Melanjutkan bagian pertama dari seri empat bagian Indonesian Law Digest(“ILD”) yang membahas tentang pelindungan data pribadi (“Data”) yang mencakup klasifikasi Data dan hak subyek Data (“Subyek”), bagian kedua ini akan memberikan analisis mengenai berbagai hal yang berkaitan dengan pemrosesan Data (“Pemrosesan”), termasuk para pihak yang terlibat, termasuk pengendali Data (“Pengendali”), prosesor Data (“Prosesor”), Subyek dan pejabat atau petugas data pribadi (Data Protection Officers – “DPO”).
Edisi ILD kali ini merujuk pada Undang-Undang Pelindungan Data Pribadi (“UU PDP”), yang diterbitkan melalui situs web resmi Dewan Perwakilan Rakyat pada tanggal 20 September 2022, serta General Data Protection Regulation (“GDPR”) Uni Eropa, yang juga mencakup sejumlah wawasan yang diperoleh dari praktisi Data yang beroperasi di Indonesia.
Sehubungan dengan analisis keseluruhan dari isu pelindungan Data ini, tim legal research and analysis Hukumonline juga telah menyusul dua analisis lanjutan mengenai topik ini yang akan dirilis di dua minggu selanjutnya sebagai bagian dari seri empat bagian ini. Kedua analisis tersebut akan fokus membahas:
Untuk bagian kedua dari seri empat bagian ILD yang rilis minggu ini, kami membagi pembahasannya dengan pembagian sebagai berikut:
Sebagai rangkuman topik Pengendali dan Prosesor yang sebelumnya ditampilkan dalam bagian pertama edisi ILD ini, bagian ini memberikan penjelasan mengenai berbagai pihak yang terlibat dalam kegiatan Pemrosesan, yaitu:[1]
Dalam UU PDP, Pengendali, Prosesor dan DPO diberikan karakteristik dan peran tertentu berkaitan dengan kegiatan Pemrosesan, sebagaimana dijelaskan dalam tabel di bawah ini:
Pihak |
Karakteristik |
Peran Pemrosesan |
Pengendali |
Pihak-pihak berikut dapat menjadi Pengendali atau Prosesor:[2]
|
Pengendali wajib bertanggung jawab atas Pemrosesan dan menunjukkan pertanggungjawaban dalam pemenuhan kewajiban pelaksanaan prinsip pelindungan Data.[3] |
Prosesor |
Prosesor wajib melakukan Pemrosesan berdasarkan perintah dari Pengendali yang menunjuknya sebagai Prosesor. Maka dari itu, Pengendali bertanggung jawab atas Pemrosesan kecuali jika Prosesor bertindak di luar perintah dan tujuan Pemrosesan yang diberikan oleh Pengendali.[4] |
|
DPO |
Dapat berasal dari dalam dan/atau luar Pengendali dan/atau Prosesor yang bersangkutan.[5] |
Melaksanakan fungsi pelindungan Data, sebagaimana yang telah dijelaskan di sub-bab edisi ILD ini.[6] |
Walaupun tidak ada parameter dalam UU PDP yang dapat digunakan untuk membedakan entitas yang dapat dikategorikan sebagai Pengendali atau Prosesor, terkecuali yang telah disebutkan di atas, Satriyo Wibowo, salah satu pengurus International Association of Privacy Professionals chapter Indonesia, menjelaskan bahwa ada beberapa indikator yang dapat membantu dalam menentukan status sebuah entitas dalam kegiatan Pemrosesan. Indikator tersebut adalah:[7]
Pihak |
Indikator |
Penjelasan |
Pengendali |
Mencakup:
|
Mencakup:
|
Prosesor |
Mencakup:
|
Lembaga pemerintah (Pengendali) yang menunjuk penyelenggara (Prosesor) untuk memperoleh dan mengolah Data berkaitan dengan acara yang akan diikuti oleh pegawai lembaga tersebut (Subyek). |
