Pengelolaan Data Pribadi menjadi salah satu aspek yang sangat krusial bagi kelangsungan serta reputasi dari suatu perusahaan. Diperlukan suatu pengaturan yang tepat mengenai Kebijakan Pelindungan Data Pribadi atau Data Protection Policy yang menjadi aturan internal ataupun pedoman internal bagi suatu perusahaan dalam konteks Pelindungan data. Pengendali Data Pribadi yang mengumpulkan, menyimpan, dan memproses berbagai jenis Data Pribadi yang dapat mencakup informasi pribadi, transaksi, atau data sensitif lainnya perlu untuk memiliki komitmen untuk melindungi privasi data tersebut dengan penuh hormat dan kehati-hatian. Oleh karena itu, pengaturan yang tepat mengenai Kebijakan Pelindungan Data Pribadi atau Data Protection Policy menjadi sangat penting untuk memastikan bahwa Data Pribadi tersebut dikelola secara efisien dan aman, serta mematuhi regulasi yang berlaku.

Definisi dan Prinsip Kebijakan Pelindungan Data Pribadi (Data Protection Policy)

Kebijakan Pelindungan Data Pribadi (Data Protection Policy) merupakan kebijakan internal Pengendali Data Pribadi yang menguraikan cara suatu Pengendali Data Pribadi dalam melindungi, mengumpulkan, memanfaatkan, menyimpan, mengelola, hingga mendistribusikan data, dengan tujuan untuk meningkatkan transparansi serta memastikan kepatuhan terhadap peraturan perundang-undangan yang berlaku. Dalam penyusunan Data Protection Policy tersebut, Pengendali Data Pribadi diharapkan mampu mengaplikasikan prinsip maupun asas-asas yang diamanatkan dalam Pasal 3 Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (“UU 27/2022”) sebagai berikut:

1. pelindungan;
2. kepastian hukum;
3. kepentingan umum;
4. kemanfaatan;
5. kehati-hatian;
6. keseimbangan;
7. pertanggungjawaban; dan
8. kerahasiaan

Pasal 1 angka 1 UU 27/2022 mendefinisikan Data Pribadi sebagai data tentang orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya baik secara langsung maupun tidak langsung melalui sistem elektronik atau non-elektronik. Data tersebut yang kemudian akan dikendalikan oleh Pengendali Data Pribadi. Dalam hal ini, Pengendali Data Pribadi dapat menginstruksikan pemrosesan data tersebut kepada Prosesor Data Pribadi sehingga Prosesor Data Pribadi akan memproses data tersebut atas nama Pengendali Data Pribadi.

Ruang Lingkup Data Protection Policy

1. Tujuan

Tujuan dari Data Protection Policy adalah untuk mendukung UU 27/2022, Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik beserta perubahannya, serta semua undang-undang nasional yang relevan lainnya. Pengendali Data Pribadi harus memahami bahwa pelindungan data merupakan hak fundamental dan menganut prinsip-prinsip pelindungan data sehingga Pengendali Data Pribadi wajib untuk mengatur terkait prinsip pelindungan data dan komitmen perusahaan terhadap hukum serta memiliki prosedur untuk pelindungan data.

Data Protection Policy hadir untuk memastikan bahwa Pengendali Data Pribadi dan Prosesor Data Pribadi mematuhi hukum Pelindungan data dan mengikuti praktik yang baik, melindungi hak-hak pegawai, pelanggan, serta mitra. Pengendali Data Pribadi wajib terbuka tentang cara menyimpan dan memproses data, serta melindungi dari potensi risiko pelanggaran data. Oleh karena itu, Pengendali Data Pribadi wajib berkomitmen untuk melakukan pemrosesan data pribadi secara adil dan sah,  untuk tujuan-tujuan tertentu yang sah dengan secara cukup, relevan dan tidak berlebihan, akurat dan selalu terkini, tidak ditahan lebih lama dari yang diperlukan, diproses sesuai dengan hak subjek data, dilindungi dengan cara yang tepat, serta tidak boleh dipindahkan ke luar wilayah Republik Indonesia, kecuali negara atau wilayah tersebut juga memastikan tingkat Pelindungan yang memadai. Pencantuman Tujuan yang jelas dalam Data Protection Policy ini juga sesuai dengan Pasal 16 jo. Pasal 20 jo. Pasal 28 UU 27/2022 yang mengatur bahwa Pengendali Data Pribadi wajib melakukan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi serta Pengendali Data Pribadi wajib memiliki dasar yang cukup untuk melakukan pemrosesan Data Pribadi.

