Pemrosesan Sesuai Instruksi Tertulis Pengendali
Prosesor adalah organisasi yang memproses data pribadi atas nama dan instruksi Pengendali Data Pribadi. Definisi fundamental ini berarti bahwa Prosesor tidak dapat membuat keputusan independen tentang pemrosesan; mereka harus bertindak semata-mata berdasarkan instruksi tertulis dari Pengendali. Pasal 54 UU PDP menetapkan bahwa instruksi ini harus dokumentasikan dengan jelas (dalam bentuk kontrak, DPA, atau dokumen resmi lainnya) mencakup subjek pemrosesan, jenis data, kategori Subjek Data, tujuan, dan durasi pemrosesan. Jika Prosesor menerima instruksi lisan atau tidak jelas, mereka berkewajiban untuk meminta klarifikasi tertulis sebelum melaksanakan pemrosesan. Prosesor yang melaksanakan pemrosesan di luar instruksi atau mengambil keputusan independen berubah status mereka dan dapat dikategorikan sebagai Pengendali Co-Bersama, dengan tanggung jawab hukum yang jauh lebih berat.
Larangan Sub-Pemrosesan Tanpa Otorisasi
Salah satu aspek paling penting dari kewajiban Prosesor adalah bahwa mereka tidak boleh melibatkan Sub-Prosesor (third-party processor) untuk membantu pemrosesan data tanpa otorisasi tertulis sebelumnya dari Pengendali. Setiap Sub-Prosesor harus disetujui secara eksplisit oleh Pengendali melalui mekanisme opt-in atau daftar penyedia yang ditunjuk. Ketika Sub-Prosesor ditugaskan, Prosesor tetap bertanggung jawab penuh kepada Pengendali dan harus memastikan bahwa Sub-Prosesor menerapkan standar keamanan yang sama dengan Prosesor utama. Perjanjian antara Prosesor dan Sub-Prosesor (disebut Data Processing Agreement Tingkat Kedua atau Sub-DPA) harus mencakup kewajiban keamanan yang identik dengan DPA antara Pengendali dan Prosesor. Pelanggaran aturan sub-pemrosesan, seperti melibatkan vendor baru tanpa persetujuan, merupakan pelanggaran kontraktual yang serius dan dapat membuat Pengendali dan Prosesor sama-sama bertanggung jawab kepada LPDP.
| KONSEP KUNCI | Prosesor harus dipandang sebagai "extension of controller" dari sudut pandang hukum. Mereka tidak memiliki discretion independen; mereka melaksanakan instruksi Pengendali dengan ketat dan membantu Pengendali memenuhi kewajiban hukum mereka kepada Subjek Data. |
Kewajiban Keamanan Teknis dan Organisasional Prosesor
Prosesor memiliki kewajiban keamanan yang mandiri dan terpisah dari instruksi Pengendali. Bahkan jika Pengendali tidak secara eksplisit memerintahkan langkah keamanan tertentu, Prosesor harus menerapkan perlindungan teknis dan organisasional yang sesuai dengan tingkat risiko pemrosesan data. Kewajiban ini mencakup enkripsi data dalam transit dan saat istirahat, kontrol akses berbasis role dengan prinsip least privilege, audit trail dan monitoring aktivitas akses data, isolasi lingkungan test dari lingkungan produksi, prosedur backup dan disaster recovery, dan program pelatihan keamanan untuk staf yang menangani data. Jika Prosesor menggunakan infrastruktur cloud atau fasilitas hosting bersama, mereka harus memastikan segregasi data yang ketat dan bahwa cloud provider atau host mereka sendiri memenuhi standar keamanan yang memadai melalui audit keamanan pihak ketiga (sertifikasi ISO 27001, SOC 2, atau setara).
Kewajiban Membantu Pengendali dalam Pemenuhan Hak Subjek Data
Prosesor wajib memberikan bantuan kepada Pengendali dalam memenuhi hak-hak Subjek Data, termasuk hak akses, hak perbaikan data, hak penghapusan, hak pembatasan pemrosesan, dan hak portabilitas data. Ketika Subjek Data mengajukan permintaan akses data pribadi mereka kepada Pengendali, Pengendali mengandalkan Prosesor untuk mengekstrak dan menyajikan data dengan akurat dan tepat waktu. Prosesor harus memiliki proses yang efisien untuk merespons permintaan tersebut, biasanya dalam kerangka waktu 5-10 hari kerja untuk memungkinkan Pengendali menyampaikan respons dalam batas 30 hari yang dipersyaratkan oleh UU PDP. Prosesor juga harus membantu dalam perbaikan data, penghapusan data yang tidak akurat, dan penyediaan data dalam format yang portabel (seperti CSV atau JSON terstruktur) untuk hak portabilitas. Kegagalan Prosesor memberikan bantuan yang cepat dan akurat dapat menyebabkan Pengendali melanggar batas waktu hukum dan menghadapi penalti LPDP.