Di luar contoh-contoh yang disebutkan di atas, Satriyo Wibowo juga menjelaskan bahwa dalam kerangka pelindungan Data yang diatur dalam UU PDP, perusahaan dan anak perusahaannya tidak diklasifikasikan sebagai pihak yang sama karena secara hukum dikategorikan sebagai entitas yang berbeda.[8] Selain itu, Satriyo Wibowo juga menegaskan bahwa ketika mengklasifikasikan suatu entitas sebagai Pengendali atau Prosesor, hal ini harus dilihat dalam konteks yang relevan dengan proses bisnis yang berhubungan dengan Pemrosesan, karena kemungkinan besar suatu entitas dapat memiliki peran sebagai baik Pengendali maupun Prosesor dalam satu waktu bersamaan melalui pelaksanaan jenis kegiatan Pemrosesan yang berbeda.[9]
Mengacku kepada UU PDP, kegiatan Pemrosesan activities dapat dilakukan oleh dua atau lebih Pengendali sesuai dengan persyaratan minimum berikut:[10]
Satriyo Wibowo dalam wawancaranya juga menekankan bahwa perjanjian Pengendali bersama berbeda dengan hubungan Pengendali – Prosesor dan perjanjian yang dibuat antara para pihak yang berkontrak akan menentukan apakah hubungan tersebut diklasifikasikan sebagai skema Pengendali bersama atau skema Pengendali – Prosesor biasa.[11] Berikut kami sertakan studi kasus umum yang akan memberikan gambaran yang lebih jelas dalam membedakan kedua skema yang telah dijelaskan di atas:
Studi Kasus |
Penjelasan |
Lokapasar A berkontrak dengan Bank B dengan kontrak kemitraan yang menjadikan Bank B sebagai mitra pembayaran resmi untuk transaksi yang dibuat melalui Lokapasar A. dalam konteks kontrak kemitraan ini, telah ditetapkan bahwa baik Lokapasar A maupun Bank B akan menentukan secara bersama-sama Data mana yang akan diambil dari calon pelanggannya sebagai Subyek dan bagaimana cara memroses Data terkait. |
Berdasarkan studi kasus ini, jelas bahwa pengaturan ini dapat dikategorikan sebagai skema Pengendali bersama, dimana baik Lokapasar A maupun Bank B dianggap setara sebagai Pengendali, yang artinya kedua entitas tersebut memiliki kewenangan yang sama untuk menentukan Data mana yang akan menjadi obyek Pemrosesan, serta bagaimana Pemrosesan itu sendiri akan dilakukan. |
Klinik A, yang bergerak di sektor layanan kesehatan, memperoleh, mengumpulkan dan menganalisa Data yang diperoleh dari pasiennya. Dengan menggunakan komponen Data yang diperoleh Klinik A, Perusahaan B memberikan layanan analisa dan penyimpanan Data dan telah dipekerjakan oleh Klinik A untuk membantu dalam melakukan Pemrosesan Data para pasiennya. Dalam kontrak antara Klinik A dan Perusahaan B, telah ditetapkan bahwa Perusahaan B akan melakukan Pemrosesan untuk dan atas nama Klinik A dan bahwa kegiatan Pemrosesan yang dilakukan wajib berdasarkan arahan eksplisit dan tertulis dari Klinik A. |
Berdasarkan studi kasus ini, jelas bahwa pengaturan ini dapat dikategorikan sebagai skema Pengendali – Prosesor biasa, dimana Klinik A sebagai Pengendali menentukan bagaimana dan apa saja Data yang akan diproses oleh Perusahaan B sebagai Prosesor yang akan melakukan kegiatan Pemrosesan berdasarkan arahan eksplisit dari Klinik A. |
Dalam kegiatan Pemrosesan, Pengendali dan Prosesor[12] diamanatkan untuk menunjuk DPO dalam kondisi tertentu. Kondisi tersebut kami rangkum dalam ilustrasi di bawah ini:[13]
Meskipun UU PDP tidak menjelaskan lebih lanjut terkait Data skala besar yang disebutkan di atas, Satriyo Wibowo menjelaskan bahwa hal tersebut akan diatur secara detail di peraturan pelaksana yang akan datang. Namun, beliau juga menjelaskan dalam wawancaranya bahwa Data skala besar tersebut kemungkinan besar dapat ditententukan berdasarkan faktor-faktor berikut:[14]
Selain itu, UU PDP juga menetapkan sejumlah aspek umum yang menjadi tanggung jawab DPO, yaitu:
Aspek DPO |