Adapun berikut ini adalah contoh lingkup Pengaturan terkait dengan Tujuan dalam Data Protection Policy:

1. Penegasan bahwa Pengendali Data Pribadi mendukung pelaksanaan dari peraturan yang mengatur terkait dengan Pelindungan Data Pribadi
2. Penegasan bahwa Pengendali Data Pribadi melindungi hak dari karyawan, pelanggan dan juga mitra bisnis;
3. Penjelasan dari Pengendali Data Pribadi terkait dengan tata cara penyimpanan dan pemrosesan Data Pribadi;
4. Penegasan bahwa Data Protection Policy bertujuan untuk melindungi Pengendali Data Pribadi dari potensi kebocoran data;
5. Mengatur Prinsip Pelindungan Data Pribadi dan komitmen untuk mematuhi peraturan yang mengatur terkait dengan Pelindungan Data Pribadi;
6. Mengatur Prinsip Pelindungan Data Pribadi dan komitmen Pengendali Data Pribadi untuk mematuhi peraturan yang mengatur terkait dengan Pelindungan Data Pribadi;
7. Mengatur terkait dengan Prosedur dan tata cara Pelindungan Data Pribadi.

2. Lingkup Berlaku (Scope)

Perlu dilakukan penegasan pengaturan bahwa Data Protection Policy juga harus berlaku bagi Prosesor Data Pribadi. Hal tersebut dikarenakan berdasarkan Pasal 1 angka 5 UU 27/2022, Prosesor Data Pribadi adalah setiap orang yang bertindak untuk melakukan Pemrosesan Data Pribadi atas nama Pengendali Data Pribadi, baik itu secara sendiri-sendiri atau bersama-sama. Selain itu, penting untuk dirincikan lebih lanjut terkait dengan Jenis Data Pribadi yang dilindungi berdasarkan Data Protection Policy. Dalam hal ini, penting untuk terdapat penegasan bahwa Data Protection Policy juga berlaku bagi:

1. Kantor pusat, kantor cabang atau kantor perwakilan dari Pengendali Data Pribadi;
2. Seluruh organ, karyawan, staff maupun relawan dari Pengendali Data Pribadi;
3. Prosesor Data Pribadi dari Pengendali Data Pribadi (Vendor, Kontraktor, Supplier dan Pihak lainnya yang bekerja untuk dan atas nama dari Pengendali Data Pribadi).

Selain itu, juga penting untuk terdapat pengaturan terkait dengan Jenis Data Pribadi yang dilindungi dalam Data Protection Policy (jenis Data Pribadi dapat mengacu dalam Pasal 4 UU 27/2022 dan dapat disesuaikan dengan kebutuhan dari Pengendali Data Pribadi).

3. Tugas Pokok dan Tanggung Jawab dari Pengendali Data Pribadi

Dalam poin ini, stakeholder dari Pengendali Data Pribadi yang Tugas Pokok dan Tanggung Jawabnya harus dilakukan pengaturan adalah Organ atau Posisi yang berhak untuk mengambil suatu keputusan, Pejabat maupun Petugas yang melaksanakan fungsi Pelindungan Data Pribadi/Data Protection Officer (“DPO”), manajer maupun general staff.

