Bagian II - Panduan Singkat Untuk Memahami Data Pribadi - Pemrosesan Data Dan Kewajiban Terkait

10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.
com
Katalog Produk Berlangganan Pro
Cari peraturan, artike Pro Solusi Wawasan Hukum MUHAMMAD
Rabu, Oktober 5, 2022 | Issue Number : 789
Bagian II - Panduan Singkat untuk

Memahami Data Pribadi: Pemrosesan Data
dan Kewajiban Terkait
Pendahuluan
Melanjutkan bagian pertama dari seri empat bagian Indonesian Law Digest(“ILD”) yang membahas tentang
pelindungan data pribadi (“Data”) yang mencakup klasifikasi Data dan hak subyek Data (“Subyek”), bagian kedua ini
akan memberikan analisis mengenai berbagai hal yang berkaitan dengan pemrosesan Data (“Pemrosesan”), termasuk
para pihak yang terlibat, termasuk pengendali Data (“Pengendali”), prosesor Data (“Prosesor”), Subyek dan pejabat
atau petugas data pribadi (Data Protection Officers – “DPO”).
Edisi ILD kali ini merujuk pada Undang-Undang Pelindungan Data Pribadi (“UU PDP”), yang diterbitkan melalui situs
web resmi Dewan Perwakilan Rakyat pada tanggal 20 September 2022, serta General Data Protection Regulation
(“GDPR”) Uni Eropa, yang juga mencakup sejumlah wawasan yang diperoleh dari praktisi Data yang beroperasi di
Indonesia.
Sehubungan dengan analisis keseluruhan dari isu pelindungan Data ini, tim legal research and analysis Hukumonline
juga telah menyusul dua analisis lanjutan mengenai topik ini yang akan dirilis di dua minggu selanjutnya sebagai
bagian dari seri empat bagian ini. Kedua analisis tersebut akan fokus membahas:
1. Bagian III – Transfer Data: Panduan Praktis; dan

2. Bagian IV – Penyelesaian Sengketa dan Sanksi Pidana.
Untuk bagian kedua dari seri empat bagian ILD yang rilis minggu ini, kami membagi pembahasannya dengan
pembagian sebagai berikut:
I. Pemrosesan: Pengenalan Para Pihak yang Terlibat
A. Peran Pengendali, Prosesor, Subyek dan DPO

B. Pengendali Bersama
C. Penunjukan DPO
II. Kegiatan Pemrosesan
A. Konsep Umum Pemrosesan

B. Dasar Hukum Pemrosesan dan Pemberian Persetujuan
C. Kewajiban Pengendali dan Prosesor dan Konsekuensi Pelanggaran: Daftar Cek
III. Pemrosesan Perjanjian: Pencarian Praktik Terbaik
I. Pemrosesan: Pengenalan Para Pihak yang Terlibat

A. Peran Pengendali, Prosesor, Subyek dan DPO

Sebagai rangkuman topik Pengendali dan Prosesor yang sebelumnya ditampilkan dalam bagian pertama
edisi ILD ini, bagian ini memberikan penjelasan mengenai berbagai pihak yang terlibat dalam kegiatan
Pemrosesan, yaitu:[1]
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 1/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Dalam UU PDP, Pengendali, Prosesor dan DPO diberikan karakteristik dan peran tertentu berkaitan dengan
kegiatan Pemrosesan, sebagaimana dijelaskan dalam tabel di bawah ini:
Pihak Karakteristik Peran Pemrosesan
Pengendali wajib bertanggung jawab atas Pemrosesan dan

Pengendali Pihak-pihak berikut dapat menunjukkan pertanggungjawaban dalam pemenuhan
menjadi Pengendali atau kewajiban pelaksanaan prinsip pelindungan Data.[3]
Prosesor:[2]
1. Setiap orang; Prosesor wajib melakukan Pemrosesan berdasarkan perintah

2. Korporasi; dari Pengendali yang menunjuknya sebagai Prosesor. Maka
Prosesor 3. Badan publik; dan dari itu, Pengendali bertanggung jawab atas Pemrosesan
4. Organisasi internasional. kecuali jika Prosesor bertindak di luar perintah dan tujuan
Pemrosesan yang diberikan oleh Pengendali.[4]
Dapat berasal dari dalam

dan/atau luar Pengendali Melaksanakan fungsi pelindungan Data, sebagaimana yang
DPO
dan/atau Prosesor yang telah dijelaskan di sub-bab edisi ILD ini.[6]
bersangkutan.[5]
Walaupun tidak ada parameter dalam UU PDP yang dapat digunakan untuk membedakan entitas yang
dapat dikategorikan sebagai Pengendali atau Prosesor, terkecuali yang telah disebutkan di atas, Satriyo
Wibowo, salah satu pengurus International Association of Privacy Professionals chapter Indonesia,
menjelaskan bahwa ada beberapa indikator yang dapat membantu dalam menentukan status sebuah
entitas dalam kegiatan Pemrosesan. Indikator tersebut adalah:[7]
Pihak Indikator Penjelasan
Mencakup: Mencakup:
1. Menentukan tujuan dan sasaran 1. Perusahaan (Pengendali) yang