Penjelasan |
Kualifikasi[15] |
DPO ditunjuk dengan mempertimbangkan faktor-faktor berikut:
|
Tanggung jawab[16] |
Mencakup paling tidak peran-peran berikut:
|
Perlu juga dicatat bahwa ketika melaksanakan tugas-tugas di atas, DPO wajib memperhatikan risiko terkait Pemrosesan dengan mempertimbangkan sifat, ruang lingkup, konteks dan tujuan Pemrosesan.[17]
Meskipun tidak ada penjelasan eksplisit mengenai definisi Pemrosesan, UU PDP menegaskan bahwa hal tersebut berkaitan dengan kegiatan-kegiatan terkait Data berikut ini:[18]
Terdapat beberapa prinsip yang wajib diikuti dalam melakukan kegiatan-kegiatan di atas, beberapa prinsip tersebut adalah:[19]
Prinsip |
Penjelasan |
Terbatas dan spesifik |
Pengumpulan Data dilakukan secara terbatas dan spesifik, serta sah secara hukum dan transparan. |
Tujuan |
Pemrosesan dilakukan sesuai dengan tujuan awalnya. |
Hak Subyek |
Pemrosesan wajib menjamin hak Subyek yang bersangkutan. |
Akurasi |
Pemrosesan dilakukan secara akurat, lengkap dan tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan. |
Pelindungan |
Pemrosesan dilakukan dengan menjaga keamanan Data dan melindungi Data dari pengaksesan yang tidak sah, pengungkapan yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan dan/atau penghilangan. |
Informasi |
Pemrosesan dilakukan dengan memberitahukan kepada pihak terkait mengenai tujuan dan aktivitas yang mendasari Pemrosesan, serta kegagalan pelindungan Data. |
Penghapusan |
Data dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan yang diajukan oleh Subyek yang bersangkutan, kecuali ketika dintentukan lain oleh peraturan perundang-undangan. |
Tanggung jawab |
Pemrosesan dilakukan secara bertanggung jawab dan dapat dibuktikan dengan jelas. |
Selain hal-hal yang disebutkan di atas, UU PDP juga menegaskan bahwa alat pemroses atau pengolah data visual (secara bersama-sama disebut sebagai “Alat”) harus dipasang di tempat umum dan/atau fasilitas pelayanan publik dan beroperasi sesuai dengan ketentuan berikut:[20]
Terkait Alat yang dijelaskan sebelumnya, Satriyo Wibowo mengonfirmasi melalui wawancaranya bahwa Alat itu sendiri mengacu pada sistem closed-circuit television (CCTV) yang mampu melakukan fungsi pengenalan wajah.[21] Walaupun tujuan tersebut tidak diperbolehkan, Alat tersebut dapat digunakan untuk tujuan identifikasi yang dapat dikategorikan dalam kepentingan sah lainnya sebagai salah satu dasar Pemrosesan yang tersedia, contohnya untuk presensi pegawai.[22] Namun, perlu digarisbawahi bahwa ketentuan di atas (yang diberikan tanda bintang) tidak berlaku untuk tujuan pencegahan tindak kriminal dan proses penegakan hukum, yang dilakukan berdasarkan peraturan perundang-undangan terkait.[23]
Pada intinya, kegiatan Pemrosesan dilakukan berdasarkan faktor-faktor tertentu, sebagaiman telah diatur dalam UU PDP. Detail mengenai faktor-faktor resebut dijelaskan dalam tabel di bawah ini:[24]
Dasar Pemrosesan |
Penjelasan |
Contoh |
Persetujuan yang sah secara eksplisit |
Diberikan oleh Subyek terkait untuk satu atau beberapa tujuan tertentu yang telah diberitahukan oleh Pengendali kepada Subyek tersebut. |
Tab persetujuan atau tab pengolahan cookie pada situs web.[25] |
Pemenuhan kewajiban perjanjian |
Jika Subyek adalah pihak dalam perjanjian atau untuk memenuhi permintaan Subyek saat akan melakukan perjanjian. |
Wajib ditetapkan dalam perjanjian yang bersangkutan. |
Pemenuhan kewajiban hukum Pengendali |
Dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan. |
|
Pemenuhan pelindungan kepentingan vital Subyek |
Kepentingan vital Subyek mengacu pada moralitas Subyek. |
Pemrosesan yang diperlukan terkait perawatan medis serius. |
Pelaksanaan tugas dalam rangka kepentingan umum, pelayanan publik atau pelaksanaan kewenangan Pengendali |
Dilaksanakan sesuai dengan ketentuan peraturan perundang-undangan. |
Pengadministrasian Data kependudukan, izin mengemudi dan/atau pemilihan umum. |
Pemenuhan kepentingan sah lainnya |
Mencakup tujuan, kebutuhan dan keseimbangan kepentinganPengendali dan hak Subyek |
Termasuk:[26]
|
Sehubungan dengan “persetujuan” dan “kewajiban kontrak”, Satriyo Wibowo pada wawancaranya dengan Hukumonline menyatakan bahwa salah satu unsur penentu dalam membedakan area-area tersebut adalah kemampuan Subyek tersebut untuk meminta pelaksanaan haknya untuk mencabut persetujuan yang sebelumnya telah diberikan.[27] Sebaliknya, untuk dapat mundur dari Pemrosesan yang telah didasari perjanjian, Subyek wajib mematuhi klausula-klausula yang telah ditetapkan dalam kontrak tersebut.[28]
Selain itu, karena persetujuan Subyek adalah salah satu hal penting yang berkaitan dengan kegiatan Pemrosesan, penilaian mandiri mendasar berikut dapat membantu anda atau entitas anda dalam menentukan bahwa persetuju dibutuhkan terkait Pemrosesan, serta pihak yang berhak memberikan persetujuan tersebut:
Pertanyaan 1 |
Apakah anda atau entitas anda melakukan kegiatan suatu Pemrosesan? |
Ya: Lanjutkan ke Pertanyaan 2
Tidak: Dapat disimpulkan bahwa anda atau entitas anda tidak memerlukan persetujuan dari Subyek |
Pertanyaan 2 |
Apakah anda atau entitas anda melakukan suatu Pemrosesan Data spesifik? |
Ya: Lanjutkan ke Pertanyaan 3
Tidak: Lanjutkan ke Pernyataan 4 |
Pertanyaan 3 |
Apakah anda atau entitas anda melakukan suatu Pemrosesan Data yang berkaitan dengan anak-anak dan/atau penyandang disabilitas? |
Ya: Anda memerlukan persetujuan dari orang tua/wali dari anak tersebut dan/atau dari penyandang disabilitas tersebut/walinya.
Tidak: Lanjutkan ke Pernyataan 4 |
Pernyataan 4 |
Anda dan entitas anda membutuhkan persetujuan yang diberikan oleh Subyek yang bersangkutan. Namun, selain mendapatkan persetujuan, terdapat dasar-dasar Pemrosesan lainnya yang dijelaskan dalam tabel di atas. |
Perlu juga diingat bahwa Pengendali wajib dapat memberikan bukti atas persetujuan yang telah diberikan Subyek.[29]
Dalam UU PDP, terdapat beberapa ketentuan yang mengatur tentang persetujuan. Ketentuan-ketentuan tersebut kami rangkum dalam tabel di bawah ini:
No. |
Aspek |
Penjelasan |
1 |
Bentuk persetujuan[30] |
Wajib berbentuk tulisan atau rekaman suara.[31] |
2 |
Penyampaian persetujuan[32] |
Persetujuan tersebut disampaikan secara elektronik atau nonelektronik.[33] |
3 |
Informasi yang diperlukan dalam persetujuan[34] |
Dalam persetujuan wajib memiliki informasi di bawah ini:
Perlu dicatat bahwa Pengendali wajib memberitahukan kepada Subyek jika terdapat perubahan informasi yang disebutkan di atas ebelum perubahan tersebut dilakukan. |
4 |
Tujuan lain Pemrosesan[35] |
Jika persetujuan memiliki tujuan lain, maka permintaan persetujuan wajib memenuhi ketentuan berikut:
|
5 |
Kondisi yang membuat persetujuan menjadi batal demi hukum[36] |
Jika kondisi di bawah ini terjadi:
|
UU PDP menetapkan sejumlah kewajiban yang wajib dipenuhi Pengendali dan Prosesor dalam melindungi Data Subyek. Tidak terpenuhinya kewajiban tersebut dapat dijatuhi sanksi administratif oleh lemnaga pelindungan Data (“Lembaga”).[38]
