Elemen Wajib dalam Perjanjian Pemrosesan Data (DPA)
Pasal 53 UU PDP mengamanatkan bahwa setiap hubungan Pengendali-Prosesor harus didokumentasikan dalam perjanjian tertulis yang jelas dan mengikat, dikenal sebagai Data Processing Agreement (DPA) atau Perjanjian Pemrosesan Data (PPD). Perjanjian ini bukan hanya formalitas administrasi; ini adalah instrumen hukum yang mendefinisikan batas-batas pemrosesan dan melindungi kedua belah pihak. Elemen-elemen wajib yang harus ada dalam DPA mencakup: (1) subjek pemrosesan (deskripsi kegiatan pemrosesan); (2) tujuan pemrosesan yang jelas; (3) jenis dan kategori data pribadi yang diproses; (4) kategori Subjek Data yang terpengaruh; (5) durasi/periode kerjasama; (6) tanggung jawab dan hak Pengendali; (7) tanggung jawab dan kewajiban Prosesor. Ketiadaan DPA atau DPA yang tidak lengkap dapat dianggap oleh LPDP sebagai bukti kelalaian dalam pengelolaan hubungan Prosesor dan dapat menyebabkan pemeriksaan dan penalti administratif.
Klausul Keamanan Minimum dan Standar Teknis
DPA harus mencakup klausul keamanan yang komprehensif yang menetapkan standar teknis dan organisasional minimum yang harus diterapkan oleh Prosesor. Klausul keamanan ini harus merujuk pada atau merangkum Pasal 35 UU PDP dan melampaui peraturan perundangan dengan standar praktik industri terbaik. Minimal, klausul keamanan harus mencakup: enkripsi data dalam transit (TLS/HTTPS) dan saat istirahat (AES-256 atau setara); kontrol akses berbasis peran dengan daftar hitam/putih yang dimaintain secara aktif; audit trail yang mendetail untuk semua akses dan modifikasi data; segregasi lingkungan pengujian dari produksi; protokol backup dan disaster recovery dengan RTO/RPO yang ditentukan; penilaian kerentanan berkala dan penetration testing; program pelatihan keamanan untuk staf; dan incident response plan yang tertulis. Jika Prosesor menggunakan pihak ketiga (Sub-Prosesor seperti cloud provider), DPA harus memerlukan Prosesor untuk memastikan Sub-Prosesor menerapkan standar keamanan yang identik.
| KONSEP KUNCI | DPA bukan dokumen one-size-fits-all. Klausul keamanan harus disesuaikan dengan profil risiko pemrosesan — pemrosesan data sensitif (medis, finansial) memerlukan standar keamanan yang lebih ketat daripada pemrosesan data nontransaksi umum. |
Ketentuan Sub-Pemrosesan dan Flow-Down Requirements
DPA harus secara eksplisit mengatur bagaimana dan kapan Prosesor dapat melibatkan Sub-Prosesor (penyedia layanan pihak ketiga). Pendekatan yang direkomendasikan adalah memberikan Prosesor wewenang untuk menggunakan daftar Sub-Prosesor yang disepakati sebelumnya, dengan ketentuan bahwa Prosesor dapat menambahkan Sub-Prosesor baru hanya dengan persetujuan tertulis sebelumnya dari Pengendali atau pemberitahuan sebelumnya dengan mekanisme opt-out. DPA harus mewajibkan Prosesor untuk memberikan Pengendali daftar lengkap Sub-Prosesor saat ini dan memperbarui daftar ini setiap kali perubahan. Paling penting, DPA harus memastikan "flow-down" — bahwa Prosesor melalui perjanjian tertulis dengan Sub-Prosesor mengalihkan semua kewajiban keamanan, kerahasiaan, dan perlindungan data yang sama dari DPA kepada Sub-Prosesor. Sub-Prosesor harus memiliki kewajiban yang identik dengan Prosesor utama. Pengendali tetap memiliki akuntabilitas akhir kepada LPDP, tetapi Prosesor utama adalah perantara yang bertanggung jawab memastikan Sub-Prosesor mematuhi standar.
