Dasar Hukum Pemrosesan Data Pribadi
Pengendali Data Pribadi dilarang memproses data pribadi tanpa dasar hukum yang jelas dan sah sebelum pemrosesan dimulai. Pasal 20 UU PDP mengamanatkan bahwa setiap pemrosesan harus didukung oleh minimal satu dari delapan dasar hukum yang diakui: persetujuan Subjek Data, pemenuhi kontrak, kewajiban hukum, pelindungan kepentingan vital, pelaksanaan tugas publik, kepentingan legitimate Pengendali atau pihak ketiga, atau khusus untuk Organisasi Keagamaan. Penetapan dasar hukum harus dilakukan secara cermat dengan mendokumentasikan analisis legal untuk setiap jenis pemrosesan. Gagal menentukan dasar hukum yang layak dapat mengakibatkan pelanggaran serius dan tuntutan dari LPDP dengan potensi denda administratif.
Tujuh Prinsip Pemrosesan Data Pribadi
UU PDP menetapkan tujuh prinsip fundamental yang harus dipenuhi dalam setiap kegiatan pemrosesan: (1) Lawfulness, Fairness, dan Transparency — pemrosesan harus sah, adil, dan transparan kepada Subjek Data; (2) Purpose Limitation — data hanya dapat diproses sesuai tujuan yang telah dinyatakan sebelumnya, tidak boleh diubah tanpa persetujuan; (3) Data Minimization — hanya data yang relevan, terbatas, dan perlu yang dikumpulkan; (4) Accuracy — data harus akurat dan mutakhir dengan mekanisme perbaikan data yang tersedia; (5) Storage Limitation — data hanya disimpan selama diperlukan untuk tujuan tersebut; (6) Integrity dan Confidentiality — data dilindungi dengan keamanan teknis dan organisasional yang memadai; (7) Accountability — Pengendali harus mampu menunjukkan kepatuhan terhadap keenam prinsip lainnya. Setiap prinsip memiliki implikasi praktis yang mendalam untuk desain sistem, kebijakan, dan operasi sehari-hari.
| KONSEP KUNCI | Basis pemrosesan yang valid harus ditetapkan sebelum data dikumpulkan. Persetujuan adalah hanya satu dari delapan dasar hukum yang mungkin; banyak organisasi dapat berjalan dengan dasar hukum lain yang lebih kuat seperti kepentingan legitimate atau kewajiban hukum. |
Kewajiban Transparansi dan Informasi
Pengendali wajib memberikan informasi lengkap kepada Subjek Data terkait pemrosesan data pribadi mereka pada saat pengumpulan data atau tanpa penundaan yang tidak perlu. Privacy Notice atau Kebijakan Privasi harus mencakup identitas Pengendali, tujuan pemrosesan, dasar hukum, kategori penerima data, periode retensi, hak-hak Subjek Data yang dapat digunakan, dan mekanisme pengajuan keluhan kepada LPDP. Informasi ini harus disajikan dalam bahasa yang jelas, mudah dipahami, dan dapat diakses oleh semua Subjek Data, termasuk mereka yang memiliki disabilitas. Kegagalan menyediakan informasi transparansi yang memadai merupakan pelanggaran prinsip dasar dan dapat mengakibatkan tuntutan pribadi dari Subjek Data.
Perlindungan Teknis dan Organisasional
Pasal 35 UU PDP mengharuskan Pengendali menerapkan perlindungan teknis dan organisasional yang sesuai dengan tingkat risiko pemrosesan. Perlindungan teknis meliputi enkripsi data, kontrol akses berbasis role, pemantauan dan logging aktivitas, proteksi malware, pembaruan keamanan, dan backup berkala. Perlindungan organisasional mencakup kebijakan keamanan data tertulis, pelatihan karyawan, prosedur incident response, perjanjian kerahasiaan dengan vendor, dan audit keamanan berkala. Untuk pemrosesan berisiko tinggi yang melibatkan data sensitif atau pemantauan sistematis, Pengendali harus melakukan Penilaian Dampak Pelindungan Data (PDPD) untuk mengidentifikasi risiko dan menentukan langkah mitigasi yang proporsional.