Pemrosesan, sekaligus bagaimana cara memperoleh dan mengelola Data
mencapai sasaran tersebut; pegawainya (Subyek);
2. Diuntungkan dan/atau memiliki 2. Tenaga kesehatan (Pengendali) yang
kepentingan dalam Pemrosesan; menerima pasien (Subyek) dengan
3. Menentukan individu yang terlebih dahulu meminta Datanya;
diklasifikasikan sebagai Subyek; 3. Advokat (Pengendali) yang memperoleh
Pengendali 4. Pemrosesan sendiri wajib berhubungan Data kliennya (Subyek) sebelum
dekat dan dapat diasosiasikan dengan memberikan pelayanan hukum; atau
Pengendali; 4. Organisasi (Pengendali) yang
5. Memiliki otonomi penuh dalam memperoleh dan mengelola Data
menentukan bagaimana Pemrosesan anggotanya (Subyek).
akan dilakukan;
6. Berwenang untuk mengamanatkan
pelaksanaan Pemrosesan kepada pihak
lain atas nama suatu pihak atau
entitasnya.
Mencakup:
1. Hanya melakukan Pemrosesan untuk dan

atas nama Pengendali;
2. Mengikuti perintah Pengendali
mengenai bagaimana cara dilakukannya Lembaga pemerintah (Pengendali) yang
Pemrosesan; menunjuk penyelenggara (Prosesor) untuk
Prosesor memperoleh dan mengolah Data berkaitan
3. Tidak memiliki tujuan lain terkait
Pemrosesan selain yang telah ditentukan dengan acara yang akan diikuti oleh pegawai
Pengendali; lembaga tersebut (Subyek).
4. Diawasi oleh pihak lain dalam melakukan

Pemrosesan;
5. Terikat secara hukum melalui kewajiban
kontraknya dengan Pengendali.
Di luar contoh-contoh yang disebutkan di atas, Satriyo Wibowo juga menjelaskan bahwa dalam kerangka
pelindungan Data yang diatur dalam UU PDP, perusahaan dan anak perusahaannya tidak diklasifikasikan
sebagai pihak yang sama karena secara hukum dikategorikan sebagai entitas yang berbeda.[8] Selain itu,
Satriyo Wibowo juga menegaskan bahwa ketika mengklasifikasikan suatu entitas sebagai Pengendali atau
Prosesor, hal ini harus dilihat dalam konteks yang relevan dengan proses bisnis yang berhubungan dengan
Pemrosesan, karena kemungkinan besar suatu entitas dapat memiliki peran sebagai baik Pengendali
maupun Prosesor dalam satu waktu bersamaan melalui pelaksanaan jenis kegiatan Pemrosesan yang
berbeda.[9]
B. Pengendali Bersama

Mengacku kepada UU PDP, kegiatan Pemrosesan activities dapat dilakukan oleh dua atau lebih Pengendali
sesuai dengan persyaratan minimum berikut:[10]
1. Terdapat perjanjian antara para Pengendali yang bersangkutan yang memuat ketentuan terkait peran
dan tanggung jawab serta hubungan antar Pengendali;
2. Tujuan yang saling berkaitan dana cara Pemrosesan ditentukan bersamaan oleh para Pengendali; dan
3. Terdapat narahubung yang ditunjuk bersama yang akan bertanggung jawab atas mediasi antar
Pengendali.
Satriyo Wibowo dalam wawancaranya juga menekankan bahwa perjanjian Pengendali bersama berbeda
dengan hubungan Pengendali – Prosesor dan perjanjian yang dibuat antara para pihak yang berkontrak akan
menentukan apakah hubungan tersebut diklasifikasikan sebagai skema Pengendali bersama atau skema
Pengendali – Prosesor biasa.[11] Berikut kami sertakan studi kasus umum yang akan memberikan gambaran
yang lebih jelas dalam membedakan kedua skema yang telah dijelaskan di atas:
Studi Kasus Penjelasan
Lokapasar A berkontrak dengan Bank B dengan kontrak Berdasarkan studi kasus ini, jelas bahwa pengaturan ini
kemitraan yang menjadikan Bank B sebagai mitra dapat dikategorikan sebagai skema Pengendali
pembayaran resmi untuk transaksi yang dibuat melalui bersama, dimana baik Lokapasar A maupun Bank B
Lokapasar A. dalam konteks kontrak kemitraan ini, telah dianggap setara sebagai Pengendali, yang artinya kedua
ditetapkan bahwa baik Lokapasar A maupun Bank B entitas tersebut memiliki kewenangan yang sama untuk
akan menentukan secara bersama-sama Data mana menentukan Data mana yang akan menjadi obyek
yang akan diambil dari calon pelanggannya sebagai Pemrosesan, serta bagaimana Pemrosesan itu sendiri
Subyek dan bagaimana cara memroses Data terkait. akan dilakukan.
Klinik A, yang bergerak di sektor layanan kesehatan,