Sanksi administratif tersebut berupa: 1) Peringatan tertulis; 2) Penghentian sementara kegiatan Pemrosesan; 3) Penghapusan atau pemusnahan Data; dan/atau 4) Denda administratif.[39]
Tabel di bawah ini menjelaskan secara ringkas kewajiban Pengendali dan/atau Prosesor yang ditetapkan oleh UU PDP, serta pihak-pihak yang bertanggung jawab jika terdapat pelanggaran terhadap kewajiban yang dapat mengakibatkan dijatuhinya sanksi administratif:[40]
Kewajiban Pengendali dan/atau Prosesor |
Pihak/Para Pihak yang Bertanggung Jawab atas Pelanggaran |
|
Pengendali |
Prosesor |
|
Memiliki dasar Pemrosesan |
√ |
|
Memberikan informasi lebih lanjut terkait Pemrosesan (seperti legalitas, tujuan, periode, dsb. |
√ |
|
Memberitahukan kepada Subyek perubahan atas informasi yang berkaitan dengan Pemrosesan |
√ |
|
Memberikan bukti persetujuan yang diberikan Subyek |
√ |
|
Memperoleh persetujuan orang tua/wali dari anak yang Datanya diproses |
√ |
|
Memperoleh persetujuan dari wali penyandang disabilitas yang Datanya diproses |
√ |
|
Memroses Data secara terbatas dan spesifik, sah secara hukum, dan transparan |
√ |
|
Memroses Data sesuai dengan tujuan awal |
√ |
|
Memastikan akurasi Data |
√ |
√ |
Memperbarui dan/atau memperbaiki kesalahan/ketidakakuratan Data dalam waktu 3 x 24 jam sejak Pengendali menerima permintaan perbaikan |
√ |
|
Memberitahukan Subyek hasil dari perbaruan dan/atau perbaikan Data |
√ |
|
Merekam seluruh kegiatan pemrosesan Data |
√ |
√ |
Memberikan akses ke Data yang diproses kepada Subyek Data dalam waktu 3 x 24 jam sejak Pengendali menerima permintaan akses, beserta rekam jejaknya |
√ |
|
Menolak perubahan yang dilakukan kepada Data Subyek jika berkaitan dengan hal-hal berikut: 1) Perubahan yang membahayakan keamanan, kesehatan fisik, atau kesehatan mental Subjek dan/atau orang lain; 2) Perubahan yang berdampak pada pengungkapan Data orang lain; dan/atau 3) Perubahan yang bertentangan dengan keamanan nasional |
√ |
|
Melakukan penilaian terhadap Pemrosesan terkait potensi Pemrosesan tersebut memiliki risiko tinggi terhadap Subyek[41] |
√ |
|
Melindungi dan menjamin keamanan Data yang diproses[42] |
√ |
√ |
Menjaga kerahasiaan Data yang diproses |
√ |
√ |
Mengawasi semua pihak yang terlibat di Pemrosesan |
√ |
√ |
Melindungi dari Pemrosesan tidak sah |
√ |
√ |
Mencegah Pemrosesan tidak sah |
√ |
√ |
Menghentikan/menunda dan membatasi Pemrosesan jika diminta Subyek dalam waktu 3 x 24 jam setelah permintaan tersebut diterima Pengendali[43] |
√ |
|
Memberitahukan kepada Subyek terkait penundaan dan pembatasan Pemrosesan |
√ |
|
Mengakihir Pemrosesan dalam hal: 1) Telah melewati masa retensi; 2) Tujuannya telah tercapai; dan/atau 3) Diminta oleh Subyek |
√ |
|
Menghapus Data dalam hal: 1) Data tidak lagi diperlukan; 2) Data ditarik kembali oleh Subyek/diminta oleh Subject; dan/atau 3) Data diperoleh dan diproses secara tidak sah |
√ |
|
Memusnahkan Data dalam hal: 1) Periode retensi telah lewat dan Data dijadwalkan untuk dimusnahkan; 2) Diminta oleh Subyek; 3) Data tidak berkaitan dengan penyelesaian proses hukum suatu perkara; dan/atau 4) Data diperoleh dan/atau diproses secara tidak sah |
√ |
|
Memberitahukan terkait penghapusan dan/atau pemusnahan Data |
√ |
|
Dalam hal terjadi kegagalan pelindungan Data,[44] Pengendali wajib memberitahukan Subyek dalam waktu 3 x 24 jam |
√ |
|
Bertanggung jawab atas seluruh Pemrosesan |
