Menelaah Praktik Pemrosesan Data Pribadi di Indonesia

UU Nomor Tahun 2022. 27 Perlindungan Data Pribadi (“UU PDP”) menandai momen penting komitmen Indonesia terhadap transparansi dan akuntabilitas dalam penanganan data pribadi oleh perusahaan atau institusi. Disahkan untuk melindungi hak-hak individu, khususnya terkait aktivitas pemrosesan data pribadi, UU PDP memasukkan prinsip-prinsip pengelolaan data yang bertanggung jawab.

Berdasarkan UU PDP, aktivitas pemrosesan data pribadi harus mematuhi standar yang ketat untuk memastikan bahwa aktivitas tersebut dilakukan dengan cara yang spesifik, sah secara hukum, dan transparan. Undang-undang tersebut disahkan sebagai tameng untuk melindungi privasi dan hak individu di era digital.

Salah satu landasan transparansi dalam UU PDP adalah persyaratan bahwa pengontrol data pribadi menyimpan catatan rinci tentang aktivitas pemrosesan (“ROPA“). Kewajiban ini didasarkan pada Peraturan Perlindungan Data Umum Uni Eropa tahun 2018 (“GDPR”), menggarisbawahi pentingnya mendokumentasikan setiap langkah perjalanan pemrosesan data pribadi.

Memahami ROPA

Inti dari ROPA mencerminkan mitranya berdasarkan GDPR, yang berfungsi sebagai alat penting untuk menunjukkan kepatuhan terhadap undang-undang privasi yang berlaku. Pada dasarnya, ROPA bertindak sebagai catatan komprehensif atau jejak audit yang memberikan pandangan transparan kepada pihak berwenang tentang cara organisasi memproses data pribadi. Jika terjadi ketidakpatuhan, konsekuensinya bisa sangat parah karena otoritas pengawas mempunyai wewenang untuk mengenakan denda yang besar. Berdasarkan GDPR, denda ini bisa mencapai €20 juta, atau sekitar US$20,3 juta, hal ini menunjukkan pentingnya menjaga dokumentasi ROPA yang akurat dan terkini.

Mirip dengan penerapannya berdasarkan GDPR, ROPA berdasarkan UU PDP berfungsi sebagai inventaris dan pemetaan aliran data yang berasal dari pemrosesan data pribadi. Hal ini berfungsi sebagai ukuran akuntabilitas dasar bagi perusahaan, dan meletakkan dasar bagi kepatuhan terhadap peraturan perlindungan data di Indonesia. Ketidakpatuhan terhadap kewajiban berdasarkan UU PDP ini dapat mengakibatkan berbagai sanksi administratif, termasuk denda administratif paling banyak dua persen dari pendapatan tahunan perusahaan.

Namun, berbeda dengan ketentuan GDPR yang menyatakan kewajiban ROPA hanya berlaku bagi perusahaan atau organisasi dengan lebih dari 250 karyawan (atau tunduk pada ketentuan tertentu), Undang-Undang PDP mewajibkan semua pengontrol dan pemroses data pribadi untuk menjunjung kewajiban ini. Penerapan yang luas ini menegaskan komitmen pemerintah Indonesia untuk menumbuhkan budaya transparansi dan akuntabilitas dalam aktivitas pemrosesan data pribadi di seluruh organisasi atau institusi, baik skala maupun skala.

Komponen ROPA

Meski UU PDP tidak merinci unsur wajib ROPA yang harus dilakukan oleh pengelola data pribadi, namun pemerintah Indonesia akan menguraikan lebih lanjut kewajiban tersebut dalam peraturan pemerintahnya. Berdasarkan rancangan peraturan pemerintah terbaru untuk melaksanakan UU PDP, pemerintah Indonesia mendefinisikan elemen wajib ROPA yang dilakukan oleh pengontrol data pribadi dan yang dilakukan oleh pengolah data pribadi.

Menurut rancangan undang-undang terbaru, ROPA yang dilakukan oleh pengontrol data pribadi akan mencakup, namun tidak terbatas pada:

1. nama dan rincian kontak pengontrol data pribadi, pengontrol data pribadi bersama, dan/atau pemroses data pribadi;
2. Kontak Petugas Perlindungan Data Pribadi;
3. Sumber pengumpulan dan tujuan transmisi data pribadi;
4. Dasar pemrosesan data pribadi;
5. Tujuan pemrosesan data pribadi;
6. Jenis data pribadi;
7. Jenis Subjek Data Pribadi;
8. pihak selain Pengendali Data Pribadi yang mempunyai akses terhadap Data Pribadi;
9. Melaksanakan hak subjek data pribadi;
10. memetakan aliran data pribadi;
11. jangka waktu penyimpanan; Dan
12. Langkah teknis dan organisasi untuk melindungi data pribadi.

Selain itu, pemroses data pribadi yang ditunjuk oleh pengontrol data pribadi harus melakukan ROPA, termasuk namun tidak terbatas pada:

1. nama dan kontak pengolah data pribadi;
2. Tujuan kegiatan pemrosesan data pribadi;
3. Rincian transfer data pribadi; Dan
4. Gambaran umum tentang langkah-langkah organisasi dan teknis untuk melindungi data pribadi.