| PENTING | Keamanan bukan hanya tanggung jawab departemen IT. Perlindungan organisasional memerlukan keterlibatan seluruh organisasi melalui kebijakan, pelatihan, dan budaya yang mengutamakan privasi data. |
Pencatatan Kegiatan Pemrosesan (RoPA)
Pengendali wajib mempertahankan Record of Processing Activities (RoPA) yang terdokumentasi dengan baik untuk setiap kegiatan pemrosesan. RoPA harus mencakup nama dan deskripsi kegiatan, tujuan pemrosesan, dasar hukum, kategori data pribadi, kategori Subjek Data, penerima internal dan eksternal, jika ada transfer lintas batas beserta safeguard yang diterapkan, periode retensi data, dan ringkasan langkah keamanan teknis dan organisasional. RoPA berfungsi sebagai tulang punggung akuntabilitas Pengendali dan harus diperbarui secara berkala ketika ada perubahan pemrosesan. LPDP dapat meminta RoPA sebagai bagian dari pemeriksaan kepatuhan, dan Pengendali yang tidak dapat memproduksi RoPA yang lengkap akan menghadapi kesulitan dalam membuktikan kepatuhan mereka.
Perubahan Tujuan Pemrosesan dan Larangan Reuse Tanpa Otorisasi
Data yang dikumpulkan untuk tujuan tertentu tidak boleh diproses untuk tujuan lain tanpa persetujuan Subjek Data atau dasar hukum baru yang berlaku. Jika Pengendali bermaksud menggunakan data untuk tujuan sekunder (misalnya, data yang dikumpulkan untuk tujuan kontrak ingin digunakan untuk pemasaran), Pengendali harus melakukan kompatibilitas assessment untuk menentukan apakah tujuan baru kompatibel dengan tujuan asli dan memberikan Privacy Notice baru kepada Subjek Data. Perubahan tujuan yang signifikan tanpa otorisasi yang tepat merupakan pelanggaran Pasal 20 dan dapat mengakibatkan pemeriksaan LPDP, denda, dan klaim perdata dari Subjek Data.
| Kewajiban Utama | Pemicu/Kondisi | Konsekuensi Pelanggaran |
|---|---|---|
| Basis Hukum | Sebelum pemrosesan dimulai | Pemrosesan ilegal, denda LPDP, klaim perdata |
| Prinsip Tujuh Dasar | Berkelanjutan selama pemrosesan | Pelanggaran akuntabilitas, pemeriksaan LPDP |
| Privacy Notice | Saat pengumpulan atau tanpa penundaan tidak perlu | Denda administratif, tuntutan Subjek Data |
| Perlindungan Teknis/Organisasional | Proporsional dengan risiko | Pelanggaran keamanan, respons insiden bermasalah |
| RoPA | Untuk setiap kegiatan pemrosesan | Gagal membuktikan akuntabilitas saat audit |
| Otorisasi Tujuan Sekunder | Sebelum perubahan tujuan | Pemrosesan ilegal, denda LPDP |
Kewajiban Khusus pada Saat Insiden Data
Ketika terjadi Pelanggaran Data Pribadi (data breach), Pengendali memiliki kewajiban segera untuk: (1) melakukan investigasi untuk menentukan sifat, scope, dan dampak pelanggaran; (2) memberitahu Prosesor (jika ada) dalam waktu yang wajar agar Prosesor dapat memenuhi kewajiban mereka; (3) memberitahu LPDP dalam waktu 14 hari kalender sejak mengetahui pelanggaran dengan informasi detail tentang sifat pelanggaran, data yang terpengaruh, estimasi Subjek Data yang terdampak, dan langkah mitigasi yang diambil; (4) memberitahu Subjek Data yang terdampak tanpa penundaan tidak perlu jika pelanggaran menimbulkan risiko tinggi terhadap hak dan kebebasan mereka. Pengendali juga harus menyimpan dokumentasi lengkap tentang setiap insiden untuk tujuan akuntabilitas dan audit LPDP.
| Tahap Kewajiban | Pemangku Kepentingan | Kerangka Waktu | Konten Minimal |
|---|---|---|---|
| Investigasi Internal | Tim keamanan internal | Segera setelah penemuan | Sifat, scope, dampak, kategori data |
| Notifikasi Prosesor | Prosesor (jika ada) | Dalam waktu yang wajar | Detail pelanggaran, data terpengaruh |
| Notifikasi LPDP | Lembaga Perlindungan Data | 14 hari dari penemuan | Sifat, jumlah Subjek Data, langkah mitigasi |
| Notifikasi Subjek Data | Individu yang terdampak | Tanpa penundaan jika risiko tinggi | Sifat pelanggaran, langkah yang diambil, kontak support |
| Dokumentasi & Arsip | Fungsi kepatuhan/legal | Berkelanjutan | Log insiden, komunikasi, analisis risiko |