√ |
|
Memberitahukan Subyek terkait pengalihan Data yang dilakukan sebagai akibat dari aksi korporasi[45] yang dilakukan Pengendali |
√ |
|
Melaksanakan perintah Lembaga terkait penyelenggaraan pelindungan Data |
√ |
√ |
Melakukan Pemrosesan sesuai dengan perintah Pengendali |
√ |
√ |
Memperoleh persetujuan tertulis ari Pengendali sebelum melibatkan Prosesor lain |
√ |
√ |
Menunjuk DPO untuk kegiatan-kegiatan berikut: 1) Pemrosesan Data terkait pelayanan publik; 2) Kegiatan inti Pengendali memiliki sifat, ruang lingkup, dan/atau tujuan yang memerlukan pemantauan secara teratur dan sistematis atas Data dengan skala besar; dan 3) Kegiatan inti Pengendali terdiri dari pemrosesan Data dalam skala besar untuk Data yang bersifat spesifik dan/atau Data yang berkaitan dengan tindak pidana. |
√ |
√ |
Transfer Data dilakukan sesuai dengan ketentuan yang ditetapkan dalam UU PDP |
√ |
|
Perlu dicatat bahwa kewajiban Pengendali, yang dijelaskan dalam tabel di atas, tidak berlaku untuk tujuan berikut:[46]
Akan tetapi, pengecualian tersebut hanya berlaku untuk pelaksanaan tertentuyang ditetapkan dalam peraturan perundang-undangan.
Dalam praktiknya, kerja sama antara Pengendali dan Prosesor atau antar Pengendali dilakukan berdasarkan perjanjian. Namun, karena UU PDP tidak memiliki ketentuan yang secara khusus mengatur tentang hal tersebut, ketentuan yang mengatur mengenai penyusunan Perjanjian Pelindungan Data (“PPD”) dapat dipelajari dengan melihat kerangka mengenai GDPR yang sudah ada saat ini.
Bagian selanjutnya menjelaskan berbagai aspek umum yang wajib ditetapkan dalam PPD ketika Pengendali memutuskan untuk menggunakan jasa Pemrosesan yang diberukan oleh Prosesor, serta jika Prosesor memutuskan untuk menggunakan sub-Prosesor untuk membantunya dalam melakukan kegiatan Pemrosesan (setelah terlebih dahulu mendapatkan persetujuan tertulis dari Pengendali yang bersangkutan).[47] Aspek umum tersebut telah kami ringkas dalam tabel di bawah ini:[48]
Aspek PPD |
Penjelasan |
Isi |
Mencakup paling tidak elemen-elemen berikut:
|
Klausula |
Mencakup paling tidak elemen-elemen berikut:
|
(KS)
[1] Pasal 1 (4 - 6) dan 53 (2), UU PDP.
[2] Pasal 19, UU PDP.
[3] Pasal 47, UU PDP.
[4] Pasal 51 (1 - 3) dan 6), UU PDP.
[5] Pasal 53 (3), UU PDP.
[6] Pasal 53 (2), UU PDP.
[7] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[8] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[9] Sebagai contoh, meskipun Perusahaan A dapat dikategorikan sebagai Prosesor karena telah ditunjuk oleh perusahaan lain untuk melakukan Pemrosesan atas nama penunjuk, Perusahaan A juga dikategorikan sebagai Pengendali dalam konteks memperoleh dan mengelola Data pegawainya.
[10] Pasal 18, UU PDP.
[11] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[12] Sebagaimana yang telah disebutkan sebelumnya, kewajiban untuk menunjuk DPO wajib dipenuhi, tanpa menghiraukan individu atau entitas tersebut diklasifikasikan sebagai Pengendali ataupun Processor dalam konteks porses usaha yang berbeda. (Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022).
[13] Pasal 53 (1), UU PDP.
[14] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[15] Pasal 53 (2), UU PDP.
[16] Pasal 54 (1), UU PDP.
[17] Pasal 54 (2), UU PDP.
[18] Pasal 16 (1), UU PDP.
[19] Pasal 16 (2), UU PDP.
[20] Pasal 17, UU PDP.
[21] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[22] Ibid.
[23] Pasal 17 (2), UU PDP.
[24] Pasal 20 (1 - 2) dan penjelasannya, UU PDP.