Hak Audit dan Inspeksi Pengendali
DPA harus secara tegas memberi Pengendali hak untuk melakukan audit, inspeksi, dan penilaian kepatuhan terhadap Prosesor kapan saja atau secara berkala (biasanya tahunan). Hak audit ini sangat penting untuk akuntabilitas Pengendali kepada LPDP. Klausul audit harus mencakup: (1) hak Pengendali atau auditor pihak ketiga yang ditunjuk untuk mengakses fasilitas, sistem, dan dokumentasi Prosesor yang relevan dengan pemrosesan data; (2) kerangka waktu untuk respons (Prosesor harus memberikan akses dalam waktu 10-15 hari kerja); (3) ruang lingkup audit (sistem keamanan teknis, kontrol akses, logging, kepatuhan peraturan, kualitas data); (4) hak untuk melakukan audit kejutan atau investigasi khusus jika ada indikasi pelanggaran; (5) kewajiban Prosesor untuk memproduksi laporan kepatuhan pihak ketiga (seperti SOC 2 Type II, ISO 27001, atau sertifikasi cloud provider) kepada Pengendali setiap tahun. Banyak DPA modern juga memungkinkan Pengendali untuk bergabung dalam audits pihak ketiga yang dilakukan oleh cloud provider atau firma audit, menghemat biaya audit duplikat sambil tetap memastikan visibilitas.
| PENTING | Audit DPA bukan sekadar kertas kerja. Pengendali harus benar-benar melakukan atau menyelenggarakan audit berkala dan mendokumentasikan hasil untuk menunjukkan akuntabilitas kepada LPDP. Pengendali yang tidak pernah mengaudit Prosesor mereka menghadapi risiko tinggi jika Prosesor mengalami breach atau pelanggaran kepatuhan. |
Notifikasi Insiden dan Timelines yang Ketat
DPA harus menetapkan kewajiban Prosesor untuk memberitahu Pengendali tentang setiap pelanggaran data pribadi atau insiden keamanan yang signifikan dalam kerangka waktu yang sangat ketat. Standar praktik terbaik merekomendasikan notifikasi dalam waktu 24-48 jam dari penemuan insiden, bukan nanti-nanti. Ini memungkinkan Pengendali memiliki cukup waktu untuk melakukan investigasi mereka sendiri dan memenuhi kewajiban mereka untuk memberitahu LPDP dalam periode 14 hari yang ditetapkan oleh Pasal 27 UU PDP. Notifikasi Prosesor harus mencakup: deskripsi detail insiden, kapan insiden terdeteksi, data apa yang terpengaruh, berapa banyak individu yang kemungkinan terdampak, langkah-langkah mitigasi yang diambil, dan perkiraan pengaruh pada keamanan dan privasi. Prosesor juga harus berkomitmen untuk memberikan bantuan penuh kepada Pengendali dalam investigasi dan respons insiden, termasuk menyediakan log, backups forensik, dan analisis akar penyebab. DPA harus menetapkan bahwa Prosesor bertanggung jawab untuk semua biaya investigasi dan remediasi yang disebabkan oleh insiden yang diakibatkan oleh kegagalan keamanan Prosesor.
Pengembalian atau Pemusnahan Data Saat Kontrak Berakhir
DPA harus mencakup klausul yang mengatur nasib data pribadi setelah kontrak berakhir. Pasal yang umum mengharuskan Prosesor, atas instruksi Pengendali, untuk: (1) mengembalikan semua data pribadi (dalam format yang ditentukan Pengendali) dalam waktu 30 hari setelah akhir kontrak; atau (2) menghapus semua data pribadi secara aman dan menunjukkan bahwa penghapusan telah selesai melalui sertifikat penghapusan. Dalam praktik, banyak Pengendali lebih memilih untuk mempertahankan copy data mereka sendiri dan menginstruksikan Prosesor untuk menghapus semua copy, backup, dan data residual. DPA harus mengecualikan hanya data yang retention wajib ditentukan oleh undang-undang pajak, audit, atau kriminal lainnya, tetapi bahkan dalam hal tersebut, data tersebut harus tetap disimpan dengan keamanan yang sama dan tidak digunakan untuk tujuan lain. Klausul penghapusan data adalah komponen kritis dari prinsip Storage Limitation dalam UU PDP dan memastikan bahwa data Subjek Data tidak tersimpan secara tidak terbatas oleh Prosesor setelah kontrak berakhir.
