Bagian II - Panduan Singkat Untuk Memahami Data Pribadi - Pemrosesan Data Dan Kewajiban Terkait
Bagian II - Panduan Singkat Untuk Memahami Data Pribadi - Pemrosesan Data Dan Kewajiban Terkait
com
Edisi ILD kali ini merujuk pada Undang-Undang Pelindungan Data Pribadi (“UU PDP”), yang diterbitkan melalui situs
web resmi Dewan Perwakilan Rakyat pada tanggal 20 September 2022, serta General Data Protection Regulation
(“GDPR”) Uni Eropa, yang juga mencakup sejumlah wawasan yang diperoleh dari praktisi Data yang beroperasi di
Indonesia.
Sehubungan dengan analisis keseluruhan dari isu pelindungan Data ini, tim legal research and analysis Hukumonline
juga telah menyusul dua analisis lanjutan mengenai topik ini yang akan dirilis di dua minggu selanjutnya sebagai
bagian dari seri empat bagian ini. Kedua analisis tersebut akan fokus membahas:
Untuk bagian kedua dari seri empat bagian ILD yang rilis minggu ini, kami membagi pembahasannya dengan
pembagian sebagai berikut:
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 1/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Dalam UU PDP, Pengendali, Prosesor dan DPO diberikan karakteristik dan peran tertentu berkaitan dengan
kegiatan Pemrosesan, sebagaimana dijelaskan dalam tabel di bawah ini:
Walaupun tidak ada parameter dalam UU PDP yang dapat digunakan untuk membedakan entitas yang
dapat dikategorikan sebagai Pengendali atau Prosesor, terkecuali yang telah disebutkan di atas, Satriyo
Wibowo, salah satu pengurus International Association of Privacy Professionals chapter Indonesia,
menjelaskan bahwa ada beberapa indikator yang dapat membantu dalam menentukan status sebuah
entitas dalam kegiatan Pemrosesan. Indikator tersebut adalah:[7]
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 2/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Mencakup: Mencakup:
Mencakup:
Di luar contoh-contoh yang disebutkan di atas, Satriyo Wibowo juga menjelaskan bahwa dalam kerangka
pelindungan Data yang diatur dalam UU PDP, perusahaan dan anak perusahaannya tidak diklasifikasikan
sebagai pihak yang sama karena secara hukum dikategorikan sebagai entitas yang berbeda.[8] Selain itu,
Satriyo Wibowo juga menegaskan bahwa ketika mengklasifikasikan suatu entitas sebagai Pengendali atau
Prosesor, hal ini harus dilihat dalam konteks yang relevan dengan proses bisnis yang berhubungan dengan
Pemrosesan, karena kemungkinan besar suatu entitas dapat memiliki peran sebagai baik Pengendali
maupun Prosesor dalam satu waktu bersamaan melalui pelaksanaan jenis kegiatan Pemrosesan yang
berbeda.[9]
1. Terdapat perjanjian antara para Pengendali yang bersangkutan yang memuat ketentuan terkait peran
dan tanggung jawab serta hubungan antar Pengendali;
2. Tujuan yang saling berkaitan dana cara Pemrosesan ditentukan bersamaan oleh para Pengendali; dan
3. Terdapat narahubung yang ditunjuk bersama yang akan bertanggung jawab atas mediasi antar
Pengendali.