4. Pemrosesan dan Pengumpulan Data Pribadi

Dalam pemrosesan dan pengumpulan Data pribadi, perlu pengaturan yang rinci dan teknis terkait mekanisme pengumpulan data, sumber data, kewenangan untuk mengumpulkan data, Pelindungan dalam pengumpulan data, hingga hak dan kewajiban yang dimiliki oleh perusahaan maupun subjek dari Data Pribadi. Dalam bagian ini, perlu dilakukan penekanan teknis terkait dengan Pemrosesan, Pengaksesan Data, Pengumpulan, Penyimpanan, Penggunaan, Kewajiban Pengendali Data Pribadi untuk memperbaharui keakuratan, Pengungkapan, Penyediaan, serta Hak dari Subjek Data Pribadi. Terkait dengan pengaksesan, Pengendali Data Pribadi harus mengatur terkait pihak yang berwenang untuk memiliki akses, tingkat akses, pihak maupun mekanisme proses untuk menentukan akses, hingga cara pengelompokan data untuk akses yang berbeda-beda. Penting untuk memperhatikan bahwa akses terhadap data hanya diberikan kepada karyawan yang menangani kebutuhan bisnis sesuai tujuan tertentu sehingga data tidak dibagikan secara informal. Ketika akses terhadap data yang memiliki tingkat krusial maupun urgensi yang tinggi, karyawan perlu untuk memperoleh persetujuan dari atasan yang memiliki akses atas data tersebut. Adapun berikut ini adalah contoh lingkup Pengaturan terkait dengan Pemrosesan dan Pengumpulan Data Pribadi:

1. Penegasan bahwa pihak yang menangani data pribadi harus menjamin bahwa penanganan dan pemrosesan data tersebut sesuai dengan kebijakan dan prinsip Perlindungan Data serta sesuai dengan ketentuan yang berlaku terkait dengan Perlindungan Data Pribadi.
2. Penegasan bahwa karyawan dari Pengendali Data Pribadi harus mematikan layar komputer dalam keadaan terkunci saat ditinggalkan tanpa pengawasan ketika sedang melakukan pengolahan maupun penganalisisan Data Pribadi.
3. Penegasan bahwa seluruh karyawan dari Pengendali Data Pribadi mengetahui tanggung jawab, risiko, dan masalah Pelindungan data sehingga pengolahan dan penganalisisan data dapat dilakukan sesuai dengan prosedur Pelindungan data dan kebijakan terkait.
4. Penegasan bahwa pemrosesan Data Pribadi dilakukan secara terbatas, spesifik, sah secara hukum, dan transparan.
5. Penegasan bahwa Pengendali Data Pribadi dalam melakukan pemrosesan Data Pribadi sesuai dengan tujuan pemrosesan Data Pribadi.
6. Penegasan bahwa Pengendali Data Pribadi wajib untuk memastikan akurasi, kelengkapan, dan konsistensi Data Pribadi sesuai dengan ketentuan peraturan perundang-undangan melalui kegiatan verifikasi.
7. Penegasan bahwa perangkat yang menyimpan Data Pribadi memiliki kata sandi yang kuat yang digunakan ketika ingin mengakses data dan tidak boleh dibagikan kepada pihak yang tidak memiliki kepentingan.
8. Penegasan bahwa Pengendali Data Pribadi dan Prosesor Data Pribadi tidak mengungkapkan Data Pribadi kepada pihak yang tidak berwenang, baik di dalam perusahaan maupun di luar perusahaan.
9. Penegasan bahwa Pengendali Data Pribadi wajib meninjau data secara berkala.
10. Penegasan bahwa karyawan dari Pengendali Data Pribadi wajib meminta bantuan dari atasan langsung ketika menghadapi kondisi tidak yakin terkait aspek Pelindungan data.

5. Pendidikan dan Pelatihan

Dalam pemrosesan Data Pribadi, menjadi penting untuk memberikan pendidikan serta pelatihan terkait Pelindungan Data Pribadi kepada karyawan maupun pegawai yang bekerja bagi Pengendali Data Pribadi. Hal ini tidak terlepas dari peranan krusial dari karyawan maupun pegawai tersebut yang akan menjadi pelaksana dan pengelola dari kegiatan pemrosesan Data Pribadi. Tidak hanya itu, hal ini juga akan menjadi jaminan bahwa Pengendali Data Pribadi memiliki pemahaman serta komitmen yang tinggi untuk melindungi serta menjaga keamanan Data Pribadi yang dikelola olehnya.

