Manajemen data pribadi menjadi semakin penting dengan diberlakukannya Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). Untuk memahami manajemen data yang sesuai dengan ketentuan UU PDP tersebut, silakan simak informasi berikut.
Seiring dengan meningkatnya volume data pribadi dan sensitif secara eksponensial, risiko pelanggaran data, serangan siber, dan akses tidak sah juga mengalami peningkatan yang signifikan. Insiden-insiden semacam ini tidak hanya mengancam privasi dan keamanan individu, tetapi juga dapat menempatkan organisasi pada risiko hukum, finansial, dan reputasi yang serius.
Oleh karena itu, penting bagi setiap organisasi untuk memahami dan menerapkan prinsip-prinsip manajemen data pribadi yang efektif, sesuai dengan peraturan yang berlaku. Di Indonesia, Undang-Undang Perlindungan Data Pribadi (UU PDP) menjadi landasan utama dalam upaya melindungi data pribadi dari berbagai ancaman dan memastikan bahwa setiap entitas yang mengelola data mematuhi standar perlindungan yang telah ditetapkan.
Table of Contents
Definisi dan Ruang Lingkup Manajemen Data Pribadi di UU PDP
Dalam Undang-Undang Perlindungan Data Pribadi (UU PDP), data pribadi didefinisikan sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau nonelektronik. Ini mencakup data yang bersifat spesifik dan umum. Contoh data spesifik seperti data keuangan pribadi, biometrik, info kesehatan, genetik, dll. Sedang data yang bersifat umum yaitu nama lengkap , jenis kelamin, agama, dll.
Perlu diketahui bahwa UU PDP telah disahkan pada tanggal 17 Oktober 2022. Peraturan ini berlaku bagi pemrosesan data pribadi oleh pemerintah/sektor publik, sektor swasta, dan organisasi internasional. Namun, UU PDP tidak berlaku untuk pemrosesan data pribadi yang dilakukan oleh perorangan dalam kegiatan pribadi atau rumah tangga.
Peraturan pengelolaan data pribadi ini juga berlaku untuk pemrosesan data pribadi yang berada di wilayah hukum Indonesia serta di luar wilayah hukum Indonesia yang memiliki akibat hukum:
- di wilayah hukum Negara Republik Indonesia
- bagi Subjek Data Pribadi warga negara Indonesia di luar wilayah hukum negara Indonesia
Dengan kata lain, UU PDP tidak hanya mengatur pengelolaan data pribadi yang berada di dalam wilayah Indonesia, tetapi juga data pribadi warga negara Indonesia yang diproses di luar wilayah Indonesia. Cakupan UU PDP ini berlaku sepanjang pemrosesan data pribadi tersebut memiliki dampak hukum di Indonesia atau terhadap warga negara Indonesia.
Untuk lingkup pemrosesan data pribadi adalah sebagai berikut:
- Pemerolehan dan pengumpulan data pribadi
- Pengolahan dan penganalisisan
- Penyimpanan
- Perbaikan dan pembaruan
- Penampilan, pengumuman, transfer, penyebarluasan, atau pengungkapan.
- Penghapusan atau pemusnahan
Baca Juga: Apa Itu GDPR, Undang-Undang Perlindungan Data Pribadi Uni Eropa (UE)
Prinsip-Prinsip Pelindungan Data Pribadi
Menurut Pasal 16 Ayat 2, manajemen data pribadi harus dilakukan berdasarkan prinsip-prinsip pelindungan data pribadi sebagai berikut:
- Pengumpulan data pribadi dilakukan secara terbatas dan spesifik, sah secara hukum, dan transparan.
- Pemrosesan data pribadi dilakukan sesuai dengan tujuannya.
- Pemrosesan data pribadi dilakukan dengan menjamin subjek data pribadi.
- Pemrosesan data pribadi dilakukan secara akurat, lengkap, tidak menyesatkan, mutakhir, dan dapat dipertanggungjawabkan.
- Pemrosesan data pribadi dilakukan dengan melindungi keamanan data pribadi dari pengaksesan yang tidak sah, pengungkap yang tidak sah, pengubahan yang tidak sah, penyalahgunaan, perusakan, dan/atau penghilangan data pribadi.