Satriyo Wibowo dalam wawancaranya juga menekankan bahwa perjanjian Pengendali bersama berbeda
dengan hubungan Pengendali – Prosesor dan perjanjian yang dibuat antara para pihak yang berkontrak akan
menentukan apakah hubungan tersebut diklasifikasikan sebagai skema Pengendali bersama atau skema
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 3/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Pengendali – Prosesor biasa.[11] Berikut kami sertakan studi kasus umum yang akan memberikan gambaran
yang lebih jelas dalam membedakan kedua skema yang telah dijelaskan di atas:
Lokapasar A berkontrak dengan Bank B dengan kontrak Berdasarkan studi kasus ini, jelas bahwa pengaturan ini
kemitraan yang menjadikan Bank B sebagai mitra dapat dikategorikan sebagai skema Pengendali
pembayaran resmi untuk transaksi yang dibuat melalui bersama, dimana baik Lokapasar A maupun Bank B
Lokapasar A. dalam konteks kontrak kemitraan ini, telah dianggap setara sebagai Pengendali, yang artinya kedua
ditetapkan bahwa baik Lokapasar A maupun Bank B entitas tersebut memiliki kewenangan yang sama untuk
akan menentukan secara bersama-sama Data mana menentukan Data mana yang akan menjadi obyek
yang akan diambil dari calon pelanggannya sebagai Pemrosesan, serta bagaimana Pemrosesan itu sendiri
Subyek dan bagaimana cara memroses Data terkait. akan dilakukan.
Meskipun UU PDP tidak menjelaskan lebih lanjut terkait Data skala besar yang disebutkan di atas, Satriyo
Wibowo menjelaskan bahwa hal tersebut akan diatur secara detail di peraturan pelaksana yang akan datang.
Namun, beliau juga menjelaskan dalam wawancaranya bahwa Data skala besar tersebut kemungkinan besar
dapat ditententukan berdasarkan faktor-faktor berikut:[14]
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 4/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Selain itu, UU PDP juga menetapkan sejumlah aspek umum yang menjadi tanggung jawab DPO, yaitu:
1. Profesionalitas;
Kualifikasi[15] 2. Pengetahuan mengenai hukum;
3. Praktik pelindungan Data; dan
4. Kompetensi dasar dalam memenuhi tugas-tugasnya.
Perlu juga dicatat bahwa ketika melaksanakan tugas-tugas di atas, DPO wajib memperhatikan risiko terkait
[17]
Pemrosesan dengan mempertimbangkan sifat, ruang lingkup, konteks dan tujuan Pemrosesan.
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 5/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Terdapat beberapa prinsip yang wajib diikuti dalam melakukan kegiatan-kegiatan di atas, beberapa prinsip
tersebut adalah:[19]
Prinsip Penjelasan
Pengumpulan Data dilakukan secara terbatas dan spesifik, serta sah secara hukum
Terbatas dan spesifik
dan transparan.
Pemrosesan dilakukan secara akurat, lengkap dan tidak menyesatkan, mutakhir, dan
Akurasi
dapat dipertanggungjawabkan.
Pemrosesan dilakukan dengan menjaga keamanan Data dan melindungi Data dari
Pelindungan pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak
sah, penyalahgunaan, perusakan dan/atau penghilangan.
Data dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan
Penghapusan permintaan yang diajukan oleh Subyek yang bersangkutan, kecuali ketika dintentukan
lain oleh peraturan perundang-undangan.
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 6/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Tanggung jawab Pemrosesan dilakukan secara bertanggung jawab dan dapat dibuktikan dengan jelas.
Selain hal-hal yang disebutkan di atas, UU PDP juga menegaskan bahwa alat pemroses atau pengolah data
visual (secara bersama-sama disebut sebagai “Alat”) harus dipasang di tempat umum dan/atau fasilitas
pelayanan publik dan beroperasi sesuai dengan ketentuan berikut:[20]
Terkait Alat yang dijelaskan sebelumnya, Satriyo Wibowo mengonfirmasi melalui wawancaranya bahwa Alat
itu sendiri mengacu pada sistem closed-circuit television (CCTV) yang mampu melakukan fungsi pengenalan
wajah.[21] Walaupun tujuan tersebut tidak diperbolehkan, Alat tersebut dapat digunakan untuk tujuan
identifikasi yang dapat dikategorikan dalam kepentingan sah lainnya sebagai salah satu dasar Pemrosesan
yang tersedia, contohnya untuk presensi pegawai.[22] Namun, perlu digarisbawahi bahwa ketentuan di atas
(yang diberikan tanda bintang) tidak berlaku untuk tujuan pencegahan tindak kriminal dan proses
penegakan hukum, yang dilakukan berdasarkan peraturan perundang-undangan terkait.[23]
Pemenuhan kewajiban
Dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan.
hukum Pengendali
Pemenuhan pelindungan Kepentingan vital Subyek mengacu pada Pemrosesan yang diperlukan terkait
kepentingan vital Subyek moralitas Subyek. perawatan medis serius.