Perlu dicatat bahwa unsur-unsur wajib ROPA didasarkan pada rancangan Peraturan Pemerintah terbaru, yang belum diundangkan sehingga tidak dapat dilaksanakan. Namun mengingat kewajiban pemeliharaan ROPA sudah dituangkan dalam UU PDP, sebaiknya perusahaan berupaya sebaik mungkin menyusun ROPA berdasarkan rancangan undang-undang terbaru. Hal ini akan memungkinkan mereka menghindari pengenaan sanksi administratif karena tidak ada ROPA yang dilakukan oleh pengontrol data individu.

Dokumen ROPA

Keputusan ROPA harus didokumentasikan secara hati-hati dalam format elektronik atau hard copy dan diperbarui secara berkala untuk mencerminkan setiap perubahan pada elemen wajib yang digariskan oleh pemerintah. Pengontrol data individu diberi mandat untuk menyimpan catatan keputusan ROPA, dengan mematuhi peraturan perundang-undangan secara ketat. Atas permintaan Lembaga PDP, pengelola data pribadi wajib memberikan dokumen yang timbul dari keputusan ROPA. Selain itu, jika Pengontrol Data Pribadi menunjuk Pemroses Data Pribadi untuk aktivitas Pemrosesan Data Pribadi, Pemroses Data Pribadi harus memberikan informasi dan dokumen relevan kepada Pengontrol Data Pribadi yang diperlukan untuk tujuan audit dan pengawasan.

Selain itu, subjek data individu mempunyai hak untuk mengakses dan menerima salinan datanya, beserta catatan rinci tentang aktivitas pemrosesan yang melibatkan datanya, sesuai dengan ketentuan hukum. Dalam hal ini, perusahaan harus siap memberikan akses yang diperlukan terhadap data pribadi yang diproses dan catatan kegiatan pemrosesannya dalam waktu 3 x 24 jam sejak tanggal permintaan subjek data pribadi. Penyediaan informasi yang tepat waktu ini diperlukan untuk menegakkan hak-hak individu dan memastikan transparansi dalam praktik pemrosesan data pribadi.

Bagaimana Perusahaan Melakukan ROPA

Pemerintah Indonesia tidak memberikan pedoman khusus atau proses langkah demi langkah bagi perusahaan untuk melakukan ROPA. Selain itu, tidak ada templat yang ditentukan untuk diikuti oleh masing-masing pengontrol data dalam menjalankan ROPA mereka. Hasilnya, perusahaan memiliki fleksibilitas untuk mengadopsi metode apa pun yang mereka anggap cocok dan menyelaraskan metode mereka dengan praktik terbaik global yang diuraikan dalam GDPR, yang biasanya mencakup langkah-langkah berikut:

1. Identifikasi kegiatan pengolahan data: Awalnya, organisasi harus mengidentifikasi semua aktivitas pemrosesan data yang terjadi dalam organisasi. Ia harus memahami jenis data pribadi yang dikumpulkan, tujuan pengumpulan, pihak-pihak yang terlibat, dan metode pemrosesan.
2. Dokumentasi aliran data: Kemudian, setelah aktivitas pemrosesan data teridentifikasi, organisasi harus mendokumentasikan aliran data pribadi di seluruh organisasi. Hal ini mencakup tempat pengumpulan, lokasi penyimpanan, mekanisme transfer dan metode pemrosesan serta keterlibatan pihak ketiga. Selain itu, perusahaan harus menyusun unsur wajib ROPA untuk mematuhi UU PDP. Menggunakan template ROPA atau perangkat lunak khusus dapat membantu mengatur informasi ini secara efektif.
3. Pemeliharaan dan pembaharuan: Organisasi diharuskan memelihara dan memperbarui dokumen ROPA secara berkala untuk mencerminkan perubahan dalam aktivitas pemrosesan data dan kewajiban peraturan. Hal ini memastikan bahwa ROPA akurat dan terkini dari waktu ke waktu.
4. Penyimpanan dan akses: Dokumen ROPA, baik dalam bentuk elektronik maupun fisik, harus disimpan dengan aman untuk mencegah akses atau gangguan yang tidak sah. Selain itu, data tersebut harus mudah diakses oleh pemangku kepentingan terkait seperti petugas perlindungan data dan otoritas pengatur seperti perusahaan PDP. Dalam kasus di mana organisasi melibatkan pemroses data pribadi pihak ketiga, kolaborasi yang erat sangat penting untuk memastikan bahwa dokumentasi ROPA secara akurat mencerminkan aktivitas yang dilakukan oleh pemroses data pribadi. Hal ini dapat mencakup pertukaran informasi dan dokumen untuk tujuan audit dan pengawasan.

Tidak adanya pedoman ROPA yang spesifik membantu organisasi mempertahankan pendekatan mereka terhadap manajemen risiko dan implementasi proyek sambil tetap mematuhi elemen wajib ROPA berdasarkan UU PDP. Perusahaan dapat memilih untuk melakukan ROPA secara manual menggunakan alat seperti Excel atau templat yang tersedia di internet, dengan melakukan perubahan yang diperlukan untuk mematuhi UU PDP. Alternatifnya, mereka dapat memilih alat yang disediakan oleh penyedia layanan pihak ketiga yang berspesialisasi dalam perlindungan data pribadi dan mematuhi UU PDP serta peraturan terkait lainnya di Indonesia. Alat-alat ini akan memfasilitasi implementasi ROPA yang efektif dan efisien, memastikan kepatuhan terhadap UU PDP.