memperoleh, mengumpulkan dan menganalisa Data
yang diperoleh dari pasiennya. Dengan menggunakan
Berdasarkan studi kasus ini, jelas bahwa pengaturan ini
komponen Data yang diperoleh Klinik A, Perusahaan B
dapat dikategorikan sebagai skema Pengendali –
memberikan layanan analisa dan penyimpanan Data
Prosesor biasa, dimana Klinik A sebagai Pengendali
dan telah dipekerjakan oleh Klinik A untuk membantu
menentukan bagaimana dan apa saja Data yang akan
dalam melakukan Pemrosesan Data para pasiennya.
diproses oleh Perusahaan B sebagai Prosesor yang akan
Dalam kontrak antara Klinik A dan Perusahaan B, telah
melakukan kegiatan Pemrosesan berdasarkan arahan
ditetapkan bahwa Perusahaan B akan melakukan
eksplisit dari Klinik A.
Pemrosesan untuk dan atas nama Klinik A dan bahwa
kegiatan Pemrosesan yang dilakukan wajib berdasarkan
arahan eksplisit dan tertulis dari Klinik A.
C. Penunjukan DPO

Dalam kegiatan Pemrosesan, Pengendali dan Prosesor[12] diamanatkan untuk menunjuk DPO dalam kondisi
[13]
tertentu. Kondisi tersebut kami rangkum dalam ilustrasi di bawah ini:
Meskipun UU PDP tidak menjelaskan lebih lanjut terkait Data skala besar yang disebutkan di atas, Satriyo
Wibowo menjelaskan bahwa hal tersebut akan diatur secara detail di peraturan pelaksana yang akan datang.
Namun, beliau juga menjelaskan dalam wawancaranya bahwa Data skala besar tersebut kemungkinan besar
dapat ditententukan berdasarkan faktor-faktor berikut:[14]
1. Kuantitas: jumlah Subyek terkait;

2. Kualitas: klasifikasi Data; dan/atau
3. Komponen: jumlah dan jenis komponen Data.
Selain itu, UU PDP juga menetapkan sejumlah aspek umum yang menjadi tanggung jawab DPO, yaitu:
Aspek DPO Penjelasan
DPO ditunjuk dengan mempertimbangkan faktor-faktor berikut:
1. Profesionalitas;
Kualifikasi[15] 2. Pengetahuan mengenai hukum;
3. Praktik pelindungan Data; dan
4. Kompetensi dasar dalam memenuhi tugas-tugasnya.
Mencakup paling tidak peran-peran berikut:
1. Menginformasikan dan memberikan saran kepada Pengendali atau Prosesor

agar mematuhi UU PDP;
Tanggung jawab[16] 2. Memantau dan memastikan kepatuhan Pengendali atau Prosesor terhadap
UU PDP;
3. Memberikan saran mengenai pelindungan Data; dan
4. Berkoordinasi dengan para pihak yang bersangkutan terkait pelindungan
Data.
Perlu juga dicatat bahwa ketika melaksanakan tugas-tugas di atas, DPO wajib memperhatikan risiko terkait
[17]
Pemrosesan dengan mempertimbangkan sifat, ruang lingkup, konteks dan tujuan Pemrosesan.
II. Kegiatan Pemrosesan

A. Konsep Umum Pemrosesan

Meskipun tidak ada penjelasan eksplisit mengenai definisi Pemrosesan, UU PDP menegaskan bahwa hal
[18]
tersebut berkaitan dengan kegiatan-kegiatan terkait Data berikut ini:
Terdapat beberapa prinsip yang wajib diikuti dalam melakukan kegiatan-kegiatan di atas, beberapa prinsip
tersebut adalah:[19]
Prinsip Penjelasan
Pengumpulan Data dilakukan secara terbatas dan spesifik, serta sah secara hukum
Terbatas dan spesifik
dan transparan.
Tujuan Pemrosesan dilakukan sesuai dengan tujuan awalnya.
Hak Subyek Pemrosesan wajib menjamin hak Subyek yang bersangkutan.
Pemrosesan dilakukan secara akurat, lengkap dan tidak menyesatkan, mutakhir, dan
Akurasi
dapat dipertanggungjawabkan.
Pemrosesan dilakukan dengan menjaga keamanan Data dan melindungi Data dari
Pelindungan pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak
sah, penyalahgunaan, perusakan dan/atau penghilangan.
Pemrosesan dilakukan dengan memberitahukan kepada pihak terkait mengenai

Informasi
tujuan dan aktivitas yang mendasari Pemrosesan, serta kegagalan pelindungan Data.
Data dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan
Penghapusan permintaan yang diajukan oleh Subyek yang bersangkutan, kecuali ketika dintentukan
lain oleh peraturan perundang-undangan.
Tanggung jawab Pemrosesan dilakukan secara bertanggung jawab dan dapat dibuktikan dengan jelas.
Selain hal-hal yang disebutkan di atas, UU PDP juga menegaskan bahwa alat pemroses atau pengolah data
visual (secara bersama-sama disebut sebagai “Alat”) harus dipasang di tempat umum dan/atau fasilitas
pelayanan publik dan beroperasi sesuai dengan ketentuan berikut:[20]
Terkait Alat yang dijelaskan sebelumnya, Satriyo Wibowo mengonfirmasi melalui wawancaranya bahwa Alat
itu sendiri mengacu pada sistem closed-circuit television (CCTV) yang mampu melakukan fungsi pengenalan
wajah.[21] Walaupun tujuan tersebut tidak diperbolehkan, Alat tersebut dapat digunakan untuk tujuan
identifikasi yang dapat dikategorikan dalam kepentingan sah lainnya sebagai salah satu dasar Pemrosesan
yang tersedia, contohnya untuk presensi pegawai.[22] Namun, perlu digarisbawahi bahwa ketentuan di atas
(yang diberikan tanda bintang) tidak berlaku untuk tujuan pencegahan tindak kriminal dan proses
penegakan hukum, yang dilakukan berdasarkan peraturan perundang-undangan terkait.[23]
B. Dasar Hukum Pemrosesan dan Pemberian Persetujuan