| PENTING | Prosesor harus memiliki SLA tertulis (Service Level Agreement) yang menjanjikan waktu respons untuk permintaan data akses Subjek Data. Tidak memiliki SLA atau SLA yang terlalu longgar adalah indikasi risiko tinggi dalam hubungan Prosesor. |
Notifikasi Pelanggaran Data kepada Pengendali
Ketika Prosesor menjadi sadar terhadap Pelanggaran Data Pribadi (akses tidak sah, perubahan, atau penghancuran data), mereka harus memberitahu Pengendali tanpa penundaan tidak perlu dan paling lambat dalam waktu 24-48 jam setelah penemuan. Notifikasi ini memungkinkan Pengendali untuk melakukan investigasi mereka sendiri dan memenuhi kewajiban mereka untuk memberitahu LPDP dalam periode 14 hari. Pemberitahuan Prosesor harus mencakup detail tentang sifat pelanggaran, kapan pelanggaran terdeteksi, data apa yang terpengaruh, berapa banyak individu yang kemungkinan terdampak, dan langkah-langkah mitigasi apa yang telah diambil oleh Prosesor. Prosesor juga harus mendokumentasikan semua insiden keamanan secara internal dan membuat dokumentasi tersebut tersedia untuk audit Pengendali. Prosesor yang mengaburkan atau menunda pelaporan insiden kepada Pengendali dapat mengakibatkan tanggung jawab bersama dan penalti administratif.
Responsabilitas Independen Prosesor dalam Kondisi Tertentu
Meskipun Prosesor umumnya bertindak atas instruksi Pengendali, ada skenario di mana Prosesor dapat menjadi Pengendali Co-Bersama atau bahkan Pengendali independen: (1) jika Prosesor membuat keputusan independen tentang pemrosesan yang melampaui instruksi Pengendali; (2) jika Prosesor menetapkan tujuan pemrosesan mereka sendiri yang berbeda dari tujuan Pengendali; (3) jika Prosesor menggunakan data pribadi untuk kepentingan mereka sendiri tanpa otorisasi Pengendali. Dalam kasus-kasus ini, Prosesor menjadi Pengendali Co-Bersama dan harus memenuhi semua kewajiban Pengendali, termasuk memiliki dasar hukum, memberikan Privacy Notice, melakukan PDPD jika diperlukan, dan dapat dituntut secara mandiri oleh LPDP. Contoh praktis: jika Prosesor email marketing menggunakan data klien untuk mengirim email marketing mereka sendiri tanpa otorisasi, Prosesor tersebut berstatus Pengendali Co-Bersama atau independen untuk pemrosesan pihak ketiga itu.
| Kewajiban Prosesor | Pemicu/Situasi | Pemenuhan |
|---|---|---|
| Mengikuti instruksi Pengendali | Setiap pemrosesan | Langsung — Prosesor melaksanakan instruksi tertulis |
| Larangan Sub-Prosesor tanpa otorisasi | Sebelum melibatkan pihak ketiga | Langsung — Prosesor meminta otorisasi sebelumnya |
| Keamanan teknis/organisasional independen | Untuk semua data yang diproses | Langsung — Prosesor menerapkan kontrol keamanan |
| Membantu pemenuhan hak Subjek Data | Saat menerima permintaan Pengendali | Tidak Langsung — Prosesor mendukung Pengendali |
| Notifikasi breach kepada Pengendali | Dalam 24-48 jam penemuan | Langsung — Prosesor memberitahu Pengendali cepat |
| Audit dan inspeksi Pengendali | Saat Pengendali meminta bukti kepatuhan | Langsung — Prosesor menyediakan akses audit |
Perbedaan Kritis: Prosesor vs. Pengendali Co-Bersama vs. Penerima Data Independen
Salah satu kesalahpahaman umum adalah kebingungan antara Prosesor dan Pengendali Co-Bersama. Prosesor bertindak semata-mata berdasarkan instruksi Pengendali dan tidak memiliki keputusan independen tentang tujuan pemrosesan. Pengendali Co-Bersama adalah dua atau lebih organisasi yang bersama-sama menentukan tujuan dan cara pemrosesan. Sebagai contoh, jika Bank A dan Lembaga Asuransi B bersama-sama memutuskan untuk berbagi data pelanggan dengan tujuan cross-selling, mereka adalah Pengendali Co-Bersama dan masing-masing memiliki kewajiban penuh kepada LPDP dan Subjek Data. Sebaliknya, jika Bank A menginstruksikan Penyedia Layanan Cloud C untuk menyimpan data pelanggan Bank A dengan tujuan operasi internal Bank A, Penyedia Cloud C adalah Prosesor semata-mata. Pengakuan status yang tepat sangat penting karena Pengendali Co-Bersama dan Pengendali independen memiliki liabilitas penuh, sementara Prosesor memiliki tanggung jawab terbatas yang terbatas pada instruksi Pengendali.
| Entitas | Tujuan/Cara | Kewajiban Utama | Liabilitas |
|---|---|---|---|
| Pengendali | Independen menentukan | Privasi Notice, PDPD, RoPA, keamanan, notifikasi | Penuh kepada LPDP dan Subjek |
| Prosesor | Ikuti instruksi Pengendali | Keamanan independen, membantu, notifikasi breach | Terbatas; bersama jika melanggar instruksi |
| Pengendali Co-Bersama | Bersama menentukan | Sama dengan Pengendali; koordinasi | Penuh kepada LPDP (solidary) |
| Penerima Independen | Tujuan mereka sendiri | Sama dengan Pengendali untuk data mereka | Penuh untuk penggunaan mereka |
| Sub-Prosesor | Ikuti Prosesor utama | Keamanan independen, sama dengan Prosesor | Bersama dengan Prosesor jika melanggar |