data pribadi melakukan pemrosesan data pribadi di luar perintah dan tujuan yang ditetapkan pengendali data pribadi, pemrosesan data pribadi menjadi tanggung jawab prosesor data pribadi;[25]
Prosesor data pribadi wajib memastikan akurasi, kelengkapan, dan konsistensi data pribadi sesuai dengan ketentuan peraturan perundang-undangan;[26]
Prosesor data pribadi wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan data pribadi;[27]
Dalam melakukan pemrosesan data pribadi, prosesor data pribadi wajib menjaga kerahasiaan data pribadi;[28]
Prosesor data pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan data pribadi di bawah kendali pengendali data pribadi;[29]
Prosesor data pribadi wajib melindungi data pribadi dari pemrosesan yang tidak sah;[30]
Prosesor data pribadi wajib mencegah data pribadi diakses secara tidak sah;[31]
Prosesor data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya, dengan melakukan:[32]
penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.
Sanksi Jika Kewajiban Dilanggar Menurut UU PDP
Menjawab pertanyaan Anda mengenai sanksi, sanksi yang dimaksud berupa sanksi administratif yang diberikan kepada pengendali data pribadi maupun prosesor data pribadi apabila melanggar beberapa kewajiban dalam pemrosesan data pribadi.[33]
Sanksi administratif yang dimaksud dapat berupa:[34]
peringatan tertulis;
penghentian sementara kegiatan pemrosesan data pribadi;
penghapusan atau pemusnahan data pribadi; dan/atau
denda administratif
Sanksi administratif berupa denda administratif diberikan oleh lembaga, paling tinggi 2% dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran.[35]