Pada intinya, kegiatan Pemrosesan dilakukan berdasarkan faktor-faktor tertentu, sebagaiman telah diatur
dalam UU PDP. Detail mengenai faktor-faktor resebut dijelaskan dalam tabel di bawah ini:[24]
Dasar Pemrosesan Penjelasan Contoh
Diberikan oleh Subyek terkait untuk satu

Persetujuan yang sah atau beberapa tujuan tertentu yang telah Tab persetujuan atau tab pengolahan
secara eksplisit diberitahukan oleh Pengendali kepada cookie pada situs web.[25]
Subyek tersebut.
Jika Subyek adalah pihak dalam perjanjian

Pemenuhan kewajiban Wajib ditetapkan dalam perjanjian yang
atau untuk memenuhi permintaan Subyek
perjanjian bersangkutan.
saat akan melakukan perjanjian.
Pemenuhan kewajiban
Dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.
hukum Pengendali
Pemenuhan pelindungan Kepentingan vital Subyek mengacu pada Pemrosesan yang diperlukan terkait
kepentingan vital Subyek moralitas Subyek. perawatan medis serius.
Pelaksanaan tugas dalam

rangka kepentingan Pengadministrasian Data
Dilaksanakan sesuai dengan ketentuan
umum, pelayanan publik kependudukan, izin mengemudi
peraturan perundang-undangan.
atau pelaksanaan dan/atau pemilihan umum.
kewenangan Pengendali
Termasuk:[26]
1. Penagihan utang;
2. Penggalangan dana;
Mencakup tujuan, kebutuhan dan 3. Keamanan jaringan;
Pemenuhan kepentingan
keseimbangan kepentinganPengendali 4. Pelaporan pelanggaran;
sah lainnya
dan hak Subyek 5. Penelitian dan pengembangan;
6. Penuntutan hukum;
7. Pengawasan pegawai;
8. Pemasaran langsung.
Sehubungan dengan “persetujuan” dan “kewajiban kontrak”, Satriyo Wibowo pada wawancaranya dengan
Hukumonline menyatakan bahwa salah satu unsur penentu dalam membedakan area-area tersebut adalah
kemampuan Subyek tersebut untuk meminta pelaksanaan haknya untuk mencabut persetujuan yang
sebelumnya telah diberikan.[27] Sebaliknya, untuk dapat mundur dari Pemrosesan yang telah didasari
perjanjian, Subyek wajib mematuhi klausula-klausula yang telah ditetapkan dalam kontrak tersebut.[28]
Selain itu, karena persetujuan Subyek adalah salah satu hal penting yang berkaitan dengan kegiatan
Pemrosesan, penilaian mandiri mendasar berikut dapat membantu anda atau entitas anda dalam
menentukan bahwa persetuju dibutuhkan terkait Pemrosesan, serta pihak yang berhak memberikan
persetujuan tersebut:
Ya: Lanjutkan ke Pertanyaan 2

Apakah anda atau entitas anda melakukan kegiatan
Pertanyaan 1
suatu Pemrosesan? Tidak: Dapat disimpulkan bahwa anda
atau entitas anda tidak memerlukan
persetujuan dari Subyek
Ya: Lanjutkan ke Pertanyaan 3

Apakah anda atau entitas anda melakukan suatu
Pertanyaan 2
Pemrosesan Data spesifik?
Tidak: Lanjutkan ke Pernyataan 4
Ya: Anda memerlukan persetujuan

dari orang tua/wali dari anak tersebut
dan/atau dari penyandang disabilitas
Apakah anda atau entitas anda melakukan suatu tersebut/walinya.
Pertanyaan 3 Pemrosesan Data yang berkaitan dengan anak-
anak dan/atau penyandang disabilitas?
Tidak: Lanjutkan ke Pernyataan 4
Anda dan entitas anda membutuhkan persetujuan yang diberikan oleh Subyek yang
Pernyataan 4 bersangkutan. Namun, selain mendapatkan persetujuan, terdapat dasar-dasar Pemrosesan
lainnya yang dijelaskan dalam tabel di atas.
Perlu juga diingat bahwa Pengendali wajib dapat memberikan bukti atas persetujuan yang telah diberikan
Subyek.[29]
Dalam UU PDP, terdapat beberapa ketentuan yang mengatur tentang persetujuan. Ketentuan-ketentuan
tersebut kami rangkum dalam tabel di bawah ini:
No. Aspek Penjelasan
1 Bentuk persetujuan[30] Wajib berbentuk tulisan atau rekaman suara.[31]
Persetujuan tersebut disampaikan secara elektronik atau