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 7/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Termasuk:[26]
1. Penagihan utang;
2. Penggalangan dana;
Mencakup tujuan, kebutuhan dan 3. Keamanan jaringan;
Pemenuhan kepentingan
keseimbangan kepentinganPengendali 4. Pelaporan pelanggaran;
sah lainnya
dan hak Subyek 5. Penelitian dan pengembangan;
6. Penuntutan hukum;
7. Pengawasan pegawai;
8. Pemasaran langsung.
Sehubungan dengan “persetujuan” dan “kewajiban kontrak”, Satriyo Wibowo pada wawancaranya dengan
Hukumonline menyatakan bahwa salah satu unsur penentu dalam membedakan area-area tersebut adalah
kemampuan Subyek tersebut untuk meminta pelaksanaan haknya untuk mencabut persetujuan yang
sebelumnya telah diberikan.[27] Sebaliknya, untuk dapat mundur dari Pemrosesan yang telah didasari
perjanjian, Subyek wajib mematuhi klausula-klausula yang telah ditetapkan dalam kontrak tersebut.[28]
Selain itu, karena persetujuan Subyek adalah salah satu hal penting yang berkaitan dengan kegiatan
Pemrosesan, penilaian mandiri mendasar berikut dapat membantu anda atau entitas anda dalam
menentukan bahwa persetuju dibutuhkan terkait Pemrosesan, serta pihak yang berhak memberikan
persetujuan tersebut:
Apakah anda atau entitas anda melakukan kegiatan
Pertanyaan 1
suatu Pemrosesan? Tidak: Dapat disimpulkan bahwa anda
atau entitas anda tidak memerlukan
persetujuan dari Subyek
Anda dan entitas anda membutuhkan persetujuan yang diberikan oleh Subyek yang
Pernyataan 4 bersangkutan. Namun, selain mendapatkan persetujuan, terdapat dasar-dasar Pemrosesan
lainnya yang dijelaskan dalam tabel di atas.
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 8/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Perlu juga diingat bahwa Pengendali wajib dapat memberikan bukti atas persetujuan yang telah diberikan
Subyek.[29]
Dalam UU PDP, terdapat beberapa ketentuan yang mengatur tentang persetujuan. Ketentuan-ketentuan
tersebut kami rangkum dalam tabel di bawah ini:
1. Legalitas Pemrosesan;
2. Tujuan Pemrosesan;
3. Jenis dan relevansi Data yang akan diproses;
4. Jangka waktu retensi dokumen yang memuat Data;
Informasi yang diperlukan dalam
3 5. Rincian mengenai informasi yang dikumpulkan;
persetujuan[34]