[25] Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022.
[26] Ibid.
[27] Ibid.
[28] Ibid.
[29] Pasal 24, UU PDP.
[30] Pasal 22 (1), UU PDP.
[31] Kedua bentuk persetujuan memiliki kekuatan hukum yang sama (Pasal 22 [3], UU PDP).
[32] Pasal 22 (2), UU PDP.
[33] Salah satu contoh penyampaian persetujuan nonelektronik adalah pelamar kerja yang secara suka rela mengirimkan yang mengandung Datanya kepada perusahaan melalui jasa pos. Dalam hal ini, penyampaian tersebut diklasifikasikan sebagai penyampaian persetujuan nonelektronik (Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022).
[34] Pasal 21, UU PDP.
[35] Pasal 22 (4), UU PDP.
[36] Pasal 22 (5) and 23, UU PDP.
[37] Dalam hal ini, secara umum, perjanjian yang meminta Pemrosesan tanpa meminta persetujuan dianggap batal demi hukum. Namun, dalam keadaan dimana persetujuan tidak memberikan efek yang signifikan terhadap pelaksanaan perjanjian, maka hanya klausula yang membutuhkan persetujuan yang akan dianggap batal demi hukum (Berdasarkan wawancara dengan Satriyo Wibowo yang dilakukan pada tanggal 30 September 2022).
[38] Pasal 57 (1), UU PDP.
[39] Pasal 57 (2), UU PDP.
[40] Pasal 20 (1), 21, 24, 25 (2), 26 (3), 27, 28, 29, 30, 31, 32 (1), 33, 34 (1), 35, 36, 37, 38, 39 (1), 40 (1), 41 (1) and (3), 42 (1), 43 (1), 44 (1), 45, 46 (1) and (3), 47, 48 (1), 49, 51 (1) and (5), 52, 53 (1), 55 (2), 56 (2 - 4) and 57, UU PDP.
[41] “Risiko tinggi” mengacu kepada kegiatan berikut: 1) Pengambilan keputusan secara otomatis yang memiliki akibat hukum atau dampak yang signifikan terhadap Subject terkait; 2) Pemrosesan Data spesifik; 3) Pemrosesan Data berskala besar; 4) Pemrosesan for untuk kegiatan evaluasi, penskoran, atau pemantauan yang sistematis terhadap Subyek; 5) Pemrosesan untuk kegiatan pencocokan atau penggabungan sekelompok Data; 6) Penggunaan teknologi baru dalam Pemrosesan; dan/atau 7) Pemrosesan Data yang membatasi pelaksanaan hak Subyek. (Pasal 34 [2], UU PDP)
[42] Pelindungan tersebut dilakukan melalui tindakan berikut: 1) Penyusunan dan penerapan langkah teknis operasional untuk melindungi Data dari gangguan Pemrosesan yang bertentangan dengan ketentuan peraturan perundang-undangan; dan 2) Penentuan tingkat keamanan Data dengan memperhatikan sifat dan risiko dari Data yang harus dilindungi dalam Pemrosesan. (Pasal 35, UU PDP)
[43] Permintaan penundaan/pembatasan tidak dapat dilakukan dalam keadaan berikut: 1) Jika terdapa ketentuan yang ditetapkan dalam peraturan perundang-undangan yang membuat penundaan/pembatasan tidak dapat dilakukan; 2) Jika penundaan/pembatasan membahayakan keamanan pihak lain; dan/atau 3) Jika Subyek terkait, dalam perjanjian dengan Pengendali, membuat tidak mungkinnya dilakukan penundaan/pembatasan. (Pasal 41 [2], UU PDP)
[44] Kegagalan pelindungan Data mengacu pada kegagalan menjaga kerahasiaan, integritas dan ketersediaan Data, termasuk pelanggaran keamanan Data yang disengaja maupun tidak disengaja yang mengakibatkan kebocoran Data (penjalasan Pasal 46 [1], UU PDP).
[45] Aksi korporasi megacu kepada Pengendali berbentuk badan hukum yang melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran (Pasal 48 [1 - 2], UU PDP).
[46] Pasal 50, UU PDP.
[47] Pasal 28 (1 - 2), GDPR.
[48] Information Commissioner’s Office, “Contracts”, yang diakses melalui: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/contracts/ pada 30 September 2022.