2 Penyampaian persetujuan[32]
nonelektronik.[33]
Dalam persetujuan wajib memiliki informasi di bawah ini:
1. Legalitas Pemrosesan;
2. Tujuan Pemrosesan;
3. Jenis dan relevansi Data yang akan diproses;
4. Jangka waktu retensi dokumen yang memuat Data;
Informasi yang diperlukan dalam
3 5. Rincian mengenai informasi yang dikumpulkan;
persetujuan[34]
6. Jangka waktu Pemrosesan; dan
7. Hak Subyek.
Perlu dicatat bahwa Pengendali wajib memberitahukan kepada

Subyek jika terdapat perubahan informasi yang disebutkan di atas
ebelum perubahan tersebut dilakukan.
Jika persetujuan memiliki tujuan lain, maka permintaan persetujuan

wajib memenuhi ketentuan berikut:
4 Tujuan lain Pemrosesan[35] 1. Dapat dibedakan secara jelas dengan hal lainnya;
2. Dibuat dengan format yang dapat dipahami dan mudah
diakses; dan
3. Menggunakan bahasa Indonesia yang sederhana dan jelas.
Jika kondisi di bawah ini terjadi:
1. Persetujuan yang tidak memenuhi aspek-aspek yang

Kondisi yang membuat persetujuan disebutkan dalam poin (1) dan (4) di atas; dan/atau
5
menjadi batal demi hukum[36]
2. Klausula perjanjian yang mengandung permintaan Pemrosesan
tanpa permintaan persetujuan secara eksplisit dan sah dari
Subyek yang bersangkutan.[37]
C. Kewajiban Pengendali dan Prosesor dan Konsekuensi Pelanggaran: Daftar Cek
UU PDP menetapkan sejumlah kewajiban yang wajib dipenuhi Pengendali dan Prosesor dalam melindungi
Data Subyek. Tidak terpenuhinya kewajiban tersebut dapat dijatuhi sanksi administratif oleh lemnaga
pelindungan Data (“Lembaga”).[38]
Sanksi administratif tersebut berupa: 1) Peringatan tertulis; 2) Penghentian sementara kegiatan Pemrosesan;
3) Penghapusan atau pemusnahan Data; dan/atau 4) Denda administratif.[39]
Tabel di bawah ini menjelaskan secara ringkas kewajiban Pengendali dan/atau Prosesor yang ditetapkan oleh
UU PDP, serta pihak-pihak yang bertanggung jawab jika terdapat pelanggaran terhadap kewajiban yang
dapat mengakibatkan dijatuhinya sanksi administratif:[40]
Kewajiban Pengendali dan/atau Prosesor Pihak/Para Pihak yang

Bertanggung Jawab atas
Pelanggaran
Pengendali Prosesor
Memiliki dasar Pemrosesan √
Memberikan informasi lebih lanjut terkait Pemrosesan (seperti legalitas, tujuan,

√
periode, dsb.
Memberitahukan kepada Subyek perubahan atas informasi yang berkaitan dengan

√
Pemrosesan
Memberikan bukti persetujuan yang diberikan Subyek √
Memperoleh persetujuan orang tua/wali dari anak yang Datanya diproses √
Memperoleh persetujuan dari wali penyandang disabilitas yang Datanya diproses √
Memroses Data secara terbatas dan spesifik, sah secara hukum, dan transparan √
Memroses Data sesuai dengan tujuan awal √
Memastikan akurasi Data √ √
Memperbarui dan/atau memperbaiki kesalahan/ketidakakuratan Data dalam

√
waktu 3 x 24 jam sejak Pengendali menerima permintaan perbaikan
Memberitahukan Subyek hasil dari perbaruan dan/atau perbaikan Data √
Merekam seluruh kegiatan pemrosesan Data √ √
Memberikan akses ke Data yang diproses kepada Subyek Data dalam waktu 3 x
√
24 jam sejak Pengendali menerima permintaan akses, beserta rekam jejaknya
Menolak perubahan yang dilakukan kepada Data Subyek jika berkaitan dengan hal-
hal berikut: 1) Perubahan yang membahayakan keamanan, kesehatan fisik, atau
kesehatan mental Subjek dan/atau orang lain; 2) Perubahan yang berdampak pada √
pengungkapan Data orang lain; dan/atau 3) Perubahan yang bertentangan dengan
keamanan nasional
Melakukan penilaian terhadap Pemrosesan terkait potensi Pemrosesan tersebut

√
memiliki risiko tinggi terhadap Subyek[41]
Melindungi dan menjamin keamanan Data yang diproses[42] √ √
Menjaga kerahasiaan Data yang diproses √ √
Mengawasi semua pihak yang terlibat di Pemrosesan √ √
Melindungi dari Pemrosesan tidak sah √ √
Mencegah Pemrosesan tidak sah √ √
Menghentikan/menunda dan membatasi Pemrosesan jika diminta Subyek dalam