| Klausul Wajib DPA | Konten Minimal | Ketentuan Waktu | Bukti Kepatuhan |
|---|---|---|---|
| Subjek dan Tujuan Pemrosesan | Deskripsi kegiatan, jenis data, kategori Subjek Data | Saat penandatanganan DPA | DPA Lampiran A (Processing Schedule) |
| Keamanan Teknis/Organisasional | Enkripsi, kontrol akses, audit trail, backup, pelatihan | Berkelanjutan; diaudit tahunan | Sertifikasi ISO 27001, SOC 2, atau laporan audit custom |
| Sub-Prosesor dan Flow-Down | Daftar Sub-Prosesor, flow-down perjanjian, hak untuk mengubah | Saat penandatanganan; diperbarui berkala | Register Sub-Prosesor terbaru, Sub-DPA tanda tangan |
| Hak Audit Pengendali | Akses ke fasilitas, sistem, dokumentasi; SLA respons 10-15 hari | Tahunan minimal; dapat lebih sering jika diperlukan | Laporan audit tahunan, SOC 2/ISO 27001 review |
| Notifikasi Insiden Keamanan | Detail insiden dalam 24-48 jam; investigasi forensik; biaya remediasi | Dalam 24-48 jam dari penemuan | Log incident, incident report, root cause analysis, remediation plan |
| Pengembalian/Penghapusan Data | Opsi return dalam 30 hari atau penghapusan aman dengan sertifikat | Dalam 30 hari dari akhir kontrak | Certificate of Deletion, written confirmation, atau backup retention logs |
Praktik Terbaik dalam Negosiasi dan Manajemen DPA
Ketika Pengendali bernegosiasi DPA dengan Prosesor, terutama vendor besar seperti cloud provider, Pengendali sering menghadapi "DPA vendor-standard" yang sudah pra-ditulis. Praktik terbaik adalah: (1) membandingkan DPA vendor-standard dengan kebutuhan spesifik organisasi dan UU PDP untuk mengidentifikasi gap; (2) merekomendasikan amandemen tertulis untuk menutup gap kritis, terutama di sekitar keamanan, audit, dan Sub-Prosesor; (3) jika vendor menolak amandemen, mendokumentasikan penolakan tersebut dan menilai risiko penerimaan DPA yang tidak lengkap; (4) mengintegrasikan DPA dengan Master Service Agreement (MSA) lainnya untuk menghindari konflik atau ketidakjelasan; (5) melakukan review DPA setidaknya tahunan atau ketika perubahan signifikan terjadi dalam pemrosesan. Banyak organisasi mempertahankan template DPA internal (dalam bahasa Indonesia) yang dapat disesuaikan dengan vendor, memastikan konsistensi di seluruh hubungan vendor dan mempercepat proses negosiasi.
| Fase Manajemen DPA | Aktivitas Utama | Pemangku Kepentingan | Frekuensi/Timeline |
|---|---|---|---|
| Due Diligence Pra-Kontrak | Kaji vendor-standard DPA, bandingkan template internal, identifikasi gap | Tim legal, privasi, keamanan | Sebelum kontrak ditandatangani |
| Negosiasi & Amandemen | Tawar klausul kritis (keamanan, audit, Sub-Prosesor), dokumen penolakan vendor | Tim legal, vendor legal | Selama fase pre-contract (2-4 minggu) |
| Eksekusi & Dokumentasi | Tanda tangan dua belah pihak, arsipkan DPA asli, dokumentasikan amandemen | Admin legal, tim procurement | Saat aktivasi kontrak |
| Manajemen Berkelanjutan | Maintain register vendor DPA, audit Sub-Prosesor, track amandemen | Tim privasi, kepatuhan | Tahunan atau saat ada perubahan |
| Audit & Review Berkala | Lakukan atau bergabung audit keamanan, validasi kepatuhan terhadap SLA | Tim keamanan internal atau auditor eksternal | Minimal tahunan |
| Akhir Kontrak/Transisi | Instruksikan penghapusan atau return data, verifikasi selesai, tutup vendor | Tim operasi, compliance, legal | Pada akhir kontrak atau perpanjangan |