Oleh: Nathalia Kusumasetyarini, S.Pd., M.H.
Halo Sobat YukLegal!
Kamu pastinya sudah membaca artikel “Pelindungan Data Pribadi Menurut Undang-Undang Pelindungan Data Pribadi”. Dalam artikel tersebut dikenal dengan istilah pengendali data pribadi.
Pengendali data pribadi sehubungan dengan pelindungan data pribadi mempunyai kewajiban-kewajiban yang harus ditaati.
Apa Yang Dimaksud Dengan Pengendali Data Pribadi?
Pengendali Data Pribadi, menurut Pasal 1 angka 4 Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU PDP”), adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Kewajiban Pengendali Data Pribadi
Kewajiban pengendali data pribadi, yaitu:
1. Pengendali Data Pribadi, menurut Pasal 20 ayat (1) dan (2) UU PDP, wajib memiliki dasar pemrosesan Data Pribadi meliputi:
a. persetujuan yang sah secara eksplisit dari Subjek Data Pribadi untuk 1 (satu) atau beberapa tujuan tertentu yang telah disampaikan oleh Pengendali Data Pribadi kepada Subjek Data Pribadi;
b. pemenuhan kewajiban perjanjian dalam hal Subjek Data Pribadi merupakan salah satu pihak atau untuk memenuhi permintaan Subjek Data Pribadi pada saat akan melalrukan perjanjian;
c. pemenuhan kewajiban hukum dari Pengendali Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan;
d. pemenuhan pelindungan kepentingan vital Subjek Data Pribadi;
e. pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik, atau pelaksanaan kewenangan Pengendali Data Pribadi berdasarkan peraturan perundang-undangan; dan/ atau
f. pemenuhan kepentingan yang sah lainnya dengan memperhatikan tujuan, kebutuhan, dan keseimbangan kepentingan Pengendali Data Pribadi dan hak Subjek Data Pribadi.
Baca Juga: Perjanjian Kerja Waktu Tertentu Menurut Undang-Undang Cipta Kerja.
2. Dalam hal pemrosesan Data Pribadi berdasarkan persetujuan sebagaimana dimaksud dalam Pasal 21 ayat (1) UU PDP, Pengendali Data Pribadi wajib menyampaikan Informasi mengenai:
a. legalitas dari pemrosesan Data Pribadi;
b. tujuan pemrosesan Data Pribadi;
c. jenis dan relevansi Data Pribadi yang akan diproses;
d. jangka waktu retensi dokumen yang memuat Data Pribadi;
e. rincian mengenai Informasi yang dikumpulkan;
f. jangka waktu pemrosesan Data Pribadi; dan
g. hak Subjek Data Pribadi.
3. Klausul perjanjian, menurut Pasal 23 UU PDP, yang di dalamnya terdapat permintaan pemrosesan Data Pribadi yang tidak memuat persetujuan yang sah secara eksplisit dari Subjek Data Pribadi dinyatakan batal demi hukum.
4. Dalam melakukan pemrosesan Data Pribadi, menurut Pasal 24 UU PDP, Pengendali Data Pribadi wajib menunjukkan bukti persetujuan yang telah diberikan oleh Subjek Data Pribadi.
5. Pengendali Data Pribadi, menurut Pasal 27 UU PDP, wajib melakukan pemrosesan Data Pribadi secara terbatas dan spesifik, sah secara hukum, dan transparan.
6. Pengendali Data Pribadi, menurut Pasal 28 UU PDP, wajib melakukan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi.
7. Pengendali Data Pribadi, menurut Pasal 29 ayat (1) UU PDP, wajib memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan.
8. Pengendali Data Pribadi, menurut Pasal 31 UU PDP, wajib melakukan perekaman terhadap seluruh kegiatan pemrosesan Data Pribadi.
9. Pengendali Data Pribadi, menurut Pasal 32 ayat (1) UU PDP, wajib memberikan akses kepada Subjek Data Pribadi terhadap Data Pribadi yang diproses beserta rekam jejak pemrosesan Data Pribadi sesuai dengan jangka waktu penyimpanan Data Pribadi.
10. Dalam melakukan pemrosesan Data Pribadi, Pengendali Data Pribadi, menurut Pasal 36 UU PDP, wajib menjaga kerahasiaan Data Pribadi.
Baca Juga: Tanggung Jawab Perusahaan Startup Terhadap Venture Capitalist.
11. Pengendali Data Pribadi, menurut Pasal 37 UU PDP, wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi.
12. Pengendali Data Pribadi, menurut Pasal 38 UU PDP, wajib melindungi Data Pribadi dari pemrosesan yang tidak sah.
13. Pengendali Data Pribadi, menurut Pasal 39 ayat (1) UU PDP, wajib mencegah Data Pribadi diakses secara tidak sah.
14. Pengendali Data Pribadi, menurut Pasal 47 UU PDP, wajib bertanggung jawab atas pemrosesan Data Pribadi dan menunjukkan pertanggungjawaban dalam kewajiban pelaksanaan prinsip Pelindungan Data Pribadi.
15. Pengendali Data Pribadi, menurut Pasal 35 UU PDP, wajib melindungi dan memastikan keamanan Data Pribadi yang diprosesnya, dengan melakukan:
a. penyusunan dan penerapan langkah teknis operasional untuk melindungi Data Pribadi dari gangguan pemrosesan Data Pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan; dan
b. penentuan tingkat keamanan Data Pribadi dengan memperhatikan sifat dan risiko dari Data Pribadi yang harus dilindungi dalam pemrosesan Data Pribadi.
16. Dalam hal terjadi kegagalan Pelindungan Data Pribadi, menurut Pasal 46 ayat (1) UU PDP, Pengendali Data Pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:
a. Subjek Data Pribadi; dan
b. lembaga.
17. Pemberitahuan tertulis sebagaimana dimaksud pada Pasal 46 ayat (2) UU PDP, minimal memuat:
a. Data Pribadi yang terungkap;
b. kapan dan bagaimana Data Pribadi terungkap; dan
c. upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.
18. Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi.
Sanksi Administratif
Pelanggaran terhadap ketentuan pengendali data pribadi, menurut Pasal 57 ayat (1) dan (2) UU PDP, dikenai sanksi administratif berupa:
- peringatan tertulis;
- penghentian sementara kegiatan pemrosesan Data Pribadi;
- penghapusan atau pemusnahan Data Pribadi; dan/atau
- denda administratif.
Sanksi administratif berupa denda administratif sebagaimana dimaksud pada Pasal 57 ayat (3) UU PDP paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran serta penjatuhan sanksi administratif diberikan oleh lembaga.
Demikian pembahasan mengenai “Kewajiban Pengendali Data Pribadi Menurut Undang-Undang Pelindungan Data Pribadi”. Untuk berlangganan dan info lebih lanjut, hubungi YukLegal. Tim kami akan segera membantumu. Nantikan artikel menarik selanjutnya!
Sumber:
Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi.
Sumber Gambar:
pexels.com
Editor: Siti Faridah, S.H.