√
waktu 3 x 24 jam setelah permintaan tersebut diterima Pengendali[43]
Memberitahukan kepada Subyek terkait penundaan dan pembatasan Pemrosesan √
Mengakihir Pemrosesan dalam hal: 1) Telah melewati masa retensi; 2) Tujuannya

√
telah tercapai; dan/atau 3) Diminta oleh Subyek
Menghapus Data dalam hal: 1) Data tidak lagi diperlukan; 2) Data ditarik kembali
oleh Subyek/diminta oleh Subject; dan/atau 3) Data diperoleh dan diproses secara √
tidak sah
Memusnahkan Data dalam hal: 1) Periode retensi telah lewat dan Data dijadwalkan
untuk dimusnahkan; 2) Diminta oleh Subyek; 3) Data tidak berkaitan dengan
√
penyelesaian proses hukum suatu perkara; dan/atau 4) Data diperoleh dan/atau
diproses secara tidak sah
Memberitahukan terkait penghapusan dan/atau pemusnahan Data √
Dalam hal terjadi kegagalan pelindungan Data,[44] Pengendali wajib

√
memberitahukan Subyek dalam waktu 3 x 24 jam
Bertanggung jawab atas seluruh Pemrosesan √
Memberitahukan Subyek terkait pengalihan Data yang dilakukan sebagai akibat

√
dari aksi korporasi[45] yang dilakukan Pengendali
Melaksanakan perintah Lembaga terkait penyelenggaraan pelindungan Data √ √
Melakukan Pemrosesan sesuai dengan perintah Pengendali √ √
Memperoleh persetujuan tertulis ari Pengendali sebelum melibatkan Prosesor lain √ √
Menunjuk DPO untuk kegiatan-kegiatan berikut: 1) Pemrosesan Data terkait

pelayanan publik; 2) Kegiatan inti Pengendali memiliki sifat, ruang lingkup,
dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas
√ √
Data dengan skala besar; dan 3) Kegiatan inti Pengendali terdiri dari pemrosesan
Data dalam skala besar untuk Data yang bersifat spesifik dan/atau Data yang
berkaitan dengan tindak pidana.
Transfer Data dilakukan sesuai dengan ketentuan yang ditetapkan dalam UU PDP √
Perlu dicatat bahwa kewajiban Pengendali, yang dijelaskan dalam tabel di atas, tidak berlaku untuk tujuan
berikut:[46]
1. Kepentingan pertahanan dan keamanan nasional;

2. Kepentingan proses penegakan hukum;
3. Kepentingan umum dalam rangka penyelenggaraan negara; atau
4. Kepentingan pengawasan sektor jasa keuangan, moneter, sistem pembayaran, dan stabilitas sistem
keuangan yang dilakukan dalam rangka penyelenggaraan negara.
Akan tetapi, pengecualian tersebut hanya berlaku untuk pelaksanaan tertentuyang ditetapkan dalam
peraturan perundang-undangan.
III. Pemrosesan Perjanjian: Pencarian Praktik Terbaik

Dalam praktiknya, kerja sama antara Pengendali dan Prosesor atau antar Pengendali dilakukan berdasarkan
perjanjian. Namun, karena UU PDP tidak memiliki ketentuan yang secara khusus mengatur tentang hal tersebut,
ketentuan yang mengatur mengenai penyusunan Perjanjian Pelindungan Data (“PPD”) dapat dipelajari dengan
melihat kerangka mengenai GDPR yang sudah ada saat ini.
Bagian selanjutnya menjelaskan berbagai aspek umum yang wajib ditetapkan dalam PPD ketika Pengendali
memutuskan untuk menggunakan jasa Pemrosesan yang diberukan oleh Prosesor, serta jika Prosesor
memutuskan untuk menggunakan sub-Prosesor untuk membantunya dalam melakukan kegiatan Pemrosesan
(setelah terlebih dahulu mendapatkan persetujuan tertulis dari Pengendali yang bersangkutan).[47] Aspek umum
[48]
tersebut telah kami ringkas dalam tabel di bawah ini:
Aspek PPD Penjelasan
Mencakup paling tidak elemen-elemen berikut:
1. Pokok dan durasi Pemrosesan;

Isi
2. Sifat dan tujuan Pemrosesan;
3. Klasifikasi Data dan Subyek; dan
4. Hak dan kewajiban Pengendali dan Prosesor.
Mencakup paling tidak elemen-elemen berikut:
1. Pemrosesan hanya dilakukan berdasarkan perintah Pengendali yang telah