- Pemrosesan data pribadi dilakukan dengan memberitahukan tujuan dan aktivitas pemrosesan, serta kegagalan pelindungan data pribadi.
- Data pribadi dimusnahkan dan/atau dihapus setelah masa retensi berakhir atau berdasarkan permintaan subjek data pribadi, kecuali ditentukan lain oleh peraturan perundang-undangan.
- Pemrosesan data pribadi dilakukan secara bertanggung jawab dan dapat dibuktikan secara jelas.
Baca Juga: Mengenal Beragam Undang-Undang Privasi di AS
Kewajiban Pengendali Data Pribadi dalam Manajemen Data
Pengendali Data Pribadi adalah pihak yang bertanggung jawab atas pengendalian dan pengelolaan data pribadi. Jika merujuk pada Pasal 1 UU PDP ayat 4 dan 5, pengendali data pribadi didefinisikan sebagai setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan data pribadi.
Dalam proses manajemen data pribadi, pengendali data memiliki beragam kewajiban. Secara garis besar beberapa kewajiban tersebut adalah sebagai berikut:
1. Memastikan Kepatuhan terhadap Prinsip-Prinsip Perlindungan Data Pribadi
- Data pribadi harus diproses secara sah, adil, dan transparan.
- Data harus dikumpulkan untuk tujuan yang spesifik, eksplisit, dan sah serta tidak diproses lebih lanjut dengan cara yang tidak sesuai dengan tujuan tersebut.
- Data yang dikumpulkan harus relevan, terbatas, dan proporsional dengan kebutuhan pemrosesan.
- Data harus akurat dan, jika perlu, diperbarui.
2. Mendapatkan Persetujuan yang Sah
Pengendali Data harus mendapatkan persetujuan dari subjek data sebelum mengumpulkan dan memproses data pribadi mereka, kecuali ada dasar hukum lain yang membolehkan pemrosesan data tanpa persetujuan.
3. Melindungi Keamanan Data Pribadi
Pengendali Data harus menerapkan langkah-langkah yang memadai untuk melindungi data pribadi dari kehilangan, penyalahgunaan, akses tidak sah, pengungkapan, pengubahan, dan penghancuran.
4. Memberikan Hak kepada Subjek Data
Pengendali Data harus menghormati hak-hak subjek data, termasuk hak untuk mengakses, memperbaiki, menghapus, dan memindahkan data pribadi mereka.
5. Melaporkan Insiden Keamanan Data
Pengendali Data wajib melaporkan setiap insiden keamanan data pribadi.
6. Menyediakan Informasi yang Jelas dan Mudah Diakses
Pengendali Data harus memberikan informasi yang jelas dan mudah diakses kepada subjek data mengenai bagaimana data mereka akan dikumpulkan, digunakan, dan dilindungi.
7. Menunjuk Pejabat PDP
Pengendali Data diwajibkan untuk menunjuk Petugas atau Pejabat Pelindungan Data Pribadi.
8. Menyimpan Catatan Pemrosesan Data
Pengendali Data harus menyimpan catatan mengenai kegiatan pemrosesan data pribadi yang mereka lakukan, termasuk tujuan pemrosesan, kategori data yang diproses, dan penerima data tersebut.
Baca Juga: Kasus Kebocoran Data di Indonesia Masih Marak, Perusahaan Wajib Taati UU PDP!
Patuhi UU PDP dan Hindari Sanksi dengan Jasa Penetration Testing LOGIQUE
Untuk memastikan kepatuhan terhadap Undang-Undang Pelindungan Data Pribadi (UU PDP) dan menghindari sanksi pelanggaran, penting bagi perusahaan untuk mengamankan data pribadi yang mereka kelola. Salah satu cara efektif untuk melakukannya adalah dengan menggunakan jasa penetration testing dari LOGIQUE. Dengan memanfaatkan solusi keamanan siber LOGIQUE, kami dapat membantu perusahaan Anda dalam mengidentifikasi, memperbaiki, dan mencegah serangan siber yang dapat membahayakan data pribadi yang Anda kelola.
Hubungi kami melalui WhatsApp di 0811-870-321 atau melalui telepon di (021) 22708935 / 36 untuk penjelasan lebih lanjut. Kami siap membantu meningkatkan pertahanan siber sistem Anda di era digital.