6. Jangka waktu Pemrosesan; dan
7. Hak Subyek.
4 Tujuan lain Pemrosesan[35] 1. Dapat dibedakan secara jelas dengan hal lainnya;
2. Dibuat dengan format yang dapat dipahami dan mudah
diakses; dan
3. Menggunakan bahasa Indonesia yang sederhana dan jelas.
C. Kewajiban Pengendali dan Prosesor dan Konsekuensi Pelanggaran: Daftar Cek
UU PDP menetapkan sejumlah kewajiban yang wajib dipenuhi Pengendali dan Prosesor dalam melindungi
Data Subyek. Tidak terpenuhinya kewajiban tersebut dapat dijatuhi sanksi administratif oleh lemnaga
pelindungan Data (“Lembaga”).[38]
Sanksi administratif tersebut berupa: 1) Peringatan tertulis; 2) Penghentian sementara kegiatan Pemrosesan;
3) Penghapusan atau pemusnahan Data; dan/atau 4) Denda administratif.[39]
Tabel di bawah ini menjelaskan secara ringkas kewajiban Pengendali dan/atau Prosesor yang ditetapkan oleh
UU PDP, serta pihak-pihak yang bertanggung jawab jika terdapat pelanggaran terhadap kewajiban yang
dapat mengakibatkan dijatuhinya sanksi administratif:[40]
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 9/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Pengendali Prosesor
Memroses Data secara terbatas dan spesifik, sah secara hukum, dan transparan √
Memberikan akses ke Data yang diproses kepada Subyek Data dalam waktu 3 x
√
24 jam sejak Pengendali menerima permintaan akses, beserta rekam jejaknya
Menolak perubahan yang dilakukan kepada Data Subyek jika berkaitan dengan hal-
hal berikut: 1) Perubahan yang membahayakan keamanan, kesehatan fisik, atau
kesehatan mental Subjek dan/atau orang lain; 2) Perubahan yang berdampak pada √
pengungkapan Data orang lain; dan/atau 3) Perubahan yang bertentangan dengan
keamanan nasional
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 10/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Menghapus Data dalam hal: 1) Data tidak lagi diperlukan; 2) Data ditarik kembali
oleh Subyek/diminta oleh Subject; dan/atau 3) Data diperoleh dan diproses secara √
tidak sah
Memusnahkan Data dalam hal: 1) Periode retensi telah lewat dan Data dijadwalkan
untuk dimusnahkan; 2) Diminta oleh Subyek; 3) Data tidak berkaitan dengan
√
penyelesaian proses hukum suatu perkara; dan/atau 4) Data diperoleh dan/atau
diproses secara tidak sah
Transfer Data dilakukan sesuai dengan ketentuan yang ditetapkan dalam UU PDP √
Perlu dicatat bahwa kewajiban Pengendali, yang dijelaskan dalam tabel di atas, tidak berlaku untuk tujuan
berikut:[46]
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 11/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
Akan tetapi, pengecualian tersebut hanya berlaku untuk pelaksanaan tertentuyang ditetapkan dalam
peraturan perundang-undangan.
Bagian selanjutnya menjelaskan berbagai aspek umum yang wajib ditetapkan dalam PPD ketika Pengendali
memutuskan untuk menggunakan jasa Pemrosesan yang diberukan oleh Prosesor, serta jika Prosesor
memutuskan untuk menggunakan sub-Prosesor untuk membantunya dalam melakukan kegiatan Pemrosesan
(setelah terlebih dahulu mendapatkan persetujuan tertulis dari Pengendali yang bersangkutan).[47] Aspek umum
[48]
tersebut telah kami ringkas dalam tabel di bawah ini:
(KS)
[7] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[8] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 12/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
[9] Sebagai contoh, meskipun Perusahaan A dapat dikategorikan sebagai Prosesor karena telah ditunjuk oleh perusahaan lain untuk melakukan Pemrosesan
atas nama penunjuk, Perusahaan A juga dikategorikan sebagai Pengendali dalam konteks memperoleh dan mengelola Data pegawainya.
[11] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[12] Sebagaimana yang telah disebutkan sebelumnya, kewajiban untuk menunjuk DPO wajib dipenuhi, tanpa menghiraukan individu atau entitas tersebut
diklasifikasikan sebagai Pengendali ataupun Processor dalam konteks porses usaha yang berbeda. (Berdasarkan wawancara dengan Satriyo Wibowo yang
[13]
Pasal 53 (1), UU PDP.
[14] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[17]
Pasal 54 (2), UU PDP.
[18]
Pasal 16 (1), UU PDP.
[21] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[22] Ibid.
[25] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[26] Ibid.
[27] Ibid.
[28] Ibid.