didokumentasi;
2. Pihak yang memiliki kontak dengan Data bersumpah untuk menjaga
kerahasiaannya;
Klausula 3. Tindakan pengamanan Data yang memadai;
4. Penggunaan sub-Prosesor;
5. Hak Subyek;
6. Pemberian bantuan kepada Pengendali;
7. Ketentuan pengakhiran kontrak (seperti pemusnahan dan/atau
penghapusan Data); dan
8. Audit dan inspeksi.
(KS)
[1] Pasal 1 (4 - 6) dan 53 (2), UU PDP.
[2] Pasal 19, UU PDP.
[4] Pasal 51 (1 - 3) dan 6), UU PDP.
[5] Pasal 53 (3), UU PDP.
[6] Pasal 53 (2), UU PDP.
[7] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[9] Sebagai contoh, meskipun Perusahaan A dapat dikategorikan sebagai Prosesor karena telah ditunjuk oleh perusahaan lain untuk melakukan Pemrosesan
atas nama penunjuk, Perusahaan A juga dikategorikan sebagai Pengendali dalam konteks memperoleh dan mengelola Data pegawainya.
[12] Sebagaimana yang telah disebutkan sebelumnya, kewajiban untuk menunjuk DPO wajib dipenuhi, tanpa menghiraukan individu atau entitas tersebut
diklasifikasikan sebagai Pengendali ataupun Processor dalam konteks porses usaha yang berbeda. (Berdasarkan wawancara dengan Satriyo Wibowo yang
dilakukan pada tanggal 30 September 2022).
[13]
Pasal 53 (1), UU PDP.
[15] Pasal 53 (2), UU PDP.
[16] Pasal 54 (1), UU PDP.
[17]
[18]
[19] Pasal 16 (2), UU PDP.
[22] Ibid.
[23] Pasal 17 (2), UU PDP.
[24] Pasal 20 (1 - 2) dan penjelasannya, UU PDP.
[26] Ibid.
[27] Ibid.
[28] Ibid.
[30] Pasal 22 (1), UU PDP.
[31] Kedua bentuk persetujuan memiliki kekuatan hukum yang sama (Pasal 22 [3], UU PDP).
[32] Pasal 22 (2), UU PDP.
[33] Salah satu contoh penyampaian persetujuan nonelektronik adalah pelamar kerja yang secara suka rela mengirimkan yang mengandung Datanya kepada
perusahaan melalui jasa pos. Dalam hal ini, penyampaian tersebut diklasifikasikan sebagai penyampaian persetujuan nonelektronik (Berdasarkan wawancara
dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022).
[35] Pasal 22 (4), UU PDP.
[36] Pasal 22 (5) and 23, UU PDP.
[37] Dalam hal ini, secara umum, perjanjian yang meminta Pemrosesan tanpa meminta persetujuan dianggap batal demi hukum. Namun, dalam keadaan
dimana persetujuan tidak memberikan efek yang signifikan terhadap pelaksanaan perjanjian, maka hanya klausula yang membutuhkan persetujuan yang
akan dianggap batal demi hukum (Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022).
[38] Pasal 57 (1), UU PDP.
[39] Pasal 57 (2), UU PDP.
[40] Pasal 20 (1), 21, 24, 25 (2), 26 (3), 27, 28, 29, 30, 31, 32 (1), 33, 34 (1), 35, 36, 37, 38, 39 (1), 40 (1), 41 (1) and (3), 42 (1), 43 (1), 44 (1), 45, 46 (1) and (3), 47, 48 (1), 49, 51 (1)
and (5), 52, 53 (1), 55 (2), 56 (2 - 4) and 57, UU PDP.
[41] “Risiko tinggi” mengacu kepada kegiatan berikut: 1) Pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan
terhadap Subject terkait; 2) Pemrosesan Data spesifik; 3) Pemrosesan Data berskala besar; 4) Pemrosesan for untuk kegiatan evaluasi, penskoran, atau
pemantauan yang sistematis terhadap Subyek; 5) Pemrosesan untuk kegiatan pencocokan atau penggabungan sekelompok Data; 6) Penggunaan teknologi
baru dalam Pemrosesan; dan/atau 7) Pemrosesan Data yang membatasi pelaksanaan hak Subyek. (Pasal 34 [2], UU PDP)
[42] Pelindungan tersebut dilakukan melalui tindakan berikut: 1) Penyusunan dan penerapan langkah teknis operasional untuk melindungi Data dari gangguan
Pemrosesan yang bertentangan dengan ketentuan peraturan perundang-undangan; dan 2) Penentuan tingkat keamanan Data dengan memperhatikan sifat
dan risiko dari Data yang harus dilindungi dalam Pemrosesan. (Pasal 35, UU PDP)
[43] Permintaan penundaan/pembatasan tidak dapat dilakukan dalam keadaan berikut: 1) Jika terdapa ketentuan yang ditetapkan dalam peraturan
perundang-undangan yang membuat penundaan/pembatasan tidak dapat dilakukan; 2) Jika penundaan/pembatasan membahayakan keamanan pihak lain;
dan/atau 3) Jika Subyek terkait, dalam perjanjian dengan Pengendali, membuat tidak mungkinnya dilakukan penundaan/pembatasan. (Pasal 41 [2], UU PDP)
[44] Kegagalan pelindungan Data mengacu pada kegagalan menjaga kerahasiaan, integritas dan ketersediaan Data, termasuk pelanggaran keamanan Data
yang disengaja maupun tidak disengaja yang mengakibatkan kebocoran Data (penjalasan Pasal 46 [1], UU PDP).
[45] Aksi korporasi megacu kepada Pengendali berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau
pembubaran (Pasal 48 [1 - 2], UU PDP).
[47] Pasal 28 (1 - 2), GDPR.
[48]
Information Commissioner’s Office, “Contracts”, yang diakses melalui: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-
data-protection-regulation-gdpr/accountability-and-governance/contracts/ pada 30 September 2022.
Pro Solusi Wawasan Hukum Hukumonline