6. Evaluasi dan Perubahan Kebijakan

Dalam pemrosesan Data Pribadi, menjadi penting untuk memastikan bahwa kebijakan yang berlaku memang telah sesuai dengan kebutuhan dan kepentingan. Diperlukan untuk melakukan evaluasi untuk meninjau sejauh mana tingkat efektivitas dari penerapan kebijakan tersebut. Lebih lanjut, evaluasi juga dilakukan untuk memastikan relevansi dan kepatuhan perusahaan terhadap perkembangan hukum, regulasi, dan teknologi. Ketika hasil evaluasi dinilai bahwa diperlukan perubahan untuk pembaruan, segera lakukan proses tersebut untuk menyesuaikan dengan perubahan yang terjadi, baik di dalam internal dari Pengendali Data Pribadi maupun dengan perubahan regulasi yang berlaku.

7. Pengaturan Penting Lainnya

Adapun Pengaturan Penting Lainnya yang wajib diatur dalam Data Protection Policy adalah sebagai berikut:

1. Penyampaian pemberitahuan pengalihan Data Pribadi ketika Pengendali Data Pribadi melakukan penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum yang dilakukan sebelum dan sesudah penggabungan, pemisahan, pengambilalihan, peleburan, atau pembubaran badan hukum.
2. Penegasan bahwa Data Pribadi hanya dapat di transfer oleh Pengendali Data Pribadi dan/atau Prosesor Data Pribadi ke negara yang memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi dari ketentuan dalam UU 27/2022 tentang Pelindungan Data Pribadi.
3. Penegasan bahwa ketika suatu negara yang akan menerima transfer Data Pribadi tidak memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi, Pengendali Data Pribadi wajib memastikan terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat
4. Penegasan bahwa ketika suatu negara yang akan menerima transfer Data Pribadi tidak memiliki tingkat Pelindungan Data Pribadi yang setara atau lebih tinggi serta tidak terdapat Pelindungan Data Pribadi yang memadai dan bersifat mengikat, Pengendali Data Pribadi wajib mendapatkan persetujuan Subjek Data Pribadi.
5. Penegasan bahwa Pengendali Data Pribadi wajib untuk melakukan penilaian dampak Pelindungan Data Pribadi dalam hal pemrosesan Data Pribadi memiliki potensi risiko tinggi terhadap Subjek Data Pribadi.
6. Penegasan bahwa Pengendali Data Pribadi dan Prosesor Data Pribadi wajib menjaga kerahasiaan Data Pribadi.
7. Penegasan bahwa Pengendali Data Pribadi wajib untuk melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi untuk mencegah kebocoran Data Pribadi.
8. Pengaturan terkait dengan tata cara dan mekanisme pengakhiran pemrosesan Data Pribadi, Penghapusan dan Pemusnahan Data Pribadi sesuai dengan Pasal 42 sampai dengan Pasal 44 UU 27/2022.

Disclaimer

Seluruh isi data dan informasi dalam Legal Brief ini merupakan kompilasi dari sumber-sumber terpercaya. Legal Brief ini tidak dimaksudkan dan tidak seharusnya dianggap sebagai nasihat atau opini hukum. Tidak disarankan mengambil tindakan berdasarkan informasi yang ada pada layanan ini tanpa mencari layanan profesional terlebih dahulu.

Dasar Hukum

Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.

Penutup

Jika Anda memiliki pertanyaan atau memerlukan lebih lanjut konsultasi mengenai Legal Brief ini, silakan menghubungi kami di:

• Timoty Ezra Simanjuntak, S.H., M.H. – Managing Partner – info@splawoffice.co.id / office@splawoffice.co.id
• Aldo Prasetyo Riyadi, S.H. – Senior Associate – info@splawoffice.co.id / office@splawoffice.co.id
• Izmaliza Putri Ramadhani, S.H.– Associate – info@splawoffice.co.id / office@simanjuntaklaw.co.id