[31] Kedua bentuk persetujuan memiliki kekuatan hukum yang sama (Pasal 22 [3], UU PDP).
[33] Salah satu contoh penyampaian persetujuan nonelektronik adalah pelamar kerja yang secara suka rela mengirimkan yang mengandung Datanya kepada
perusahaan melalui jasa pos. Dalam hal ini, penyampaian tersebut diklasifikasikan sebagai penyampaian persetujuan nonelektronik (Berdasarkan wawancara
dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022).
[37] Dalam hal ini, secara umum, perjanjian yang meminta Pemrosesan tanpa meminta persetujuan dianggap batal demi hukum. Namun, dalam keadaan
dimana persetujuan tidak memberikan efek yang signifikan terhadap pelaksanaan perjanjian, maka hanya klausula yang membutuhkan persetujuan yang
akan dianggap batal demi hukum (Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022).
[40] Pasal 20 (1), 21, 24, 25 (2), 26 (3), 27, 28, 29, 30, 31, 32 (1), 33, 34 (1), 35, 36, 37, 38, 39 (1), 40 (1), 41 (1) and (3), 42 (1), 43 (1), 44 (1), 45, 46 (1) and (3), 47, 48 (1), 49, 51 (1)
and (5), 52, 53 (1), 55 (2), 56 (2 - 4) and 57, UU PDP.
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 13/14
10/24/22, 8:36 AM Bagian II - Panduan Singkat untuk Memahami Data Pribadi: Pemrosesan Data dan Kewajiban Terkait - Hukumonline.com
[41] “Risiko tinggi” mengacu kepada kegiatan berikut: 1) Pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan
terhadap Subject terkait; 2) Pemrosesan Data spesifik; 3) Pemrosesan Data berskala besar; 4) Pemrosesan for untuk kegiatan evaluasi, penskoran, atau
pemantauan yang sistematis terhadap Subyek; 5) Pemrosesan untuk kegiatan pencocokan atau penggabungan sekelompok Data; 6) Penggunaan teknologi
baru dalam Pemrosesan; dan/atau 7) Pemrosesan Data yang membatasi pelaksanaan hak Subyek. (Pasal 34 [2], UU PDP)
[42] Pelindungan tersebut dilakukan melalui tindakan berikut: 1) Penyusunan dan penerapan langkah teknis operasional untuk melindungi Data dari gangguan
Pemrosesan yang bertentangan dengan ketentuan peraturan perundang-undangan; dan 2) Penentuan tingkat keamanan Data dengan memperhatikan sifat
dan risiko dari Data yang harus dilindungi dalam Pemrosesan. (Pasal 35, UU PDP)
[43] Permintaan penundaan/pembatasan tidak dapat dilakukan dalam keadaan berikut: 1) Jika terdapa ketentuan yang ditetapkan dalam peraturan
perundang-undangan yang membuat penundaan/pembatasan tidak dapat dilakukan; 2) Jika penundaan/pembatasan membahayakan keamanan pihak lain;
dan/atau 3) Jika Subyek terkait, dalam perjanjian dengan Pengendali, membuat tidak mungkinnya dilakukan penundaan/pembatasan. (Pasal 41 [2], UU PDP)
[44] Kegagalan pelindungan Data mengacu pada kegagalan menjaga kerahasiaan, integritas dan ketersediaan Data, termasuk pelanggaran keamanan Data
yang disengaja maupun tidak disengaja yang mengakibatkan kebocoran Data (penjalasan Pasal 46 [1], UU PDP).
[45] Aksi korporasi megacu kepada Pengendali berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau
pembubaran (Pasal 48 [1 - 2], UU PDP).
[48]
Information Commissioner’s Office, “Contracts”, yang diakses melalui: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-
https://pro.hukumonline.com/a/lt633d294468316/bagian-ii---panduan-singkat-untuk-memahami-data-pribadi--pemrosesan-data-dan-kewajiban-terkait 14/14