Legal Analysis Compliance Klinik Tentang Kami
Monitoring System
Pusat Data Berita Redaksi
Document
Premium Stories Jurnal Pedoman Media Siber
AD Premier 9th floor, Jl. TB Simatupang Management System
Online Course Kode Etik
No.5 Ragunan, Pasar Minggu, Jakarta Selatan Izin Usaha
Event Syarat Penggunaan
12550, DKI Jakarta, Indonesia Konsultasi Hukum
Layanan
PKPA
Pembuatan Dokumen
Phone: +62 21 - 2270 - 8910 Bantuan & FAQ
Ranking
Fax: +62 21 - 2270 - 8909 Karir
Kamus
customer@hukumonline.com Legal Assistant
redaksi@hukumonline.com
Online Publication
2022 Hak Cipta Milik Hukumonline.com

Bagian II - Panduan Singkat Untuk Memahami Data Pribadi - Pemrosesan Data Dan Kewajiban Terkait

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Bagian II - Panduan Singkat Untuk Memahami Data Pribadi - Pemrosesan Data Dan Kewajiban Terkait

Diunggah oleh

Hak Cipta:

Format Tersedia

10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.

Katalog Produk Berlangganan Pro

Cari peraturan, artike Pro Solusi Wawasan Hukum MUHAMMAD

Rabu, Oktober 5, 2022 | Issue Number : 789

Bagian II - Panduan Singkat untuk

1. Bagian III – Transfer Data: Panduan Praktis; dan

I. Pemrosesan: Pengenalan Para Pihak yang Terlibat

A. Peran Pengendali, Prosesor, Subyek dan DPO

II. Kegiatan Pemrosesan

A. Konsep Umum Pemrosesan

III. Pemrosesan Perjanjian: Pencarian Praktik Terbaik

I. Pemrosesan: Pengenalan Para Pihak yang Terlibat

A. Peran Pengendali, Prosesor, Subyek dan DPO

Pihak Karakteristik Peran Pemrosesan

Pengendali wajib bertanggung jawab atas Pemrosesan dan

1. Setiap orang; Prosesor wajib melakukan Pemrosesan berdasarkan perintah

Dapat berasal dari dalam

Pihak Indikator Penjelasan

1. Menentukan tujuan dan sasaran 1. Perusahaan (Pengendali) yang

1. Hanya melakukan Pemrosesan untuk dan

4. Diawasi oleh pihak lain dalam melakukan

B. Pengendali Bersama

Studi Kasus Penjelasan

Klinik A, yang bergerak di sektor layanan kesehatan,

C. Penunjukan DPO

1. Kuantitas: jumlah Subyek terkait;

Aspek DPO Penjelasan

DPO ditunjuk dengan mempertimbangkan faktor-faktor berikut:

Mencakup paling tidak peran-peran berikut:

1. Menginformasikan dan memberikan saran kepada Pengendali atau Prosesor

II. Kegiatan Pemrosesan

A. Konsep Umum Pemrosesan

Tujuan Pemrosesan dilakukan sesuai dengan tujuan awalnya.

Hak Subyek Pemrosesan wajib menjamin hak Subyek yang bersangkutan.

Pemrosesan dilakukan dengan memberitahukan kepada pihak terkait mengenai

B. Dasar Hukum Pemrosesan dan Pemberian Persetujuan

Dasar Pemrosesan Penjelasan Contoh

Diberikan oleh Subyek terkait untuk satu

Jika Subyek adalah pihak dalam perjanjian

Pelaksanaan tugas dalam

Ya: Lanjutkan ke Pertanyaan 2

Ya: Lanjutkan ke Pertanyaan 3

Ya: Anda memerlukan persetujuan

Tidak: Lanjutkan ke Pernyataan 4

No. Aspek Penjelasan

1 Bentuk persetujuan[30] Wajib berbentuk tulisan atau rekaman suara.[31]

Persetujuan tersebut disampaikan secara elektronik atau

Dalam persetujuan wajib memiliki informasi di bawah ini:

Perlu dicatat bahwa Pengendali wajib memberitahukan kepada

Jika persetujuan memiliki tujuan lain, maka permintaan persetujuan

Jika kondisi di bawah ini terjadi:

1. Persetujuan yang tidak memenuhi aspek-aspek yang

Kewajiban Pengendali dan/atau Prosesor Pihak/Para Pihak yang

Memiliki dasar Pemrosesan √

Memberikan informasi lebih lanjut terkait Pemrosesan (seperti legalitas, tujuan,

Memberitahukan kepada Subyek perubahan atas informasi yang berkaitan dengan

Memberikan bukti persetujuan yang diberikan Subyek √

Memperoleh persetujuan orang tua/wali dari anak yang Datanya diproses √

Memperoleh persetujuan dari wali penyandang disabilitas yang Datanya diproses √

Memroses Data sesuai dengan tujuan awal √

Memastikan akurasi Data √ √

Memperbarui dan/atau memperbaiki kesalahan/ketidakakuratan Data dalam

Memberitahukan Subyek hasil dari perbaruan dan/atau perbaikan Data √